defteros Публикувано Януари 30, 2010 Report Share Публикувано Януари 30, 2010 Търсех, но така и не открих информация за това? Знае ли някой, какво е и как се маха? От форума попаднах само на една тема, която споменава, че е някакъв рууткит,а Гугъл не извежда никаква информация на български. Появиха се следните проблеми:1. Браузърът Молица Фаербох спря да работи2. Някои програми направо отказват да работят или се зареждат със закъснение. Компютъра ми често зацепва и се налага да рестартирам и излизам.3. При опит да обновя дефинициите на Аваст ми изписва -There is not enough space on the disk. 4. При сканиране единствено Spybot S&D открива гадината и уж ги "поправя", но при ново сканиране отново е налице. Ето и лог:-- Search result list ---PlatinumAdvertiser: Отметка (Firefox: Guest (default)) (Отметка, nothing done) PlatinumAdvertiser: Отметка (Firefox: Guest (default)) (Отметка, nothing done) Когато се опитам да ги отворя се появява прозорец на Spybot S&D чията единствена възможна опция е Deny, а тази гадина стои изписана отдолу! Някакви идеи? Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Януари 30, 2010 Report Share Публикувано Януари 30, 2010 СТЪПКА 1 Изтегли GMER и го разархивирай на десктопа. Преди да сканираш се увери, че всички останали работещи програми в момента са изключени и антивирусния софтуер няма да предприема никакви действия по време на сканирането на Gmer. Не използвай компютъра си, докато трае сканирането. Кликни два пъти пъти върху gmer.exe , за да стартираш програмата.Тя ще направи начално сканиране за секунди. След като то приключи НЕ натискайте бутона Scan, а избери бутона Copy и постави съдържанието на лог файла в следващия си пост. СТЪПКА 2 Изтегли DDS от тук.Запази го на десктопа.Изключи защитата в реално време на антивирусната си програма (ако е инсталирана такава).Накрая, стартирай инструмента. Когато DDS приключи успешно анализа на системата ще отвори два лог файла.DDS.txtAttach.txtЗапази ги на десктопа и след това ги прикачи към следващия си пост. Цитирай Link to comment Сподели другаде More sharing options...
defteros Публикувано Януари 30, 2010 Author Report Share Публикувано Януари 30, 2010 Направих каквото ми казахте.Ето и логовете. GMER1. GMER 1.0.15.15281 - http://www.gmer.netRootkit quick scan 2010-01-30 20:51:56Windows 5.1.2600 Service Pack 2Running: gmer.exe; Driver: C:\DOCUME~1\User\LOCALS~1\Temp\pxtdipow.sys ---- System - GMER 1.0.15 ---- SSDT sptd.sys ZwEnumerateKey [0xF7357FB2]SSDT sptd.sys ZwEnumerateValueKey [0xF7358340] ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 859651E8 DDS (Ver_09-12-01.01) - NTFSx86 Run by User at 21:48:56,84 on 30.01.2010 Ј.Internet Explorer: 6.0.2900.2180Microsoft Windows XP Professional 5.1.2600.2.1251.359.1033.18.959.463 [GMT 2:00] AV: avast! antivirus 4.8.1335 [VPS 100122-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D} ============== Running Processes =============== C:\WINDOWS\system32\svchost -k DcomLaunchsvchost.exeC:\WINDOWS\System32\svchost.exe -k netsvcssvchost.exesvchost.exeD:\Avast 8.0\aswUpdSv.exeD:\Avast 8.0\ashServ.exeC:\WINDOWS\system32\spoolsv.exesvchost.exeC:\Program Files\Common Files\LightScribe\LSSrvc.exeC:\WINDOWS\system32\nvsvc32.exeC:\WINDOWS\system32\svchost.exe -k imgsvcC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\RUNDLL32.EXEC:\WINDOWS\RTHDCPL.EXED:\AVAST8~1.0\ashDisp.exeC:\WINDOWS\FixCamera.exeC:\WINDOWS\system32\rundll32.exeC:\Program Files\DAEMON Tools\daemon.exeC:\Program Files\Messenger\msmsgs.exeD:\Музика\Albumi\Spybot - Search & Destroy\TeaTimer.exeC:\WINDOWS\system32\wscntfy.exeC:\WINDOWS\Datecs\Flex2K.exeC:\Program Files\Internet Explorer\iexplore.exeD:\Музика\Albumi\2009г\Временни Интернет файлове\Временни Интернет файлове\Content.IE5\EI08A7S0\dds[1].scr ============== Pseudo HJT Report =============== uStart Page = hxxp://www.google.bg/uSearch Page = hxxp://www.google.comuSearch Bar = hxxp://www.google.com/iemDefault_Search_URL = hxxp://www.google.com/ieuInternet Connection Wizard,ShellNext = iexploreuSearchAssistant = hxxp://www.google.com/ieuSearchURL,(Default) = hxxp://www.google.com/search?q=%smSearchAssistant = hxxp://www.google.com/ieuURLSearchHooks: DefaultSearchHook Class: {c94e154b-1459-4a47-966b-4b843befc7db} - c:\program files\asksearch\bin\DefaultSearch.dllBHO: AskBar BHO: {201f27d4-3704-41d6-89c1-aa35e39143ed} - c:\program files\askbardis\bar\bin\askBar.dllBHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - d:\музика\albumi\spybot - search & destroy\SDHelper.dllTB: Ask Toolbar: {3041d03e-fd4b-44e0-b742-2d9b88305f98} - c:\program files\askbardis\bar\bin\askBar.dlluRun: [DAEMON Tools] "c:\program files\daemon tools\daemon.exe" -lang 1033uRun: [MSMSGS] "c:\program files\messenger\msmsgs.exe" /backgrounduRun: [spybotSD TeaTimer] d:\музика\albumi\spybot - search & destroy\TeaTimer.exemRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartupmRun: [nwiz] nwiz.exe /installmRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInitmRun: [RTHDCPL] RTHDCPL.EXEmRun: [Alcmtr] ALCMTR.EXEmRun: [avast!] d:\avast8~1.0\ashDisp.exemRun: [FixCamera] c:\windows\FixCamera.exemRun: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgentdRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXEStartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\flexty~1.lnk - c:\windows\datecs\Flex2K.exeIE: E&xport to Microsoft Excel - c:\progra~1\micros~2\office11\EXCEL.EXE/3000IE: Google Sidewiki... - c:\program files\google\google toolbar\component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.htmlIE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exeIE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLLIE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - d:\му·ёє°\albumi\spybot - search & destroy\SDHelper.dllDPF: {31435657-9980-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cabDPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cabTCP: {EB86C5AF-AF2D-47FE-BC09-989271DEF20E} = 212.39.90.42,212.39.90.43SEH: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - No FilemASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\program files\common files\lightscribe\LSRunOnce.exe" ============= SERVICES / DRIVERS =============== R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-4-27 114768]R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-4-27 20560]R2 avast! Antivirus;avast! Antivirus;d:\avast 8.0\ashServ.exe [2008-4-27 138680]S3 avast! Mail Scanner;avast! Mail Scanner;d:\avast 8.0\ashMaiSv.exe [2008-4-27 254040]S3 avast! Web Scanner;avast! Web Scanner;d:\avast 8.0\ashWebSv.exe [2008-4-27 352920]S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [2010-1-11 89256]S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [2010-1-11 15016]S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [2010-1-11 120744]S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [2010-1-11 114216]S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [2010-1-11 110632]S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [2010-1-11 115752] =============== Created Last 30 ================ 2010-01-11 08:54:56 115752 ----a-r- c:\windows\system32\drivers\s0016unic.sys2010-01-11 08:54:56 10792 ----a-r- c:\windows\system32\drivers\s0016cr.sys2010-01-11 08:53:55 114216 ----a-r- c:\windows\system32\drivers\s0016mgmt.sys2010-01-11 08:53:27 110632 ----a-r- c:\windows\system32\drivers\s0016obex.sys2010-01-11 08:52:57 15016 ----a-r- c:\windows\system32\drivers\s0016mdfl.sys2010-01-11 08:52:57 12200 ----a-r- c:\windows\system32\drivers\s0016cmnt.sys2010-01-11 08:52:57 12200 ----a-r- c:\windows\system32\drivers\s0016cm.sys2010-01-11 08:52:57 120744 ----a-r- c:\windows\system32\drivers\s0016mdm.sys2010-01-11 08:42:05 12200 ----a-r- c:\windows\system32\drivers\s0016whnt.sys2010-01-11 08:42:05 12200 ----a-r- c:\windows\system32\drivers\s0016wh.sys2010-01-11 08:42:04 89256 ----a-r- c:\windows\system32\drivers\s0016bus.sys ==================== Find3M ==================== 2010-01-07 14:07:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys2010-01-07 14:07:04 19160 -c--a-w- c:\windows\system32\drivers\mbam.sys ============= FINISH: 21:49:16,65 =============== AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) ---- EOF - GMER 1.0.15 ---- Още един лог от GMER:GMER 1.0.15.15281 - http://www.gmer.netRootkit scan 2010-01-30 21:45:11Windows 5.1.2600 Service Pack 2Running: gmer.exe; Driver: C:\DOCUME~1\User\LOCALS~1\Temp\pxtdipow.