РЕШЕН Проблем с вируси

[s.feradov]

Надявам се, че системата работи нормално.

 

Последни стъпки:

 

Изтеглете Delfix.exe. Стартирайте Delfix.exe като администратор. Уверете се, че е маркиран checkbox-а, намиращ се пред Remove disinfection tools. Изберете бутон Run. Инструментът ще се деинсталира автоматично.

[pranjev]

Стартирах Delfix и изпълних инструкциите Ви. Това е лога:

 

 

# DelFix v10.1 - Logfile created 27/02/2013 at 19:23:54

# Updated 23/02/2013 by Xplode

# Username : Spunki - SPUNKI-92E9AAFC

 

~ Removing disinfection tools ...

 

Deleted : C:\JRT

Deleted : C:\_OTL

Deleted : C:\AdwCleaner[s1].txt

Deleted : C:\Documents and Settings\Spunki\Desktop\adwcleaner0.exe

Deleted : C:\Documents and Settings\Spunki\Desktop\AdwCleaner[s1].txt

Deleted : C:\Documents and Settings\Spunki\Desktop\dds.exe

Deleted : C:\Documents and Settings\Spunki\Desktop\dds.txt

Deleted : C:\Documents and Settings\Spunki\Desktop\Extras.Txt

Deleted : C:\Documents and Settings\Spunki\Desktop\JRT.exe

Deleted : C:\Documents and Settings\Spunki\Desktop\JRT.txt

Deleted : C:\Documents and Settings\Spunki\Desktop\OTL.Txt

Deleted : C:\Documents and Settings\Spunki\Desktop\OTL.exe

Deleted : C:\Documents and Settings\Spunki\Desktop\SecurityCheck.exe

Deleted : C:\Documents and Settings\Spunki\Desktop\TFC.exe

Deleted : HKLM\SOFTWARE\OldTimer Tools

Deleted : HKLM\SOFTWARE\AdwCleaner

 

########## - EOF - ##########

 

За сега системата ми работи нормално. Благодаря за помощта.

[pranjev]

Здравейте, имам нужда от помоща ви отново, преинсталирах си Windows и тези гадини с които се борихме отново ме нападнаха, почти същите като преди. Папката  C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE, отново е пълна с вируси, въпреки че сега съм инсталирал Internet Explorer 8. Това е лога на Malwarebytes Anti-Malware:

 

Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org

Версия на базата от данни: v2013.04.14.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
SPUNKI :: SPUNKI-10F73A6D [администратор]

Защита: включена

4/15/2013 13:59:59
mbam-log-2013-04-10 (18-20-06).txt

Тип сканиране: Пълно сканиране (A:\|C:\|D:\|E:\|F:\|G:\|)
Включени опции за сканиране: Памет | Автоматично зареждане | Системен регистър | Файлова система | Евристики/Допълнителни | Евристики/Shuriken | PUP | PUM
Изключени опции за сканиране: P2P
Сканирани обекти: 220398
Изминало време: 41 минута(и), 13 секунда(и)

Открити процеси в паметта: 0
(Не бяха открити зловредни обекти)

Открити модули в паметта: 0
(Не бяха открити зловредни обекти)

Открити ключове в системния регистър: 0
(Не бяха открити зловредни обекти)

Открити стойности в системния регистър: 0
(Не бяха открити зловредни обекти)

Открити информационни обекти в системния регистър: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Лош: (1) Добър: (0) -> Не беше предприето действие.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Лош: (1) Добър: (0) -> Не беше предприето действие.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Лош: (1) Добър: (0) -> Не беше предприето действие.

Открити папки: 0
(Не бяха открити зловредни обекти)

Открити файлове: 1
D:\System Volume Information\_restore{8E570936-6B64-4194-AC54-93C23985BFCD}\RP1\A0000020.exe (Malware.Packer.Gen) -> Не беше предприето действие.

(край)

[androns]

Научете се да сърфирате в интернет предпазливо и изключете System Restore за всички дялове с изключение на системния!

[pranjev]

Научете се да сърфирате в интернет предпазливо и изключете System Restore за всички дялове с изключение на системния!

Имам инсталиран Kaspersky Internet Security 2013 и Malwarebytes Anti-Malware и въпреки всичко пак отнякъде са се промушили! Един господ знае откъде... Каква по-голяма предпазливост от тази?! Според теб сигурно ще е по-добре човек да не сърфира в интернет изобщо явно.... Нужна ми е помощ, а не упреци!

[androns]

Като за начало изтрийте откритите заплахи с Malwabytes.

