Digeste.dll плодит трояны

[Rosman-kr]

После нажатия на FixChecked она не исчезает? Или я неправильно понимаю?

 

Совершенно верно не исчезает

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Вот сообщение:

Malwarebytes' Anti-Malware 1.34

Database version: 1888

Windows 5.1.2600 Service Pack 3

 

23.03.2009 20:56:44

mbam-log-2009-03-23 (20-56-44).txt

 

Scan type: Full Scan (C:\|)

Objects scanned: 252837

Time elapsed: 1 hour(s), 33 minute(s), 28 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

(No malicious items detected)

 

Registry Values Infected:

(No malicious items detected)

 

Registry Data Items Infected:

(No malicious items detected)

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

(No malicious items detected)

[thyrex]

Лог HiJack сделайте еще раз, пожалуйста.

[Rosman-kr]

Лог HiJack сделайте еще раз, пожалуйста.

 

Вот пожалуйста:

hijackthis.log

[thyrex]

Вот пожалуйста:

Запустите regedit

Найдите ключ HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

В ней параметр alkmbjmv и удалите этот параметр, щелкнув правой кнопкой мыши и выбрав соответствующий пункт

Лог HiJack с Вас еще раз

Изменено 24 марта, 2009 пользователем thyrex

[Rosman-kr]

Запустите regedit

Найдите ключ HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

В ней параметр alkmbjmv и удалите этот параметр, щелкнув правой кнопкой мыши и выбрав соответствующий пункт

Лог HiJack с Вас еще раз

 

Через regedit параметр alkmbjmv (точнее по русски говоря папка alkmbjmv) не удаляется, пишет Не удается удалить alkmbjmv. Ошибка при удалении раздела.

[akoK]

А так

Пофиксить в HijackThis следующие строчки

 O20 - Winlogon Notify: alkmbjmv - C:\WINDOWS\

[Rosman-kr]

А так

Пофиксить в HijackThis следующие строчки

 O20 - Winlogon Notify: alkmbjmv - C:\WINDOWS\

 

Так я ж говорю не фиксит остается эта строчка все равно и регэдитом тоже удалить не могу.

[akoK]

Хорошо.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteRepair(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится

 

Потом пофиксить и сообщить результат.

[Rosman-kr]

Хорошо.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteRepair(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится

 

Потом пофиксить и сообщить результат.

 

Скрипт выполнил, а пофиксить опять ни в какую вот лог

hijackthis.log

[akoK]

Значит будем "ковырять" без наркозу.

 

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
  Windows XP Professional с пакетом обновления 2 (SP2)
  Windows XP Home Edition с пакетом обновления 2 (SP2)
   
  Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
   
  Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
   
   
  
• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
  

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

 

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Rosman-kr]

Итак вот все по очереди

Report.txt

ComboFix.txt

rsit.rar

[akoK]

Батенька да у вас Kido.

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::

Driver::
febqbene
alkmbjmv
Folder::

Registry::

FileLook::
c:\windows\system32\wscntfy.exe
c:\windows\system32\mcbawxm.dll
DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

Для наиболее эффективного лечения установите следующие патчи от Microsoft:

1. http://www.microsoft.com/technet/security/...n/MS08-067.mspx
   
2. http://www.microsoft.com/technet/security/...n/ms08-068.mspx
   
3. http://www.microsoft.com/technet/security/...n/ms09-001.mspx
   

 

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

[Rosman-kr]

Вот логи

Вот только всеравно 20 строчка не фиксица

ComboFix1.txt

Gmer.log

[akoK]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
c:\windows\system32\mcbawxm.dll
Driver::

Folder::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\alkmbjmv]
FileLook::

DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

У Вас много RSS каналов зарегистрировано в IE?

 

Если не поможет будем править "разрешения".

[Rosman-kr]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
c:\windows\system32\mcbawxm.dll
Driver::

Folder::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\alkmbjmv]
FileLook::

DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

У Вас много RSS каналов зарегистрировано в IE?

 

Если не поможет будем править "разрешения".

 

 

Вот логи, ключ в реестре так и не удалился к нему доступ наглухо заблокирован а файл c:\windows\system32\mcbawxm.dll мне помогли удалить еще в начале топика осталась только эта дурацкая ссылка в реестре которая никак. На счет RSS каналов зарегистрировано в IE?

понятия неимею о чем сдесь речь

ComboFix2.rar

hijackthis.log