Проблем с вируси

[nikki_555]

Някъде преди два дена компютъра започна да прави проблеми, изтри звуковия драйвър, долната иконка с говорителчето изчезна, а като се опитам да преинсталира драйвъра не ми дава. Преди около месец-два пак се бях заразила, обае скенирах с malwarebytes, почистих и всичко се оправи. Може би още тогава не сам почистила всичко. Сега като скенирам пак ми дава че имам троянец, обаче не мога да се оправя. Ако някой ми помогне ще съм много благодарна. Скенирах с HiJackThis, ето го и лога:

 

Logfile of HijackThis v1.99.1

Scan saved at 20:20:11, on 31.8.2008 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\O2Micro\o2flash.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Datecs\FlexType 2K\FType2K.exe

C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe

C:\DOCUME~1\SektorIT\LOCALS~1\Temp\imuqo.exe

C:\DOCUME~1\SektorIT\LOCALS~1\Temp\tavhr.exe

C:\Program Files\Creative\Shared Files\CTAudSvc.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\abv.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://uk.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

F2 - REG:system.ini: Shell=Explorer.exe "

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdzix.exe] C:\WINDOWS\system32\kdzix.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [workflow] F:\installs\workflow.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: FlexType 2K.lnk = C:\Program Files\Datecs\FlexType 2K\FType2K.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Преведи - {60237576-b24c-4ba9-9740-c9f3ec9db557} - C:\PROGRA~1\SkyCode\WEBTRA~1\wt2ie.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: Yahoo! Checkers - http://origin.games.yahoo.net/games/clients/y/kt4_x.cab

O16 - DPF: Yahoo! Dominoes - http://origin.games.yahoo.net/games/clients/y/dot9_x.cab

O16 - DPF: Yahoo! Literati - http://origin.games.yahoo.net/games/clients/y/tt5_x.cab

O16 - DPF: Yahoo! Reversi - http://origin.games.yahoo.net/games/clients/y/rt0_x.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd -C:\Program Files\Creative\Shared Files\CTAudSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro\o2flash.exe

 

Надявам се да има начин да си спестя пеинсталацията на Windows. В началото и IE не ми работеше, показваше ми все едно нямам интернет и трябваше постоянно да рефрешвам, обаче го оправих по някакъв начин.

[Night_Raven]

Изведи Task Manager (Ctrl+Alt+Del), иди на Processes и спри процесите:

C:\DOCUME~1\SektorIT\LOCALS~1\Temp\imuqo.exe

C:\DOCUME~1\SektorIT\LOCALS~1\Temp\tavhr.exe

 

Изтегли ATF Cleaner (49.5KB), стартирай я, постави отметки на Windows Temp, Current User Temp и Temporary Internet Filex и кликни Empty Selected.

 

В HijackThis постави отметки на следните обекти и кликни Fix checked:

F2 - REG:system.ini: Shell=Explorer.exe "

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdzix.exe] C:\WINDOWS\system32\kdzix.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)

 

И въпреки това бих препоръчал да сканираш отново с последните версии на SUPERAntiSpyware Free и Malwarebytes' Anti-Malware, като не забравиш да ги обновиш.

 

След това рестартирай компютъра и дай нов LOG.

[nikki_555]

Направих всичко, скенирах пак с Malwarebytes i SuperAntiSpyware. Казват, че има троянци, давам им да ги оправи, ама ми се струва че нищо не става. Май няма да мога да си спестя преинсталацията този път. Всеки път като пусна компютъра ми излиза да синхронизирам нещо и ми открива ново устроиство - аудио. Овабаче никога не ми дава да инсталирам софтуера, казва ми че нямам достъп до това. Ето го и новия лог:

 

Logfile of HijackThis v1.99.1

Scan saved at 07:50:01, on 01.9.2008 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Creative\Shared Files\CTAudSvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\O2Micro\o2flash.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\FlashGet\FlashGet.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe

