Проблеми и съвети при работа с Microsoft PowerPoint

[draco_volans]

Е, нали казваш, че не можеш да отваряш сайтове на антивирусни програми? Файлът, нещо антивирусните го ловят като гадинка (съмнява ме да е, но все пак...) Възможно е нещо гости да имаш... За това дай лога от HJT, та да го види евентуално Night_Raven... Тука, явно има ситуация "Де го чукаш, къде се пука" с твоя проблем...

[MeGa]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:06:31, on 19.11.2009 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\AhnRpta.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\SVCHOST.EXE

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Google\Update\1.2.183.13\GoogleCrashHandler.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Microsoft Office\Office12\Wordconv.exe

C:\Program Files\Microsoft Office\Office12\Wordconv.exe

C:\Program Files\Microsoft Office\Office12\Wordconv.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://haskovo.tv/

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [LocalService] C:\WINDOWS\SVCHOST.EXE

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Ivaylo\LOCALS~1\Temp\herss.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: .lnk = C:\Program Files\SolidWorks (2)\SolidWorks\swScheduler\swBOEngine.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=GRfox000

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Преведи - {60237576-b24c-4ba9-9740-c9f3ec9db557} - C:\PROGRA~1\SkyCode\WEBTRA~1\wt2ie.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Cool Hand Poker - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\coolhandMPP\MPPoker.exe (file missing) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin9.valueactive.eu/Register/Branding/olr3313/OCX/flashax.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4154AC2B-D1D4-4CE6-8FA5-C424C847D75D}: NameServer = 195.24.90.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{EBC6C0C2-207A-4C57-8CC5-4F6E5665D538}: NameServer = 195.24.90.1 195.24.88.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Услуга Google Update (gupdate1c9a988c367e182) (gupdate1c9a988c367e182) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe

 

--

End of file - 5877 bytes

[draco_volans]

На мен, без да съм специалист, като подозрителни ми се виждат следните редове:

 

C:\WINDOWS\AhnRpta.exe

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Ivaylo\LOCALS~1\Temp\herss.exe

[Nicky]

Сложи отметките и премахни

C:\WINDOWS\AhnRpta.exe

C:\WINDOWS\SVCHOST.EXE

O4 - HKCU\..\Run: [LocalService] C:\WINDOWS\SVCHOST.EXE

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Ivaylo\LOCALS~1\Temp\herss.exe

O8 - Extra context menu item: &Search - http://edits.mywebse...html?p=GRfox000

O9 - Extra button: Cool Hand Poker - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\coolhandMPP\MPPoker.exe (file missing) (HKCU)

 

Първите 2 са файловете на вирус, вторите две са командите, които ги стартират, следващото е нещо като излишно и потенциално вредно, а последното просто липсва

 

ПС: Не беше лошо да преименуваш изпълнимия файл на Hijack This на нещо друго (класическото alabala.exe върши чудна работа), но това може да го направиш при повторното сканиране

[Night_Raven]

След като сложиш отметки на следните обекти и кликнеш Fix checked рестартирай системата:

O4 - HKCU\..\Run: [LocalService] C:\WINDOWS\SVCHOST.EXE

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Ivaylo\LOCALS~1\Temp\herss.exe

O8 - Extra context menu item: &Search - http://edits.mywebse...html?p=GRfox000

O9 - Extra button: Cool Hand Poker - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\coolhandMPP\MPPoker.exe (file missing) (HKCU)

 

Провери дали въпросните файлове/процеси са стартирани отново. Ако са, дай тук още един лог. Ако не са, изтрий файла C:\WINDOWS\SVCHOST.EXE ръчно.

 

Изтегли ATF Cleaner. Стартирай я, постави отметки на Windows Temp, Current User Temp, All Users Temp, Temporary Internet Files, Java Cache и Recycle Bin и кликни Empty Selected. Потвърди с OK и затвори програмата.

 

Ще е желателно да извършиш профилактично сканиране...

 

Сканирай със Malwarebytes' Anti-Malware и SUPERAntiSpyware Free. Ако вече имаш програмите, провери дали имаш последните версии и ако нямаш, премахни твоите и инсталирай най-новите. Ако тепърва инсталираш програмите, след инсталацията те ще предложат да се обновят автоматично, съгласи се. В противен случай обнови дефинициите им ръчно.

 

За Malwarebytes' Anti-Malware:

- стартирай програмата;

- избери Perform quick scan (Бързо сканиране) и кликни бутон Scan (Сканирай);

- като приключи сканирането кликни бутон OK и после Show results (Покажи резултатите);

- кликни бутон Remove Selected;

- ще се появи текстов файл (лог), копирай съдържанието му тук.

 

За SUPERAntiSpyware:

- стартирай програмата;

- кликни бутон Scan your Computer (Сканиране на компютъра;

- вляво избери само дял C:, а вдясно избери Perform Complete Scan (Извърши пълно сканиране);

- кликни Next и изчакай програмата да сканира;

- ако има засечени заплахи, кликни OK на съобщението;

- кликни Next, за да се премахнат гадинките, OK на потвърждението и накрая Finish;

- кликни бутон Preferences... (Настройки) и иди на подпрозорец Statistics/Logs (Дневници), маркирай последния лог по дата и кликни бутон View Log... (Покажи дневника);

- копирай съдържанието му тук.