Сърфирайте с различен браузър от IE и използвайте AdBlock и Ghostery.

[pranjev]

Internet Explorer 8 изобщо не го ползвам за сърфиране в интернет. Инсталирал съм го по-препоръка на Г-н s.feradov след като ми обясни че с IE 6 нивото на защитеност на системата е слабо. Както вече преди съм споменал имам Mozilla, Opera и Chrome, които ползвам винаги задължително с Адблокери, и те са ми напълно достатъчни. А за заплахите които Malwarebytes Anti-Malware откри - премахнати са но вирусите ми стоят. За това и търся помощ.

[androns]

Открити информационни обекти в системния регистър: 3

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Лош: (1) Добър: (0) -> Не беше предприето действие.

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Лош: (1) Добър: (0) -> Не беше предприето действие.

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Лош: (1) Добър: (0) -> Не беше предприето действие.

Открити файлове: 1

D:\System Volume Information\_restore{8E570936-6B64-4194-AC54-93C23985BFCD}\RP1\A0000020.exe (Malware.Packer.Gen) -> Не беше предприето действие.

 

По лога не личи да са изтрити заплахите.

[pranjev]

Попита ме дали да ги премане и аз му дадох да, преди това го създаде лога. Започна да ги премахва и поиска да се рестартира за да ги премахне напълно. След като се включи системата ми изписа че са успешно премахнати и поставени под карантина.

[androns]

Изтрий цялото съдържание на C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE под Safe Mode.

[pranjev]

Изтрих го и след рестарт на компютъра се възвърна. Между другото, искам да получа помощ отново от s.feradov когато има възможност, или от лице което е компетентно в тази област, и наистина може да ми помогне да си изчистя системата. Ако трябва ще изчакам колкото е необходимо.

[B-boy/StyLe/]

Здравейте,

 

 

1. Изтеглете ComboFix от BleepingComputer
и го запазете (бутон Save -> Save as) ComboFix на вашия десктоп:
http://i46.tinypic.com/2exprgh.jpg
След приключване на изтеглянето на ComboFix, иконката на програмата би трябвало да изглежда така:
http://i46.tinypic.com/29eqjuq.jpg


2. Затворете всички работещи приложения, отворени прозорци и програми работещи във фонов режим. Спрете временно защитата в реално време на антивирусната програма и на другите програми за сигурност, ако има такива.



3. Стартирайте с двоен клик Combofix.exe. Изберете YES, за да се съгласите с условията за използване на програмата. Важно: По време на работата на ComboFix не бива да се движи мишката и да се натискат клавиши от клавиатурата. Просто търпеливо оставете ComboFix да си свърши работата, без да използвате компютъра за други цели.



4. ComboFix ще провери дали Windows Recovery Console e инсталиранa.


*Ако Windows Recovery Console не е инсталирана, ще е необходимо да използвате YES за инсталация на Windows Recovery Console
*Ако Windows Recovery Console е инсталирана, ComboFix ще продължи работата си.
http://i46.tinypic.com/33wr6us.jpg


Забележка: Необходимо е да сте свързани към Интернет за да може Windows Recovery Console да се изтегли.


След инсталация на Windows Recovery Console потвърдете с YES, за да продължите напред. Снимка:
http://i45.tinypic.com/m9lvnk.jpg


5. ComboFix ще спре временно Интернет връзката, но след като приключи работата на програмата тази връзка ще бъде възстановена автоматично. ComboFix ще сканира за проблеми и за заразени файлове, като това може да отнеме известно време. Моля да бъдете търпеливи. Ако има проблем с Интернет връзката след приключване на работата на Combofix, моля да прочетете това: Manually restoring the Internet connection section.


6. Когато работата на ComboFix приключи, ще се появи текстов документ (log) в Notepad:
http://i49.tinypic.com/157m978.jpg

Копирайте с (Copy) и поставете с (Paste) съдържанието на лога в следващия си коментар.