C:\Program Files\Datecs\FlexType 2K\FType2K.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\SektorIT\LOCALS~1\Temp\winhpyw.exe

C:\DOCUME~1\SektorIT\LOCALS~1\Temp\pwhiqf.exe

C:\Program Files\HijackThis\abv.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://uk.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [workflow] F:\installs\workflow.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [Flashget] "C:\Program Files\FlashGet\FlashGet.exe" /min

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: FlexType 2K.lnk = C:\Program Files\Datecs\FlexType 2K\FType2K.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Преведи - {60237576-b24c-4ba9-9740-c9f3ec9db557} - C:\PROGRA~1\SkyCode\WEBTRA~1\wt2ie.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: Yahoo! Checkers - http://origin.games.yahoo.net/games/clients/y/kt4_x.cab

O16 - DPF: Yahoo! Dominoes - http://origin.games.yahoo.net/games/clients/y/dot9_x.cab

O16 - DPF: Yahoo! Literati - http://origin.games.yahoo.net/games/clients/y/tt5_x.cab

O16 - DPF: Yahoo! Reversi - http://origin.games.yahoo.net/games/clients/y/rt0_x.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro\o2flash.exe

[Aquarius]

От последния Log-файл на HJT се вижда, че зловредните процеси отново са заредени. Това означава, че най-вероятно, когато убиеш един от тях с Task Manager, другият го "съживява" отново, но с друго име. Това е доста често срещаната тактика при повечето заплахи. Същото важи и за записите за автоматично стартиране във файловата система и/или системния регистър. Затова бих ти препоръчал да пробваш следното.

 

1) Изтегли и стартирай Process Explorer.

2) В списъка с процесите намери двата зловредни такива - winhpyw.exe и pwhiqf.exe. Ако не виждаш такива процеси най-вероятно са с друго име. За целта докато преглеждаш списъка с процесите задържай курсора на мишката върху всеки процес, за да може ProcExp да ти покаже пътя до файла, който процеса изпълява. Така лесно ще може да откриеш зловредните, защото те се намират в C:\DOCUME~1\SektorIT\LOCALS~1\Temp\.

3) След като откриеш процесите - кликваш върху първия с дясното копче и от контекстното меню избираш Suspend. Повтаряш операцията и за втория. Когато си готова и двата процеса ще са визуализирани в сив цвят.

4) Тогава чрез клавиша Del ги убиваш и двата.

 

Добре е след като ги убиеш да обърнеш внимание дали няма пак да се покажат в списъка. Ако нов процес се появи в списъка, ProcExp ще го покаже в зелено.

 

Сега стартирай HJT и постави отметка пред следния обект и натисни Fix Checked:

 

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

 

Обнови дефинициите на Malwarebytes' Anti-Malware и SUPERAntiSpyware Free и пусни нови проверки и съответно премахни откритите заплахи.

 

След като приключиш с всичко това пусни нов Log-файл от HJT и един Log-файл от AutoRuns.

 

Стартирай файла Autoruns.exe и направи следното:

а) Избери Options -> Hide Microsoft Entries и Verify Code Signatures.

б) Избери File -> Refresh или натисни F5.

в) Избери File -> Export As.

Запази файла на твърдия диск и копирай съдържанието му в темата, заедно с това от Log-файла на HJT.

[vanio]

Опитай с ComboFix

http://store2.data.bg/vanchik/AntiVir+Anti...rs/ComboFix.exe

или SDFIX

http://store2.data.bg/vanchik/AntiVir+Anti...overs/SDFix.rar

Сваляш и стартираш под SafeMode

[Night_Raven]

Ще е добре да внимаваш какво препоръчваш. ComboFix е инструмент, който е редно да се използва внимателно и ако останалите методи не дават резултат. Това не е инструмент за ежедневна употреба и редовно сканиране.