 

Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага.

[MeGa]

Фикснах тези неща дето каза , пуснах ATF Cleaner , сканирах с SUPERAntiSpyware но пак не отваря сайтове свързани с антивирусни.Както и да е това не ми пречи и не е проблема по който сам пуснал темата.Марзи ме да правя всички продцедури за пречистване на компа...То акo става въпрос компа си е за преинстал.Ако може да ми помогнете с презентацията добре ,ако неможете здраве му ...

[Night_Raven]

Значи здраве ще да е...

[Aquarius]

Проблемът с отварянето на сайтове за сигурност вероятно се дължи на модифициран файл за локално преобразуване на домейни, известен като hosts файл. За целта е добре да пуснеш тук съдържанието му, за да видим дали има нещо нередно в него. За целта стартирай отново HijackThis и на началния екран кликни на бутона Open the Misc Tools section. След това кликни на Open hosts file manager --> Оpen in Notepad и копирай съдържанието от Notepad тук във форума.

 

Относно файла на PowerPoint - подозирам, че самото възстановяване не е направено като хората, най-малкото защото си го извършил при работеща операционна система, а това е крайно грешна практика. Когато се изтрие важен и файл и съответно трябва да се възстанови то това се прави в offline среда (UBCD4Win например), никога при работеща система, защото шансовете за пълноценно възстановяване намаляват значително. Отделно, че при изтрит важен файл системата трябва да се изгаси моментално, за да е сигурно че няма да се презапишат клъстерите, които са съдържали файла с друга информация, което също е малко вероятно да си го спазил.

 

P.S.: "преинстал" е най-глупавият начин за решаване на каквито и да било проблеми и е добре да ти е най-последна алтернатива с малки изключения, разбира се

[B-boy/StyLe/]

Благодаря на Nicky за файла !

 

Със сигурност е зловреден и добре, че си го премахнал.

 

http://www.threatexpert.com/report.aspx?md5=2fadeea1303cc1eb59d8bd44d10a0562

 

От утре ще е в дефинициите на Malwarebytes:

 

It is actually a PE file(Has a MZ header) so i can attack it.

 

I have created a signature for the file and it will be in the MBAM database on the next update.

 

I'm just finishing for today so will have to look at what the file imports tomorrow.

 

Thanks for the sample.

[isaakhim]

Това какво означава, че след като съм го стартирал съм се заразил? Поне видимо не намирам никакви проблеми. Даже още пазя файла на компютъра. Както отбелязах по рано, при стартиране на файла, COMODO Firewall не отчете никакъв достъп до регистрите, които защитава. Този "вирус" ще да е като нинджа.

[isaakhim]

От утре ще е в дефинициите на Malwarebytes:

 

Това вече е действителност.

 

Malwarebytes' Anti-Malware 1.41

Версия на базата от данни: 3200

Windows 5.1.2600 Service Pack 3

 

20.11.2009 г. 03:19:52

mbam-log-2009-11-20 (03-19-52).txt

 

Тип сканиране: Пълно сканиране (C:\|)

Сканирани обекти: 210936

Изминало време: 16 minute(s), 39 second(s)

 

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 2

 

Заразени процеси в паметта:

(Не бяха открити заплахи)

 

Заразени модули в паметта:

(Не бяха открити заплахи)

 

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

 

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

 

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

 

Заразени папки:

(Не бяха открити заплахи)

 

Заразени файлове:

C:\Documents and Settings\Administrator\My Documents\Изтегляния\Lazeri.ppt (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Administrator\My Documents\Изтегляния\Лазери.ppt (Trojan.Agent) -> Quarantined and deleted successfully.

 

Някой по-компетентен би ли разяснил (ако разбира се има желание), в какво точно се състои зловредността на този Trojan.Agent?

Благодаря предварително!

[draco_volans]

MeGa каза, че преди да го изтрие, документът се е отварял, но след възстановяването, това вече не е било възможно... Предполагам, че заедно с документа, е бъгнал и зловредният код, който той носи... Все пак, сред обикновените програми се срещат бъгове, вероятно и зловредните такива не са имунизирани срещу проблеми... Нищо, сигурно в следващата версия авторът ще фиксне проблема . Може задействането на заразата да изисква свястно зареждане на документа в PowerPoint, за да се включи гадинката - с активни ActivX контоли, скриптчета и т.н.

[mimoslav4eto]

Проблемът ми се състои в това, че когато вмъкна във презентация видео и пусна презентацията, когато видеото е пуснато има само звук и черен екран- тоесто няма картина..... Някой би ли могъл да ми помогне и да ми каже аз ли греша внещо, някаква приставка ли ми трябва? Смея да се нарека начинаещ в тази област и не разбирам много, затова съжалявам ако задавам елементарни въпроси...

[Nicky]

Принципно за да върви видеото, трябва да има инсталиран видео и аудио кодек на компютъра, където се пуска презентацията. Явно аудиото го има. Ама провери дали и видео кодека го има.

[mimoslav4eto]

Според моите проверки имам.... но все пак успях да открия решение.