Съмнение за зараза на компютъра

[stonit]

При стартиране на компютъра се появява син екран с надпис "RegRun Partizan Rootkit Killer" и забива при рестарт нормално се зарежда и стартира компютъра.Тази програма ,нито съм я инсталирал, нито съм я чувал .

 

 

 

http://i057.radikal.ru/0911/3e/c9666cde5053t.jpg

 

http://i057.radikal.ru/0911/3e/c9666cde5053t.jpg

 

 

http://i057.radikal.ru/0911/3e/c9666cde5053t.jpg

[Гост tnn]

http://www.google.bg/search?hl=bg&source=hp&q=RegRun+Partizan+Rootkit+Killer&btnG=Google+%D1%82%D1%8A%D1%80%D1%81%D0%B5%D0%BD%D0%B5&meta=&cts=1257336317145&aq=null&oq= За информация и преценка. Поздрави

[-TEN4O-]

Ти или някой друг сте инсталирали RegRun Reanimator - това му е антируткит модула. Ся го инсталираш пак и забелязваш малкото бутонче uninstall partizan и работата спи...

[stonit]

Ти или някой друг сте инсталирали RegRun Reanimator - това му е антируткит модула. Ся го инсталираш пак и забелязваш малкото бутонче uninstall partizan и работата спи...

 

 

 

нямам такава инсталирана програма

 

http://www.plaatjesupload.nl/bekijk/2009/11/04/1257338339-590.png

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:44:03, on 04.11.2009 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Program Files\PC Tools Firewall Plus\FWService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\user\LOCALS~1\Temp\Rar$EX00.266\picpick.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\svchost.exe

C:\Kaldata.exe\Kaldata.exe.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKLM\..\Run: [PicPick Start] C:\DOCUME~1\user\LOCALS~1\Temp\Rar$EX00.266\picpick.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{E79850FD-93DC-4173-AEEA-A8A9B7EC131F}: NameServer = 213.16.56.1 213.16.56.9

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: IS360service - IObit - C:\Program Files\IObit\IObit Security 360\IS360srv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

--

End of file - 5197 bytes

mbam-log-2009-11-04 (14-45-22).txt

[Night_Raven]

1. Виж в Add or remove programs, а не в HijackThis.

2. Не слушай Maniac/Fixer, няма смисъл от пълно сканиране с MBAM. Ползвай бързо сканиране.

[Maniac]

2. Не слушай Maniac/Fixer, няма смисъл от пълно сканиране с MBAM. Ползвай бързо сканиране.

 

Защо да не ме слуша? Теб ли да слуша?

 

Това, че Quick Scan предлага баланс (скорост + засичане), не значи че ще засече всичко. Аз лично съм виждал такъв случай.

 

Много мразя да се правиш на умен и да казваш кого да слуша....

[stonit]

няма в Add or remove programs и в рево но ползвах UnHackMe те са от една фирма освен това не мога нищо с Firefox да отворя ,че се наложи да го преинсталирам

 

http://s58.radikal.ru/i160/0911/fd/eadf5a5693e6t.jpg

[Larito]

коя ти е антивирусната, пусни я да сканира

[Night_Raven]

Защо да не ме слуша? Теб ли да слуша?

 

Това, че Quick Scan предлага баланс (скорост + засичане), не значи че ще засече всичко. Аз лично съм виждал такъв случай.

 

Много мразя да се правиш на умен и да казваш кого да слуша....

Режимът quick scan е проектиран да засича, всички зловредни обекти, които са реално опасни за системата. Режимът засича на практика 99.99% от зловредния код. Това не е просто моя препоръка, а твърдение на самите разработчици на програмата. И от тях ли знаеш повече?

[Maniac]

Аз знам, че те това твърдят, но в началото, преди да обновят наскоро първоначалните инструкции в Malware Removal секцията, пишеше да се направи пълно сканиране. Вярно е, че засича и бързо става, но не винаги открива всичко, аз съм попадал на такъв случай и от тогава това са ми препоръките. Бавно става, но поне знам, че всичко е наред.

[isaakhim]

 

Режимът quick scan е проектиран да засича, всички зловредни обекти, които са реално опасни за системата. Режимът засича на практика 99.99% от зловредния код.

 

И за SUPERAntiSpyware Free Edition ли се отнася това?

[Night_Raven]

И какъв е бил този случай? Какво е изтървала MBAM?

[mihnev_sz]

И какъв е бил този случай? Какво е изтървала MBAM?

Аз имах такъв случай,под Quick Scan,например не сканира C/D/.../ System Volume information, при Quick Scan сканира папки Windows/System32/Drivers/Program files/Стартиращите програми заедно с някои DLL библиотеки и една част от регистратурата HKEY_CLASSES_ROOT/HLEY_UZERS,не че това не е достатъчно,но не е 100% и заплахата макар и малък шанс да има си остава.

[liver]

И при мен на бързо сканиране не открива нищо, а на пълно...6 зарази и то в program files. А сега де.

Сигурно са сложили пълното сканиране за украса. Така излиза, ако приема думите на night raven за чиста монета.

[Night_Raven]

И за SUPERAntiSpyware Free Edition ли се отнася това?

В общи линии би трябвало да е така. По думите на екипа на SUPERAntiSpyware програмата не сканира временни папки и кешове при бързо сканиране, но за активни зарази би трябвало то да е достатъчно. И все пак информацията не е в изобилие и считам за малко по-смислено пълното сканиране на SUPERAntiSpyware.

 

Аз имах такъв случай,под Quick Scan,например не сканира C/D/.../ System Volume information, при Quick Scan сканира папки Windows/System32/Drivers/Program files/Стартиращите програми заедно с някои DLL библиотеки и една част от регистратурата HKEY_CLASSES_ROOT/HLEY_UZERS,не че това не е достатъчно,но не е 100% и заплахата макар и малък шанс да има си остава.

MBAM сканира на всички места, на които обичат да се спотайват гадинки. Ако нещо се открива от пълното сканиране, но не и от бързото, то най-вероятно става въпрос за някакви статични/пасивни останки от някоя бивша активна зараза.

 

И при мен на бързо сканиране не открива нищо, а на пълно...6 зарази и то в program files. А сега де.

Сигурно са сложили пълното сканиране за украса. Така излиза, ако приема думите на night raven за чиста монета.

Логче нещо?