[nikki_555]

Добре, направих всичко. Благодаря за помоща. Malwarebytes ми показва HiJackThis като заплаха. Иначе SUPERAntiSpyware Free ми откри 40 заплахи, премахнах ги. Ето го новия лог от HiJackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 19:41:20, on 01.9.2008 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Creative\Shared Files\CTAudSvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\O2Micro\o2flash.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\FlashGet\FlashGet.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Datecs\FlexType 2K\FType2K.exe

C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe

C:\DOCUME~1\SektorIT\LOCALS~1\Temp\vaaa.exe

C:\DOCUME~1\SektorIT\LOCALS~1\Temp\cpbui.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\abv.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://uk.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [workflow] F:\installs\workflow.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [Flashget] "C:\Program Files\FlashGet\FlashGet.exe" /min

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: FlexType 2K.lnk = C:\Program Files\Datecs\FlexType 2K\FType2K.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Преведи - {60237576-b24c-4ba9-9740-c9f3ec9db557} - C:\PROGRA~1\SkyCode\WEBTRA~1\wt2ie.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: Yahoo! Checkers - http://origin.games.yahoo.net/games/clients/y/kt4_x.cab

O16 - DPF: Yahoo! Dominoes - http://origin.games.yahoo.net/games/clients/y/dot9_x.cab

O16 - DPF: Yahoo! Literati - http://origin.games.yahoo.net/games/clients/y/tt5_x.cab

O16 - DPF: Yahoo! Reversi - http://origin.games.yahoo.net/games/clients/y/rt0_x.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro\o2flash.exe

 

 

Ето го и лога от Autoruns:

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ DAEMON Tools Virtual DAEMON Manager (Verified) DAEMON Tools Code Signing Services c:\program files\daemon tools\daemon.exe

+ Flashget FlashGet (Not verified) FlashGet.com c:\program files\flashget\flashget.exe

+ NeroCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe

+ NvCplDaemon NVIDIA Display Properties Extension (Not verified) NVIDIA Corporation c:\windows\system32\nvcpl.dll

+ nwiz NVIDIA nView Wizard, Version 110.89 (Not verified) NVIDIA Corporation c:\windows\system32\nwiz.exe

+ QuickTime Task QuickTime Task (Not verified) Apple Inc. c:\program files\quicktime\qttask.exe

+ SunJavaUpdateSched Java Platform SE binary (Not verified) Sun Microsystems, Inc. c:\program files\java\jre1.6.0_07\bin\jusched.exe

+ WinampAgent c:\program files\winamp\winampa.exe

+ workflow File not found: F:\installs\workflow.exe

C:\Documents and Settings\All Users\Start Menu\Programs\Startup

+ Adobe Reader Speed Launch.lnk Adobe Acrobat SpeedLauncher (Not verified) Adobe Systems Incorporated c:\program files\adobe\reader 8.0\reader\reader_sl.exe

+ Adobe Reader Synchronizer.lnk (Verified) Adobe Systems, Incorporated c:\program files\adobe\reader 8.0\reader\adobecollabsync.exe

+ FlexType 2K.lnk c:\program files\datecs\flextype 2k\ftype2k.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

+ SUPERAntiSpyware SUPERAntiSpyware Application (Not verified) SUPERAntiSpyware.com c:\program files\superantispyware\superantispyware.exe

+ swg GoogleToolbarNotifier (Verified) Google Inc c:\program files\google\googletoolbarnotifier\1.2.1128.5462\googletoolbarnotifier.exe

+ Uniblue RegistryBooster 2009 File not found: C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S

+ Yahoo! Pager Yahoo! Messenger (Not verified) Yahoo! Inc. c:\program files\yahoo!\messenger\yahoomessenger.exe

HKLM\SOFTWARE\Classes\Protocols\Handler

+ skype4com Skype for COM API (Verified) Skype Technologies SA c:\program files\common files\skype\skype4com.dll

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

+ 0 File not found: http://www.gingagadgets.com/nationalparks/...arks.120.60.PNG

+ 1 File not found: About:Home

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

+ SABShellExecuteHook Class ShellExecuteHook (Not verified) SuperAdBlocker.com c:\program files\superantispyware\sasseh.dll

HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers

+ SASContextMenu Class SUPERAntiSpyware Context Menu Extension (Not verified) SUPERAntiSpyware.com c:\program files\superantispyware\sasctxmn.dll

+ WinRAR c:\program files\winrar\rarext.dll

HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers

+ MBAMShlExt Malwarebytes' Anti-Malware (Verified) Malwarebytes c:\program files\malwarebytes' anti-malware\mbamext.dll

HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers

+ SASContextMenu Class SUPERAntiSpyware Context Menu Extension (Not verified) SUPERAntiSpyware.com c:\program files\superantispyware\sasctxmn.dll

+ WinRAR c:\program files\winrar\rarext.dll

HKLM\Software\Classes\Directory\Shellex\DragDropHandlers

+ WinRAR c:\program files\winrar\rarext.dll

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\program files\common files\adobe\acrobat\activex\pdfshell.dll

HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers

+ MBAMShlExt Malwarebytes' Anti-Malware (Verified) Malwarebytes c:\program files\malwarebytes' anti-malware\mbamext.dll

+ WinRAR c:\program files\winrar\rarext.dll

HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers

+ 00nView NVIDIA Desktop Explorer, Version 110.89 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll

+ NvCplDesktopContext NVIDIA Display Properties Extension (Not verified) NVIDIA Corporation c:\windows\system32\nvcpl.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Desktop Explorer NVIDIA Desktop Explorer, Version 110.89 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll

+ Desktop Explorer Menu NVIDIA Desktop Explorer, Version 110.89 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll

+ Display Panning CPL Extension File not found: deskpan.dll

+ NvCpl DesktopContext Class NVIDIA Display Properties Extension (Not verified) NVIDIA Corporation c:\windows\system32\nvcpl.dll

+ nView Desktop Context Menu NVIDIA Desktop Explorer, Version 110.89 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll

+ Play on my TV helper NVIDIA Display Properties Extension (Not verified) NVIDIA Corporation c:\windows\system32\nvcpl.dll

+ WinRAR shell extension c:\program files\winrar\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ Adobe PDF Reader Link Helper Adobe PDF Helper for Internet Explorer (Verified) Adobe Systems, Incorporated c:\program files\common files\adobe\acrobat\activex\acroiehelper.dll

+ FGCatchUrl Flashget CatchUrl Module (Not verified) www.flashget.com c:\program files\flashget\jccatch.dll

+ FlashGet GetFlash Class Flashget GetFlash Module (Not verified) www.flashget.com c:\program files\flashget\getflash.dll

+ Google Toolbar Helper Google IE Client Toolbar (Verified) Google Inc c:\program files\google\googletoolbar1.dll

+ SSVHelper Class Java Platform SE binary (Verified) Sun Microsystems, Inc. c:\program files\java\jre1.6.0_07\bin\ssv.dll

HKLM\Software\Microsoft\Internet Explorer\Toolbar

+ &Google Google IE Client Toolbar (Verified) Google Inc c:\program files\google\googletoolbar1.dll

HKLM\System\CurrentControlSet\Services

+ CTAudSvcService Creative Audio Service (Not verified) Creative Technology Ltd c:\program files\creative\shared files\ctaudsvc.exe

+ NVSvc Provides system and desktop level support to the NVIDIA display driver (Not verified) NVIDIA Corporation c:\windows\system32\nvsvc32.exe

+ o2flash O2 Flash Memory Service (Not verified) O2Micro International c:\program files\o2micro\o2flash.exe

HKLM\System\CurrentControlSet\Services

+ a1hqacue File not found: C:\WINDOWS\System32\Drivers\a1hqacue.sys

+ aec File not found: system32\drivers\aec.sys

+ AgereSoftModem File not found: system32\DRIVERS\AGRSM.sys

+ Arp1394 1394 ARP Client Protocol File not found: system32\DRIVERS\arp1394.sys

+ AsyncMac RAS Asynchronous Media Driver File not found: system32\DRIVERS\asyncmac.sys