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF3CC56B8]SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF3CC5574]SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF3CC5A52]SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF3CC514C]SSDT sptd.sys ZwEnumerateKey [0xF7357FB2]SSDT sptd.sys ZwEnumerateValueKey [0xF7358340]SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF3CC564E]SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF3CC508C]SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF3CC50F0]SSDT sptd.sys ZwQueryKey [0xF7358418]SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF3CC576E]SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF3CC572E]SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF3CC58AE] ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\sptd.sys The process cannot access the file because it is being used by another process..text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6DC4360, 0x20469D, 0xE8000020].text USBPORT.SYS!DllUnload F6D9162C 5 Bytes JMP 8567F1C8 ? System32\Drivers\a4vk55e7.SYS The system cannot find the path specified. ! ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7352AD4] sptd.sysIAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7352C1A] sptd.sysIAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7352B9C] sptd.sysIAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7353748] sptd.sysIAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F735361E] sptd.sysIAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F736829A] sptd.sys ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINDOWS\system32\services.exe[796] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002IAT C:\WINDOWS\system32\services.exe[796] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000 ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 859651E8 AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) Device \Driver\PCI_NTPNP6246 \Device\00000040 sptd.sysDevice \Driver\usbohci \Device\USBPDO-0 8579E1E8Device \Driver\dmio \Device\DmControl\DmIoDaemon 859D31E8Device \Driver\dmio \Device\DmControl\DmConfig 859D31E8Device \Driver\dmio \Device\DmControl\DmPnP 859D31E8Device \Driver\dmio \Device\DmControl\DmInfo 859D31E8Device \Driver\usbehci \Device\USBPDO-1 8579A1E8 AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) Device \Driver\Ftdisk \Device\HarddiskVolume1 859671E8Device \Driver\Ftdisk \Device\HarddiskVolume2 859671E8Device \Driver\Cdrom \Device\CdRom0 856731E8Device \Driver\Cdrom \Device\CdRom1 856731E8Device \Driver\atapi \Device\Ide\IdePort0 859661E8Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 859661E8Device \Driver\atapi \Device\Ide\IdePort1 859661E8Device \Driver\atapi \Device\Ide\IdePort2 859661E8Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 859661E8Device \Driver\atapi \Device\Ide\IdePort3 859661E8Device \Driver\NetBT \Device\NetBt_Wins_Export 850181E8Device \Driver\NetBT \Device\NetbiosSmb 850181E8 AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) Device \Driver\usbohci \Device\USBFDO-0 8579E1E8Device \Driver\usbehci \Device\USBFDO-1 8579A1E8Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 84BBE1E8Device \FileSystem\MRxSmb \Device\LanmanRedirector 84BBE1E8Device \Driver\NetBT \Device\NetBT_Tcpip_{EB86C5AF-AF2D-47FE-BC09-989271DEF20E} 850181E8Device \Driver\Ftdisk \Device\FtControl 859671E8Device \Driver\a4vk55e7 \Device\Scsi\a4vk55e71Port4Path0Target0Lun0 85669440Device \Driver\a4vk55e7 \Device\Scsi\a4vk55e71 85669440Device \FileSystem\Cdfs \Cdfs 859256F0 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001167000000 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018e40a49d1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x63 0x2A 0x42 0x40 ...Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC5 0x27 0xBA 0xEA ...Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x68 0xA6 0x2B 0x80 ...Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001167000000 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0018e40a49d1 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x63 0x2A 0x42 0x40 ...Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC5 0x27 0xBA 0xEA ...Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x68 0xA6 0x2B 0x80 ... ---- EOF - GMER 1.0.15 ---- Този на DDS DDS (Ver_09-12-01.01) - NTFSx86 Run by User at 21:48:56,84 on 30.01.2010 Ј.Internet Explorer: 6.0.2900.2180Microsoft Windows XP Professional 5.1.2600.2.1251.359.1033.18.959.463 [GMT 2:00] AV: avast! antivirus 4.8.1335 [VPS 100122-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D} ============== Running Processes =============== C:\WINDOWS\system32\svchost -k DcomLaunchsvchost.exeC:\WINDOWS\System32\svchost.exe -k netsvcssvchost.exesvchost.exeD:\Avast 8.0\aswUpdSv.exeD:\Avast 8.0\ashServ.exeC:\WINDOWS\system32\spoolsv.exesvchost.exeC:\Program Files\Common Files\LightScribe\LSSrvc.exeC:\WINDOWS\system32\nvsvc32.exeC:\WINDOWS\system32\svchost.exe -k imgsvcC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\RUNDLL32.EXEC:\WINDOWS\RTHDCPL.EXED:\AVAST8~1.0\ashDisp.exeC:\WINDOWS\FixCamera.exeC:\WINDOWS\system32\rundll32.exeC:\Program Files\DAEMON Tools\daemon.exeC:\Program Files\Messenger\msmsgs.exeD:\Музика\Albumi\Spybot - Search & Destroy\TeaTimer.exeC:\WINDOWS\system32\wscntfy.exeC:\WINDOWS\Datecs\Flex2K.exeC:\Program Files\Internet Explorer\iexplore.exeD:\Музика\Albumi\2009г\Временни Интернет файлове\Временни Интернет файлове\Content.IE5\EI08A7S0\dds[1].scr ============== Pseudo HJT Report =============== uStart Page = hxxp://www.google.bg/uSearch Page = hxxp://www.google.comuSearch Bar = hxxp://www.google.com/iemDefault_Search_URL = hxxp://www.google.com/ieuInternet Connection Wizard,ShellNext = iexploreuSearchAssistant = hxxp://www.google.com/ieuSearchURL,(Default) = hxxp://www.google.com/search?q=%smSearchAssistant = hxxp://www.google.com/ieuURLSearchHooks: DefaultSearchHook Class: {c94e154b-1459-4a47-966b-4b843befc7db} - c:\program files\asksearch\bin\DefaultSearch.dllBHO: AskBar BHO: {201f27d4-3704-41d6-89c1-aa35e39143ed} - c:\program files\askbardis\bar\bin\askBar.dllBHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - d:\музика\albumi\spybot - search & destroy\SDHelper.dllTB: Ask Toolbar: {3041d03e-fd4b-44e0-b742-2d9b88305f98} - c:\program files\askbardis\bar\bin\askBar.dlluRun: [DAEMON Tools] "c:\program files\daemon tools\daemon.exe" -lang 1033uRun: [MSMSGS] "c:\program files\messenger\msmsgs.exe" /backgrounduRun: [spybotSD TeaTimer] d:\музика\albumi\spybot - search & destroy\TeaTimer.exemRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartupmRun: [nwiz] nwiz.exe /installmRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInitmRun: [RTHDCPL] RTHDCPL.EXEmRun: [Alcmtr] ALCMTR.EXEmRun: [avast!] d:\avast8~1.0\ashDisp.exemRun: [FixCamera] c:\windows\FixCamera.exemRun: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgentdRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXEStartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\flexty~1.lnk - c:\windows\datecs\Flex2K.exeIE: E&xport to Microsoft Excel - c:\progra~1\micros~2\office11\EXCEL.EXE/3000IE: Google Sidewiki... - c:\program files\google\google toolbar\component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.htmlIE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exeIE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLLIE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - d:\му·ёє°\albumi\spybot - search & destroy\SDHelper.dllDPF: {31435657-9980-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cabDPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cabTCP: {EB86C5AF-AF2D-47FE-BC09-989271DEF20E} = 212.39.90.42,212.39.90.43SEH: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - No FilemASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\program files\common files\lightscribe\LSRunOnce.exe" ============= SERVICES / DRIVERS =============== R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-4-27 114768]R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-4-27 20560]R2 avast! Antivirus;avast! Antivirus;d:\avast 8.0\ashServ.exe [2008-4-27 138680]S3 avast! Mail Scanner;avast! Mail Scanner;d:\avast 8.0\ashMaiSv.exe [2008-4-27 254040]S3 avast! Web Scanner;avast! Web Scanner;d:\avast 8.0\ashWebSv.exe [2008-4-27 352920]S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [2010-1-11 89256]S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [2010-1-11 15016]S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [2010-1-11 120744]S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [2010-1-11 114216]S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [2010-1-11 110632]S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [2010-1-11 115752] =============== Created Last 30 ================ 2010-01-11 08:54:56 115752 ----a-r- c:\windows\system32\drivers\s0016unic.sys2010-01-11 08:54:56 10792 ----a-r- c:\windows\system32\drivers\s0016cr.sys2010-01-11 08:53:55 114216 ----a-r- c:\windows\system32\drivers\s0016mgmt.sys2010-01-11 08:53:27 110632 ----a-r- c:\windows\system32\drivers\s0016obex.sys2010-01-11 08:52:57 15016 ----a-r- c:\windows\system32\drivers\s0016mdfl.sys2010-01-11 08:52:57 12200 ----a-r- c:\windows\system32\drivers\s0016cmnt.sys2010-01-11 08:52:57 12200 ----a-r- c:\windows\system32\drivers\s0016cm.sys2010-01-11 08:52:57 120744 ----a-r- c:\windows\system32\drivers\s0016mdm.sys2010-01-11 08:42:05 12200 ----a-r- c:\windows\system32\drivers\s0016whnt.sys2010-01-11 08:42:05 12200 ----a-r- c:\windows\system32\drivers\s0016wh.sys2010-01-11 08:42:04 89256 ----a-r- c:\windows\system32\drivers\s0016bus.sys ==================== Find3M ==================== 2010-01-07 14:07:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys2010-01-07 14:07:04 19160 -c--a-w- c:\windows\system32\drivers\mbam.sys ============= FINISH: 21:49:16,65 =============== Този на ATTACHNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.IF REQUESTED, ZIP IT UP & ATTACH IT DDS (Ver_09-12-01.01) Microsoft Windows XP ProfessionalBoot Device: \Device\HarddiskVolume1Install Date: 04.4.2008 г. 15:01:08System Uptime: 30.1.2010 г. 20:43:00 (1 hours ago) Motherboard: | | K8NF4G-VSTAProcessor: AMD Sempron Processor 2600+ | CPUSocket | 1607/200mhz ==== Disk Partitions ========================= A: is RemovableC: is FIXED (NTFS) - 4 GiB total, 0,336 GiB free.D: is FIXED (NTFS) - 145 GiB total, 0,001 GiB free.E: is CDROM ()G: is CDROM () ==== Disabled Device Manager Items ============= ==== System Restore Points =================== No restore point in system. ==== Installed Programs ====================== П°єµт ·° µ·ёєѕІ ёЅтµрфµ№с Ѕ° WindowsAdobe Download ManagerAdobe Flash Player 10 ActiveXAsk Toolbaravast! AntivirusAviSynth 2.5FlexType 2KHigh Definition Audio Driver Package - KB888111K-Lite Codec Pack 3.7.5 FullLightScribe 1.6.43.1Malwarebytes' Anti-MalwareMicrosoft Office Professional Edition 2003Nero 7 Lite 7.9.6.0Nero RecodeNero ShowTimeNVIDIA DriversReal Alternative 1.7.5Realtek High Definition Audio DriverSecurity Update for Windows Media Player (KB911564)Security Update for Windows Media Player 6.4 (KB925398)Security Update for Windows XP (KB896358)Security Update for Windows XP (KB896423)Security Update for Windows XP (KB896428)Security Update for Windows XP (KB905749)Security Update for Windows XP (KB908519)Security Update for Windows XP (KB914389)Security Update for Windows XP (KB920683)Security Update for Windows XP (KB928843)Security Update for Windows XP (KB931261)Security Update for Windows XP (KB941569)Security Update for Windows XP (KB941644)Security Update for Windows XP (KB941693)Security Update for Windows XP (KB943055)Security Update for Windows XP (KB944653)Security Update for Windows XP (KB946026)Skype™ 3.8Spybot - Search & DestroyUpdate for Windows XP (KB898461)Update for Windows XP (KB900485)Update for Windows XP (KB927891)USB Video Camera Driver v1.10Windows Genuine Advantage Notifications (KB905474)Windows Installer 3.1 (KB893803)Windows Media Format RuntimeWindows XP Hotfix - KB873339Windows XP Hotfix - KB887472WinRAR archiver ==== Event Viewer Messages From Past Week ======== 30.1.2010 і. 14:24:30, error: DCOM [10005] - DCOM got error "%1084" attempting to start the service EventSystem with arguments "" in order to run the server: {1BE1F766-5536-11D1-B726-00C04FB926AF}30.1.2010 і. 14:23:13, error: DCOM [10005] - DCOM got error "%1084" attempting to start the service StiSvc with arguments "" in order to run the server: {A1F4E726-8CF1-11D1-BF92-0060081ED811}30.1.2010 і. 13:31:48, error: Service Control Manager [7026] - The following boot-start or system-start driver(s) failed to load: Aavmker4 AFD aswSP aswTdi Fips IPSec MRxSmb NetBIOS NetBT Processor RasAcd Rdbss Tcpip30.1.2010 і. 13:31:48, error: Service Control Manager [7001] - The TCP/IP NetBIOS Helper service depends on the AFD service which failed to start because of the following error: A device attached to the system is not functioning.30.1.2010 і. 13:31:48, error: Service Control Manager [7001] - The IPSEC Services service depends on the IPSEC driver service which failed to start because of the following error: A device attached to the system is not functioning.30.1.2010 і. 13:31:48, error: Service Control Manager [7001] - The DNS Client service depends on the TCP/IP Protocol Driver service which failed to start because of the following error: A device attached to the system is not functioning.30.1.2010 і. 13:31:48, error: Service Control Manager [7001] - The DHCP Client service depends on the NetBios over Tcpip service which failed to start because of the following error: A device attached to the system is not functioning.30.1.2010 і. 13:30:56, error: DCOM [10005] - DCOM got error "%1084" attempting to start the service netman with arguments "" in order to run the server: {BA126AE5-2166-11D1-B1D0-00805FC1270E}30.1.2010 і. 13:30:54, error: DCOM [10005] - DCOM got error "%1084" attempting to start the service EventSystem with arguments "" in order to run the server: {1BE1F766-5536-11D1-B726-00C04FB926AF}28.1.2010 і. 21:59:09, error: Service Control Manager [7011] - Timeout (30000 milliseconds) waiting for a transaction response from the WZCSVC service.28.1.2010 і. 20:25:44, error: Service Control Manager [7011] - Timeout (30000 milliseconds) waiting for a transaction response from the WZCSVC service.28.1.2010 і. 19:52:06, error: Service Control Manager [7011] - Timeout (30000 milliseconds) waiting for a transaction response from the WZCSVC service.28.1.2010 і. 19:24:29, error: Service Control Manager [7011] - Timeout (30000 milliseconds) waiting for a transaction response from the WZCSVC service. ==== End Of File =========================== Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Януари 30, 2010 Report Share Публикувано Януари 30, 2010 Не виждам нищо съмнително в логовете. Какво ще рече, че браузъра Firefox спря да работи ? Стартира ли успешно ? Ако да, пробвай да изтриеш този bookmark: Firefox: Guest (default) Направи нова проверка с Spybot и виж дали проблема остава. Ако не стартира отвори Start Menu-то и стартирай иконата Mozilla Firefox (Safe Mode). Няма да е зле да инсталираш Service Pack 3. Направи и една проверка с този инструмент. Изтегли Gooredfix.exe и го запази на десктопа. Затвори Mozilla Firefox. Стартирай файла GooredFix.exe. Избери YES за да се съгласиш с въпроса от диалоговия прозорец. Публикувай лог файла, който ще се създаде на декстопа в следващия си пост. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Януари 30, 2010 Report Share Публикувано Януари 30, 2010 defteros, няколко неща:1) моля, прави разлика между прикачане към коментар и публикуване в коментар;2) не давай логове, които не са изискани;3) отбелязан си, че си със стари версии на Service Pack и Internet Explorer; следващият път ако имаш проблем със зловреден код и все още си със стари версии на въпросните продукти, няма да получиш помощ. Споменавам го информативно. Цитирай Link to comment Сподели другаде More sharing options...