[pranjev]

Здравей B-boy/StyLe,/ много благодаря ти че ми помагаш не знам вече за кой пореден път.  Изпълних инструкциите ти. Това е лога на ComboFix:

 

ComboFix 13-04-15.01 - SPUNKI 04/16/2013  10:07:30.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1251.359.1033.18.2047.1708 [GMT 3:00]
Running from: c:\documents and settings\SPUNKI\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\TEMP
c:\windows\XSxS
.
.
(((((((((((((((((((((((((   Files Created from 2013-03-16 to 2013-04-16  )))))))))))))))))))))))))))))))
.
.
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-04-07 21:36 . 2012-07-25 11:53    24920    ----a-w-    c:\windows\system32\drivers\klmouflt.sys
2013-04-07 21:36 . 2012-06-08 08:38    43608    ----a-w-    c:\windows\system32\drivers\kltdi.sys
2013-04-07 21:36 . 2012-05-25 16:38    24408    ----a-w-    c:\windows\system32\drivers\klkbdflt.sys
2012-07-14 00:15 . 2013-04-09 18:16    136672    ----a-w-    c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IDM Shell Extension]
@="{CDC95B92-E27C-4745-A8C5-64A52A78855D}"
[HKEY_CLASSES_ROOT\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D}]
2012-11-15 23:07    21904    ----a-w-    c:\program files\Internet Download Manager\IDMShellExt.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-07 21633320]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"NVRaidService"="c:\windows\system32\nvraidservice.exe" [2004-06-11 83968]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 77824]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe" [2013-04-07 356376]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hard Disk Sentinel]
2013-02-22 07:03    4295312    ----a-w-    d:\programi za amd\HDsentinel_pro_portable.zip\HDSentinel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5082:TCP"= 5082:TCP:xtlpfgkk
.
R1 IDMTDI;IDMTDI;c:\windows\system32\drivers\idmtdi.sys [29.1.2013 г. 15:03 112480]
R1 kltdi;kltdi;c:\windows\system32\drivers\kltdi.sys [08.6.2012 г. 11:38 43608]
R1 kneps;kneps;c:\windows\system32\drivers\kneps.sys [13.8.2012 г. 16:49 144344]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [27.6.2012 г. 14:09 35672]
R3 klkbdflt;Kaspersky Lab KLKBDFLT;c:\windows\system32\drivers\klkbdflt.sys [25.5.2012 г. 19:38 24408]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [25.7.2012 г. 14:53 24920]
S2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [08.4.2013 г. 01:01 418376]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [08.4.2013 г. 01:01 701512]
S2 nwthjew;iiukcoy;c:\windows\system32\svchost.exe -k netsvcs [14.4.2008 г. 15:00 14336]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [08.4.2013 г. 01:01 22856]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
nwthjew
.
.
------- Supplementary Scan -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.utorrent.com/download.php
IE: Свали всички линкове с IDM - c:\program files\Internet Download Manager\IEGetAll.htm
IE: Свали с IDM - c:\program files\Internet Download Manager\IEExt.htm
TCP: DhcpNameServer = 87.121.24.12
FF - ProfilePath - c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\
FF - ExtSQL: 2013-02-18 21:18; anti_banner@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\anti_banner@kaspersky.com
FF - ExtSQL: 2013-02-18 21:18; content_blocker@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\content_blocker@kaspersky.com
FF - ExtSQL: 2013-02-18 21:18; online_banking@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\online_banking@kaspersky.com
FF - ExtSQL: 2013-02-18 21:18; url_advisor@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\url_advisor@kaspersky.com
FF - ExtSQL: 2013-02-18 21:18; virtual_keyboard@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\virtual_keyboard@kaspersky.com
FF - ExtSQL: 2013-02-21 00:15; check-compatibility@dactyl.googlecode.com; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\check-compatibility@dactyl.googlecode.com.xpi
FF - ExtSQL: 2013-02-21 00:31; status4evar@caligonstudios.com; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\status4evar@caligonstudios.com.xpi
FF - ExtSQL: 2013-02-21 00:56; {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
FF - ExtSQL: 2013-02-21 00:57; elemhidehelper@adblockplus.org; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\elemhidehelper@adblockplus.org.xpi
FF - ExtSQL: 2013-02-21 00:58; {0FED7D55-65D4-47b6-A6DE-9A4ADB55355F}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{0FED7D55-65D4-47b6-A6DE-9A4ADB55355F}
FF - ExtSQL: 2013-02-21 00:59; {E4091D66-127C-11DB-903A-DE80D2EFDFE8}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{E4091D66-127C-11DB-903A-DE80D2EFDFE8}
FF - ExtSQL: 2013-02-21 01:00; {66E978CD-981F-47DF-AC42-E3CF417C1467}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{66E978CD-981F-47DF-AC42-E3CF417C1467}.xpi
FF - ExtSQL: 2013-02-21 01:02; {46551EC9-40F0-4e47-8E18-8E5CF550CFB8}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}.xpi
FF - ExtSQL: 2013-02-21 01:07; {54BB9F3F-07E5-486c-9B39-C7398B99391C}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{54BB9F3F-07E5-486c-9B39-C7398B99391C}.xpi
FF - ExtSQL: 2013-02-21 19:17; adblockpopups@jessehakanen.net; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\adblockpopups@jessehakanen.net.xpi
FF - ExtSQL: 2013-03-21 21:27; {b9db16a4-6edc-47ec-a1f4-b86292ed211d}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - ExtSQL: 2013-03-23 12:55; {3112ca9c-de6d-4884-a869-9855de68056c}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - ExtSQL: 2013-04-09 21:32; mozilla_cc@internetdownloadmanager.com; c:\documents and settings\SPUNKI\Application Data\IDM\idmmzcc5
FF - ExtSQL: 2013-04-15 19:43; firefox@ghostery.com; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\firefox@ghostery.com
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-04-16 10:13
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...  
.
scanning hidden autostart entries ...
.
scanning hidden files ...  
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(844)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2896)
c:\program files\Internet Download Manager\IDMShellExt.dll
c:\program files\Internet Download Manager\IDMNetMon.DLL
c:\windows\system32\ieframe.dll
c:\windows\system32\OneX.DLL
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
Completion time: 2013-04-16  10:16:12
ComboFix-quarantined-files.txt  2013-04-16 07:16
.
Pre-Run: 15,507,914,752 bytes free
Post-Run: 15,464,550,400 bytes free
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 63DC8B0B560083515CC22537DF0526AF
 