+ Atmarpc ATM ARP Client Protocol File not found: system32\DRIVERS\atmarpc.sys

+ audstub File not found: system32\DRIVERS\audstub.sys

+ BthEnum File not found: system32\DRIVERS\BthEnum.sys

+ BTHMODEM File not found: system32\DRIVERS\bthmodem.sys

+ BthPan Bluetooth Device (Personal Area Network) File not found: system32\DRIVERS\bthpan.sys

+ BTHPORT File not found: System32\Drivers\BTHport.sys

+ BTHUSB File not found: System32\Drivers\BTHUSB.sys

+ CCDECODE File not found: system32\DRIVERS\CCDECODE.sys

+ Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys

+ CmBatt File not found: system32\DRIVERS\CmBatt.sys

+ dac970nt File not found: C:\WINDOWS\system32\drivers\ohpgnd.sys

+ DMusic File not found: system32\drivers\DMusic.sys

+ drmkaud File not found: system32\drivers\drmkaud.sys

+ GenPort 3Dfx Interactive, Inc. Generic Port I/O (Not verified) 3Dfx Interactive, Inc. c:\windows\system32\drivers\genport.sys

+ Gpc Generic Packet Classifier File not found: system32\DRIVERS\msgpc.sys

+ HidBth File not found: system32\DRIVERS\hidbth.sys

+ HidUsb File not found: system32\DRIVERS\hidusb.sys

+ HTTP This service implements the hypertext transfer protocol (HTTP). If this service is disabled, any services that explicitly depend on it will fail to start. File not found: System32\Drivers\HTTP.sys

+ i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys

+ IntcAzAudAddService File not found: system32\drivers\RtkHDAud.sys

+ Ip6Fw Provides intrusion prevention service for a home or small office network. File not found: system32\DRIVERS\Ip6Fw.sys

+ IpFilterDriver IP Traffic Filter Driver File not found: system32\DRIVERS\ipfltdrv.sys

+ IpInIp IP in IP Tunnel Driver File not found: system32\DRIVERS\ipinip.sys

+ IpNat IP Network Address Translator File not found: system32\DRIVERS\ipnat.sys

+ IRENUM File not found: system32\DRIVERS\irenum.sys

+ kmixer File not found: system32\drivers\kmixer.sys

+ lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys

+ MapMem 3Dfx Interactive, Inc. Memory mapper (Not verified) 3Dfx Interactive, Inc. c:\windows\system32\drivers\mapmem.sys

+ mouhid File not found: system32\DRIVERS\mouhid.sys

+ MSKSSRV File not found: system32\drivers\MSKSSRV.sys

+ MSPCLOCK File not found: system32\drivers\MSPCLOCK.sys

+ MSPQM File not found: system32\drivers\MSPQM.sys

+ mssmbios File not found: system32\DRIVERS\mssmbios.sys

+ MSTEE File not found: system32\drivers\MSTEE.sys

+ NABTSFEC File not found: system32\DRIVERS\NABTSFEC.sys

+ NdisIP File not found: system32\DRIVERS\NdisIP.sys

+ NdisTapi Remote Access NDIS TAPI Driver File not found: system32\DRIVERS\ndistapi.sys

+ Ndisuio NDIS Usermode I/O Protocol File not found: system32\DRIVERS\ndisuio.sys

+ NdisWan Remote Access NDIS WAN Driver File not found: system32\DRIVERS\ndiswan.sys

+ NIC1394 File not found: system32\DRIVERS\nic1394.sys

+ NTRemap 3Dfx Interactive, Inc. Board remapper (Not verified) 3Dfx Interactive, Inc. c:\windows\system32\drivers\ntremap.sys

+ nv NVIDIA Compatible Windows 2000 Miniport Driver, Version 101.12 (Not verified) NVIDIA Corporation c:\windows\system32\drivers\nv4_mini.sys

+ NwlnkFlt IPX Traffic Filter Driver File not found: system32\DRIVERS\nwlnkflt.sys