defteros Публикувано Януари 31, 2010 Author Report Share Публикувано Януари 31, 2010 Не виждам нищо съмнително в логовете. Какво ще рече, че браузъра Firefox спря да работи ? Стартира ли успешно ? Ако да, пробвай да изтриеш този bookmark: Firefox: Guest (default) Направи нова проверка с Spybot и виж дали проблема остава. Ако не стартира отвори Start Menu-то и стартирай иконата Mozilla Firefox (Safe Mode). Няма да е зле да инсталираш Service Pack 3. Направи и една проверка с този инструмент. Изтегли Gooredfix.exe и го запази на десктопа. Затвори Mozilla Firefox. Стартирай файла GooredFix.exe. Избери YES за да се съгласиш с въпроса от диалоговия прозорец. Публикувай лог файла, който ще се създаде на декстопа в следващия си пост. Здравейте, Firefox изобщо не стартира. Излиза съобщение, че файла firebox.exe е бил или преместен или променен. Дали да не го изтрия нацяло? Опитах и по Сейв Мод. Ето лога от GooredFix by jpshortstuff (08.01.10.1)Log created at 12:41 on 31/01/2010 (User)Firefox version [unable to determine] ========== GooredScan ========== ========== GooredLog ========== C:\Program Files\Mozilla Firefox\extensions\(none) [HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions](Key not found) -=E.O.F=- Не съществува ли някакъв инструмент,за премахване на гадината? Сканирането със Spybot продължава да дава същите резултати! Благодаря на всички, които си правят труда!П.П.Извинявам се за неволните пропуски от моя страна. Бихте ли обяснили разликата между прикачане в коментар и публикуване в коментар? Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Януари 31, 2010 Report Share Публикувано Януари 31, 2010 Публикуване в коментар е това, което ти правиш - поставяш целия текст директно в коментара. Прикачане към коментар включва използването на функцията за прикачане на файлове:http://ploader.net/files/de2e90ff511f2d213c9d48210400bf7d.png Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Януари 31, 2010 Report Share Публикувано Януари 31, 2010 За съжаление от прочетеното в нета няма специализиран инструмент. Все изследват машините, както и ние и анализират състоянието по наличните резултати (логове).Пробвайте да деинсталирате Firefox (може да го сторите и с Revo Uninstaller) за да почистите напълно следите от него и да го инсталирате наново. По принцип подобни деинсталатори не са за предпочитане, но във вашия случай може да помогне. Ако проблема остане ще минем вече на по-солидни инструменти. Цитирай Link to comment Сподели другаде More sharing options...
defteros Публикувано Януари 31, 2010 Author Report Share Публикувано Януари 31, 2010 За съжаление от прочетеното в нета няма специализиран инструмент. Все изследват машините, както и ние и анализират състоянието по наличните резултати (логове).Пробвайте да деинсталирате Firefox (може да го сторите и с Revo Uninstaller) за да почистите напълно следите от него и да го инсталирате наново. По принцип подобни деинсталатори не са за предпочитане, но във вашия случай може да помогне. Ако проблема остане ще минем вече на по-солидни инструменти. Здравейте отново, Не знам какво имаше в предвид, за инсталатора\ иначе ми се видя удобен за работа\, но не успя да деинсталира Firefox. Наложи се да изтрия всичко ръчно и стана.SPybot S&D не открива гадината. Междувремено открих откъде е дошъл зловредният код. URL avast.softvisia.com e заразен! Firefox е отворил заразената страница\ сега се сещам,че исках да посетя форума на Аваст\ и затова и бил повреден. Към момента при опит да отворя URL адреса SPybot S&D веднага ми извежда съобщения за инфекцията и гадината и единствената възможна опция, за която споменах- Deny!Само дано гадината-така и не разбрах какво представлява- не е внесла някакви други вируси. Надявам се да оправят форума, защото имам проблеми и с Аваст. Благодаря на всички, които взеха отношение към проблема! Цитирай Link to comment Сподели другаде More sharing options...
mihnev_sz Публикувано Януари 31, 2010 Report Share Публикувано Януари 31, 2010 Междувремено открих откъде е дошъл зловредният код. URL avast.softvisia.com e заразен!Надявам се да оправят форума, защото имам проблеми и с Аваст.Източника на проблема ви не е форума на Аваст!Там няма зловреден код.Изпълнете препоръките, които са дали колегите по-горе. P.s. http://www.virustotal.com/analisis/92279b80bedc91aca08b60cdc8c1fe5e6c06285d2b8bb354a74535303f50b2e4-1264976302 Цитирай Link to comment Сподели другаде More sharing options...
draco_volans Публикувано Януари 31, 2010 Report Share Публикувано Януари 31, 2010 И аз никакъв проблем не видях във форума/сайта на avast... Въпреки, че всеки ден го преслушвам. Цитирай Link to comment Сподели другаде More sharing options...