[B-boy/StyLe/]

Имате си червей Conficker.

 

 

• Отворете notepad и се уверете че пред Format няма отметка пред Word Wrap

http://3.bp.blogspot.com/-bAoooXA6w54/T7tF4CvBFhI/AAAAAAAACfU/-mkNkQjGS8k/s1600/step2.jpg

• С copy/paste въведете следната информация:
  
  

  Driver::
  nwthjew
  Registry::
  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
  "5082:TCP"=-
  NetSvc::
  nwthjew
  

   

• Запазете файла с име CFScript и го провлачете и пуснете в Combofix (както е показано на картинката отдолу).
  
  http://i710.photobucket.com/albums/ww105/puckarti2/iconos%20gifs/CFScript.gif
• По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката!
• Публикувайте лог файла, който ще се създаде след рестарта на компютъра в следващия си пост.

[pranjev]

Изпълних инструкциите ви, преди да завлача скрипта в ComboFix, изключих антивирусната и Malwarebytes Anti-Malware, ComboFix стигна до 50 стъпка, и поиска да рестартира компютъра и го направи без моя намеса. След като се включи компютъра, и той се включи а заедно с него и антивирусната, която веднага го засече като вирус и ме попита дали да разреши действието му или да го блокира, дадох му да го разреши и  след това я изключих, и той си продължи работата, това е лога който създаде:

 