+ NwlnkFwd IPX Traffic Forwarder Driver File not found: system32\DRIVERS\nwlnkfwd.sys

+ PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys

+ PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys

+ PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys

+ PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys

+ PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys

+ PptpMiniport WAN Miniport (PPTP) File not found: system32\DRIVERS\raspptp.sys

+ PSched QoS Packet Scheduler File not found: system32\DRIVERS\psched.sys

+ Ptilink Direct Parallel Link Driver File not found: system32\DRIVERS\ptilink.sys

+ PxHelp20 Px Engine Device Driver for Windows 2000/XP (Not verified) Sonic Solutions c:\windows\system32\drivers\pxhelp20.sys

+ Rasl2tp WAN Miniport (L2TP) File not found: system32\DRIVERS\rasl2tp.sys

+ RasPppoe Remote Access PPPOE Driver File not found: system32\DRIVERS\raspppoe.sys

+ Raspti Direct Parallel File not found: system32\DRIVERS\raspti.sys

+ rdpdr File not found: system32\DRIVERS\rdpdr.sys

+ RFCOMM Bluetooth Device (RFCOMM Protocol TDI) File not found: system32\DRIVERS\rfcomm.sys

+ SASDIFSV SASDIFSV.SYS (Verified) SuperAdBlocker.com c:\program files\superantispyware\sasdifsv.sys

+ SASENUM SASENUM.SYS (Verified) SuperAdBlocker.com c:\program files\superantispyware\sasenum.sys

+ SASKUTIL SASKUTIL.SYS (Verified) SuperAdBlocker.com c:\program files\superantispyware\saskutil.sys

+ Secdrv SafeDisc driver (Not verified) Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. c:\windows\system32\drivers\secdrv.sys

+ SLIP File not found: system32\DRIVERS\SLIP.sys

+ splitter File not found: system32\drivers\splitter.sys

+ sptd c:\windows\system32\drivers\sptd.sys

+ StillCam File not found: system32\DRIVERS\serscan.sys

+ streamip File not found: system32\DRIVERS\StreamIP.sys

+ swenum File not found: system32\DRIVERS\swenum.sys

+ swmidi File not found: system32\drivers\swmidi.sys

+ sysaudio File not found: system32\drivers\sysaudio.sys

+ Tcpip TCP/IP Protocol Driver (Not verified) Microsoft Corporation c:\windows\system32\drivers\tcpip.sys

+ tmcomm TrendMicro Common Module (Verified) Trend Micro, Inc. c:\windows\system32\drivers\tmcomm.sys

+ Update File not found: system32\DRIVERS\update.sys

+ usbccgp File not found: system32\DRIVERS\usbccgp.sys

+ usbehci File not found: system32\DRIVERS\usbehci.sys

+ usbhub File not found: system32\DRIVERS\usbhub.sys

+ USBSTOR File not found: system32\DRIVERS\USBSTOR.SYS

+ usbuhci File not found: system32\DRIVERS\usbuhci.sys

+ usbvideo File not found: System32\Drivers\usbvideo.sys

+ Wanarp Remote Access IP ARP Driver File not found: system32\DRIVERS\wanarp.sys

+ WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys

+ wdmaud File not found: system32\drivers\wdmaud.sys

+ WSTCODEC File not found: system32\DRIVERS\WSTCODEC.SYS

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

+ !SASWinLogon SUPERAntiSpyware WinLogon Processor (Not verified) SUPERAntiSpyware.com c:\program files\superantispyware\saswinlo.dll

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

+ Microsoft Document Imaging Writer Monitor Microsoft® Document Imaging (Not verified) Microsoft Corporation c:\windows\system32\mdimon.dll

 

Иначе компютърчето си забива, почнах да си правя back up за всеки случай. Дано успее да се оправи.

[vanio]

Ще е добре да внимаваш какво препоръчваш. ComboFix е инструмент, който е редно да се използва внимателно и ако останалите методи не дават резултат. Това не е инструмент за ежедневна употреба и редовно сканиране.