defteros Публикувано Февруари 1, 2010 Author Report Share Публикувано Февруари 1, 2010 Източника на проблема ви не е форума на Аваст!Там няма зловреден код.Изпълнете препоръките, които са дали колегите по-горе. P.s. http://www.virustotal.com/analisis/92279b80bedc91aca08b60cdc8c1fe5e6c06285d2b8bb354a74535303f50b2e4-1264976302 Тогава проблемът и или в Аваст-а или в Spybot - Search!? Иначе защо Spybot ще ми извежда, че url-то е заразено? Де факто достъпът до този адрес е блокиран! Май е някакъв вирус-привнесен заедно с другата гадина или резултат от този вирус- който може да инфектирал и Интернет Експлорър!? Spybot обаче спря да извежда съобщения, за Platnuma-a! Този вирустотал сканира само отделни файлове. Как може да ми помогне? Ще сканирам цялата система, междувременно ако имате някакви идеи, ще съм ви страшно задължен. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Февруари 1, 2010 Report Share Публикувано Февруари 1, 2010 Сканирай с Malwarebytes' Anti-Malware и SUPERAntiSpyware Free. Ако вече имаш програмите, провери дали имаш последните версии и ако нямаш, премахни твоите и инсталирай най-новите. Ако тепърва инсталираш програмите, след инсталацията те ще предложат да се обновят автоматично, съгласи се. В противен случай обнови дефинициите им ръчно. За Malwarebytes' Anti-Malware:- стартирай програмата;- избери Perform quick scan (Бързо сканиране) и кликни бутон Scan (Сканирай);- като приключи сканирането кликни бутон OK и после Show results (Покажи резултатите);- кликни бутон Remove Selected (Премахни избраните);- ще се появи текстов файл (лог), копирай съдържанието му тук. За SUPERAntiSpyware:- стартирай програмата;- кликни бутон Scan your Computer (Сканиране на компютъра);- вляво избери само дял C:, а вдясно избери Perform Complete Scan (Извърши пълно сканиране);- кликни Next и изчакай програмата да сканира;- ако има засечени заплахи, кликни OK на съобщението;- кликни Next, за да се премахнат гадинките, OK на потвърждението и накрая Finish;- кликни бутон Preferences... (Настройки) и иди на подпрозорец Statistics/Logs (Дневници), маркирай последния лог по дата и кликни бутон View Log... (Покажи дневника);- копирай съдържанието му тук. Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага. Да видим дали те ще открият по нещо. Цитирай Link to comment Сподели другаде More sharing options...
defteros Публикувано Февруари 1, 2010 Author Report Share Публикувано Февруари 1, 2010 Сканирай с Malwarebytes' Anti-Malware и SUPERAntiSpyware Free. Ако вече имаш програмите, провери дали имаш последните версии и ако нямаш, премахни твоите и инсталирай най-новите. Ако тепърва инсталираш програмите, след инсталацията те ще предложат да се обновят автоматично, съгласи се. В противен случай обнови дефинициите им ръчно. За Malwarebytes' Anti-Malware:- стартирай програмата;- избери Perform quick scan (Бързо сканиране) и кликни бутон Scan (Сканирай);- като приключи сканирането кликни бутон OK и после Show results (Покажи резултатите);- кликни бутон Remove Selected (Премахни избраните);- ще се появи текстов файл (лог), копирай съдържанието му тук. За SUPERAntiSpyware:- стартирай програмата;- кликни бутон Scan your Computer (Сканиране на компютъра);- вляво избери само дял C:, а вдясно избери Perform Complete Scan (Извърши пълно сканиране);- кликни Next и изчакай програмата да сканира;- ако има засечени заплахи, кликни OK на съобщението;- кликни Next, за да се премахнат гадинките, OK на потвърждението и накрая Finish;- кликни бутон Preferences... (Настройки) и иди на подпрозорец Statistics/Logs (Дневници), маркирай последния лог по дата и кликни бутон View Log... (Покажи дневника);- копирай съдържанието му тук. Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага. Да видим дали те ще открият по нещо. Здравейте, Използвам и двете програми- обнових само SUPERAntiSpyware. След деинсталация на старата версия и сканиране със новата проблема с url адреса изчезна. дневник на сканиране на SUPERAntiSpywarehttp://www.superantispyware.com Създаден на 02/01/2010 в 08:51 PM Версия на програмата: 4.33.1000 Версия на базата от данни на основните правила: 4543Версия на базата от данни за остатъците: 2355 Тип на сканиране: Пълно сканиранеОбщо време за сканиране: 00:15:51 Anti-Malware също не откри нищо. Мисля, че засега проблемът е решен. Благодаря за помоща.П.П. SUPERAntiSpyware има резидента защита -видях го в настройките- дали мога да я ползвам заедно с тази на Аваст? Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Февруари 1, 2010 Report Share Публикувано Февруари 1, 2010 Нещо не стана ясно какво е открила SUPERAntiSpyware.Само платената версия на SUPERAntiSpyware има резидентна защита. Да, тя може да се използва редом с антивирусна програма, стига да не става въпрос за 64-битова операционна система. Резидентната защита на SUPERAntiSpyware работи само на 32-битови версии на Windows. Засега. Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.