ComboFix 13-04-15.01 - SPUNKI 04/16/2013  16:17:07.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1251.359.1033.18.2047.1585 [GMT 3:00]
Running from: c:\documents and settings\SPUNKI\Desktop\ComboFix.exe
Command switches used :: c:\documents and settings\SPUNKI\Desktop\CFScript.txt
AV: Kaspersky Internet Security *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NWTHJEW
-------\Service_nwthjew
.
.
(((((((((((((((((((((((((   Files Created from 2013-03-16 to 2013-04-16  )))))))))))))))))))))))))))))))
.
.
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-04-07 21:36 . 2012-07-25 11:53    24920    ----a-w-    c:\windows\system32\drivers\klmouflt.sys
2013-04-07 21:36 . 2012-06-08 08:38    43608    ----a-w-    c:\windows\system32\drivers\kltdi.sys
2013-04-07 21:36 . 2012-05-25 16:38    24408    ----a-w-    c:\windows\system32\drivers\klkbdflt.sys
2012-07-14 00:15 . 2013-04-09 18:16    136672    ----a-w-    c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IDM Shell Extension]
@="{CDC95B92-E27C-4745-A8C5-64A52A78855D}"
[HKEY_CLASSES_ROOT\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D}]
2012-11-15 23:07    21904    ----a-w-    c:\program files\Internet Download Manager\IDMShellExt.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-07 21633320]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"NVRaidService"="c:\windows\system32\nvraidservice.exe" [2004-06-11 83968]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 77824]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe" [2013-04-07 356376]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hard Disk Sentinel]
2013-02-22 07:03    4295312    ----a-w-    d:\programi za amd\HDsentinel_pro_portable.zip\HDSentinel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R1 IDMTDI;IDMTDI;c:\windows\system32\drivers\idmtdi.sys [29.1.2013 г. 15:03 112480]
R1 kltdi;kltdi;c:\windows\system32\drivers\kltdi.sys [08.6.2012 г. 11:38 43608]
R1 kneps;kneps;c:\windows\system32\drivers\kneps.sys [13.8.2012 г. 16:49 144344]
R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [08.4.2013 г. 01:01 418376]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [27.6.2012 г. 14:09 35672]
R3 klkbdflt;Kaspersky Lab KLKBDFLT;c:\windows\system32\drivers\klkbdflt.sys [25.5.2012 г. 19:38 24408]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [25.7.2012 г. 14:53 24920]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [08.4.2013 г. 01:01 22856]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [08.4.2013 г. 01:01 701512]
.
.
------- Supplementary Scan -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.utorrent.com/download.php
IE: Свали всички линкове с IDM - c:\program files\Internet Download Manager\IEGetAll.htm
IE: Свали с IDM - c:\program files\Internet Download Manager\IEExt.htm
FF - ProfilePath - c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\
FF - ExtSQL: 2013-02-18 21:18; anti_banner@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\anti_banner@kaspersky.com
FF - ExtSQL: 2013-02-18 21:18; content_blocker@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\content_blocker@kaspersky.com
FF - ExtSQL: 2013-02-18 21:18; online_banking@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\online_banking@kaspersky.com
FF - ExtSQL: 2013-02-18 21:18; url_advisor@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\url_advisor@kaspersky.com
FF - ExtSQL: 2013-02-18 21:18; virtual_keyboard@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\virtual_keyboard@kaspersky.com
FF - ExtSQL: 2013-02-21 00:15; check-compatibility@dactyl.googlecode.com; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\check-compatibility@dactyl.googlecode.com.xpi
FF - ExtSQL: 2013-02-21 00:31; status4evar@caligonstudios.com; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\status4evar@caligonstudios.com.xpi
FF - ExtSQL: 2013-02-21 00:56; {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
FF - ExtSQL: 2013-02-21 00:57; elemhidehelper@adblockplus.org; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\elemhidehelper@adblockplus.org.xpi
FF - ExtSQL: 2013-02-21 00:58; {0FED7D55-65D4-47b6-A6DE-9A4ADB55355F}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{0FED7D55-65D4-47b6-A6DE-9A4ADB55355F}
FF - ExtSQL: 2013-02-21 00:59; {E4091D66-127C-11DB-903A-DE80D2EFDFE8}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{E4091D66-127C-11DB-903A-DE80D2EFDFE8}
FF - ExtSQL: 2013-02-21 01:00; {66E978CD-981F-47DF-AC42-E3CF417C1467}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{66E978CD-981F-47DF-AC42-E3CF417C1467}.xpi
FF - ExtSQL: 2013-02-21 01:02; {46551EC9-40F0-4e47-8E18-8E5CF550CFB8}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}.xpi
FF - ExtSQL: 2013-02-21 01:07; {54BB9F3F-07E5-486c-9B39-C7398B99391C}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{54BB9F3F-07E5-486c-9B39-C7398B99391C}.xpi
FF - ExtSQL: 2013-02-21 19:17; adblockpopups@jessehakanen.net; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\adblockpopups@jessehakanen.net.xpi
FF - ExtSQL: 2013-03-21 21:27; {b9db16a4-6edc-47ec-a1f4-b86292ed211d}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - ExtSQL: 2013-03-23 12:55; {3112ca9c-de6d-4884-a869-9855de68056c}; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - ExtSQL: 2013-04-09 21:32; mozilla_cc@internetdownloadmanager.com; c:\documents and settings\SPUNKI\Application Data\IDM\idmmzcc5
FF - ExtSQL: 2013-04-15 19:43; firefox@ghostery.com; c:\documents and settings\SPUNKI\Application Data\Mozilla\Firefox\Profiles\ch3v8ggr.default\extensions\firefox@ghostery.com
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-04-16 16:24
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...  
.
scanning hidden autostart entries ...
.
scanning hidden files ...  
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(696)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(4324)
c:\program files\Internet Download Manager\IDMShellExt.dll
c:\program files\Internet Download Manager\IDMNetMon.DLL
c:\windows\system32\ieframe.dll
c:\windows\system32\OneX.DLL
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\SOUNDMAN.EXE
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2013-04-16  16:36:40 - machine was rebooted
ComboFix-quarantined-files.txt  2013-04-16 13:36
ComboFix2.txt  2013-04-16 07:16
.
Pre-Run: 15,468,769,280 bytes free
Post-Run: 15,407,460,352 bytes free
.
- - End Of File - - 5C0CD23909688E9A078890A4A7A455AA