Не виждам никъде да съм писал за "ежедневна употреба". Според мен са перфектни, защото намират неща, които други изобщо не усещат. Казвам го от опит и много тестове на виртуална машина.

Не налагам мнение, нека всеки сам да прецени

[Night_Raven]

Положението е сериозно. Гадината е упорита, а и ти липсват много системни файлове. На всичкото отгоре виждам някаква глупава програма за оптимизация на регистратурата и ужасния FlexType. Обикновено избягвам да предлагам или препоръчвам преинсталация с форматиране, но в случая смятам, че това ще е по-лесно и може би дори по-бързо решение на проблема. Ако не искаш да преинсталираш, продължи.

 

Можеш да пробваш да минеш в Safe Mode (натискаш постоянно F8 след/по време на инциализацията на устройствата в началото и избираш Safe Mode). Ако този метод на влизане в Safe Mode ти е труден, можеш да влезеш в режима и като влезеш в Start -> Run -> msconfig -> OK -> BOOT.INI и поставиш отметка на /SAFEBOOT -> OK. Да спомена изрично: в този режим няма интернет, така че първо си свали нужните програми, които ще спомена и обнови текущите, ако не са. Можеш и да си копираш текущите инструкции на текстов файл, ако не можеш да ги запомниш.

Сканирай с GMER първо: стартираш, изчкаваш началното сканиране и кликаш бутон Scan. Ако програмата открие проблем, ще го маркира в червено.

След това можеш да преминеш към повторно сканиране със SUPERAntiSpyware и Malwarebytes' Anti-Malware.

Също би било много добре да дадеш LOG файл на ESET SysInspector: стартираш програмата, изчакваш да събере информацията си, от меню File избираш Save Log, кликаш Yes, запазваш архива някъде на удобно място и после, след като минеш в нормален режим, ще го прикачиш към коментар в текущата тема.

Сканирай и с VundoFix: изтегли, стартирай, кликни бутон Scan for Vundo и изчакай да приключи. Ако има открити зловредни обекти, накрая кликни Fix Vundo.

ComboFix е друг инструмент, който също се е доказал като ефективен и макар да крие рискове и да не се препоръчва за стандартно профилактично чистене, в случая се оказва, че може да има положителен ефект. Сканирай и с него: стартирай инструмента, изчакай да си разархивира файловете, не се стряскай от евентуалното писукане, кликни Yes на двата прозореца, които ще се появят, и изчакай самия процес на сканирането. След като програмата приключи ще се самозатвори и ще създаде LOG файл (C:\ComboFix.txt), чието съдържание можеш да копираш в коментара си, след като преминеш в нормален режим.

След като си сканирала с всички програми, мини в нормален режим чрез обикновен рестарт. Ако си ползвала метода с msconfig, за да влезеш в Safe Mode, влез отново там и махни отметката, след което рестартирай.

 

Дори и да успеем да изчистим гадината, ще трябва да стартираш поправка на Windows от инсталационния диск, за да се попълнят липсващите файлове.

Отделно ще е добре да разкараш и некадърния и вреден FlexType и глупавия RegistryBooster, но това са още далечни планове и бели кахъри, спрямо текущата ситуация.

 

Дай и повече информация относно това, че Malwarebytes' Anti-Malware счита HijackThis за заплаха. Това за пръв път го срещам и е съмнително.

[nikki_555]

Опитай с ComboFix

http://store2.data.bg/vanchik/AntiVir+Anti...rs/ComboFix.exe

или SDFIX

http://store2.data.bg/vanchik/AntiVir+Anti...overs/SDFix.rar

Сваляш и стартираш под SafeMode

 

Като пуснах ComboFix ми казва Registry editing has been disabled by your administrator. Когато се бях опитала да си изтрия анти вирусната ми беше казало същото. А по принцип няма никакви забрани.

 

Щом преинсталацията ще е по-бърза и по-лесна предпочитам нея. И без това вече съм си записала по-важните неща. Много благодаря за всичките съвети. А дали ще може ли малко информация относно форматирането, преди доста време бях форматирала, може преди 5 години и съм позабравила малко. Компютъра е разделен на три части.

[Night_Raven]

Щом преинсталацията ще е по-бърза и по-лесна предпочитам нея. И без това вече съм си записала по-важните неща. Много благодаря за всичките съвети. А дали ще може ли малко информация относно форматирането, преди доста време бях форматирала, може преди 5 години и съм позабравила малко. Компютъра е разделен на три части.

Предложих преинсталация в случая, защото ръчното чистене ще отнеме доста време за преглеждане на логове, търсене на решения, а може да се наложи и до чистене offline - чрез зареждане на друга операционна система от диск (LiveCD) и чистене оттам, което означава, че ще трябва да търсиш такава дистрибуция и да записваш на диск. На всичкото отгоре има и проблеми с липсващи системни файлове, което ще отнеме още време и не е гаранция, че след поправката всичко ще си е точно на мястото. Преинсталацията поне гарантира, че всичко ще е отново както трябва да е.

Не каза за коя операционна система става въпрос, но ето ти две теми, които може би ще са ти от полза:

Ръководство за инсталация на Windows Vista

Ръководство за инсталация на Windows XP

И не инсталирай после програми за оптимизация, както и FlexType. В тази връзка погледни тази тема.

[nikki_555]

Дай и повече информация относно това, че Malwarebytes' Anti-Malware счита HijackThis за заплаха. Това за пръв път го срещам и е съмнително.

 

Ами след като Malwarebytes' Anti-Malware приключи скенирането ми казва, че е намерило една заплаха и като я погледна това е HijackThis. Не знам защо е така.

 

Предложих преинсталация в случая, защото ръчното чистене ще отнеме доста време за преглеждане на логове, търсене на решения, а може да се наложи и до чистене offline - чрез зареждане на друга операционна система от диск (LiveCD) и чистене оттам, което означава, че ще трябва да търсиш такава дистрибуция и да записваш на диск. На всичкото отгоре има и проблеми с липсващи системни файлове, което ще отнеме още време и не е гаранция, че след поправката всичко ще си е точно на мястото. Преинсталацията поне гарантира, че всичко ще е отново както трябва да е.

Не каза за коя операционна система става въпрос, но ето ти две теми, които може би ще са ти от полза:

Ръководство за инсталация на Windows Vista

Ръководство за инсталация на Windows XP

И не инсталирай после програми за оптимизация, както и FlexType. В тази връзка погледни тази тема.

 

Много, много благодаря. Ще инсталирам XP, за вистата съм чувала доста лоши отзиви. Отново много благодаря. А за после каква защита да сложа?

 

Освен това компютъра всъщност е лаптор. И няма дискети. Как да процедирам? Ако не се лъжа трябва да направя live cd, нали?

[Night_Raven]

Първо опитай да инсталираш нормално. Има нужда от драйвери за указване с F6, само ако не се разпознава хард дискът. Ако се вижда и ти дава да избираш дяловете му, значи всичко е наред.

Защитата е въпрос на лична преценка. Погледни в съответния раздел за борба с гадини във форума и ще видиш дискусия кой как защитава компютъра си, а в раздела за анекти има анкети различни програми, включително и някои защитни.

[vanio]

Опитай с SDFIX - разархивираш, влизаш под SafeMode и стартираш файла RunThis. Ето и малко инфо

http://saule.sporaw.ru/library/sdfix.html

И запомни под SafeMode

[nikki_555]

Инталирах Windows-a, всичко мина добре. Обаче сега като се опитвам да сваля nod32, ми стига до 99% на flashget, и повече не иска да се сваля. Защо става така? Сега инталирах avg докато сваля нещо друго, но пък сега през няколко секунди ми излизат прозорчета, че има заплахи - tenatos и heur. Дали е възможно още да има нещо или това е от avg-то?