Проблем с Perfect Disk

[Lokoto]

Ами тези файлове, който Superantispyware показва/на първата картинка на предишният отговор/ два от тях с различно име всеки път след стартиране на системата ги намира пак.

Значи стартирам Supereanti...сканира.....намира в C\windows\System32\*****.tmp....изтрива ги и предлага рестарт....рестартирам....пускам проверка и пак са там поне 2 от файловете. Ако стартирам компютърът няколко пъти без да проверявам с програмата, при проверка намира не 2, а повече/пример шочето от предният пост/.

Malwarebytes' Anti-Malware не намира нищо, но пък е с дефиниции от 05,02,2009. Superantisppayware е с дефиниции от вчера, т.е. ъпдейтна се един път. Но като опитах да го ъппдейтна пак сед това пак каза че няма връзка със сървъра за ъпдеит, или няма интернет, или има firewall които го спира да се свърже. firewal-аl беше на Windows само и го бях спрял, интернет имах. Ъпдейт/или поне проверка за такъв/ нямаше!

Не мога да се вържа и към никой сайт за online сканиране за вируси. Изписва....изписва страницата на браузера с която той те уведомява че нямш връзка към интернет. Без значение дали Mozila или IE.

 

Извинявай Armageddon,

 

но ти изключил ли си System Restory? Ако не, първо го изключи, рестартирай и влез в Safe режим и от там сканирай, рестрартирай и би трябвало да си готов...

Иначе, много е вероятно вирусът да се е закачил на файловите в System Restory и всеки път когато рестартираш, чете копие от там и отново се появява.

[Armageddon8]

System restore е изклюмено,пускам в safe mode, сканирах със Superantispyware, намира, изтрива, рестартирам, пускам пак и пак намира същите. Ако не вярваш, като се върна от работа ще дам скрииншотове от всичко. Ще хвана на изтрия и всички restore point-тове тогава. Всички направени до сега. Снощи дремах до 1 часа да го правя това. Под safe mode Malwarebytes' Anti-Malware пак не намира нищо.

Като се върна от работа пак ще го направя, ама се съмнявам че ще стане.

По скоро Superantispyware да не може да го изчисти както трябва...или на мене така ми се струва.

Тъй като съм без антивирусна, ще инсталирам НОД и ще пусна да сканира. Въпросът е обаче дали ще се ъпдейнтне. Ако не иска,някой може ли да даде линк например към последните дефиниции на ESET NOD 32 примерно. Не знам дали НОД може да се ъпдейтва от файл или само може от интернет.

[Lokoto]

System restore е изклюмено,пускам в safe mode, сканирах със Superantispyware, намира, изтрива, рестартирам, пускам пак и пак намира същите. Ако не вярваш, като се върна от работа ще дам скрииншотове от всичко. Ще хвана на изтрия и всички restore point-тове тогава. Всички направени до сега. Снощи дремах до 1 часа да го правя това. Под safe mode Malwarebytes' Anti-Malware пак не намира нищо.

Като се върна от работа пак ще го направя, ама се съмнявам че ще стане.

По скоро Superantispyware да не може да го изчисти както трябва...или на мене така ми се струва.

Тъй като съм без антивирусна, ще инсталирам НОД и ще пусна да сканира. Въпросът е обаче дали ще се ъпдейнтне. Ако не иска,някой може ли да даде линк например към последните дефиниции на ESET NOD 32 примерно. Не знам дали НОД може да се ъпдейтва от файл или само може от интернет.

 

ОК! Вярвам, вярвам, погледни в тази тема, доколкото си спомням и той имаше сходния проблем. Пробвай и може да имаш късмет да изтриеш гадинките...

[Night_Raven]

С Malwarebytes' Anti-Malware се сканира под НОРМАЛЕН режим, не Safe Mode!

[Armageddon8]

С Malwarebytes' Anti-Malware се сканира под НОРМАЛЕН режим, не Safe Mode!

 

Да....сканирал съм и под safe mode и в нормален режи. Сканирал съм поне 5 пъти в нормален и 1 в safe mode. и "бързото" и "бавното" сканиране.

[Armageddon8]

Давам лог от hijackthis. Аз лично не успях да намеря нещо за поправяне там. Изрових почти всичко в Гугъл и ми се видя нормално, ама нещо не си вярвам много така че...

 

Logfile of HijackThis v1.99.1

Scan saved at 18:35 ч., on 9.2.2009 г.

Platform: Unknown Windows (WinNT 6.00.1905 SP1)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Raxco\PerfectDisk2008\PD91AgentS1.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\COMODO\Firewall\cfp.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Winamp\elevator.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\Jpnh Smith\Desktop\Defence\Defence2.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll

O11 - Options group: [iNTERNATIONAL] International*

O13 - Gopher Prefix:

O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/...S/wlscctrl2.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe

O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

[Night_Raven]

В лога не виждам нищо опасно. Програмите продължават ли да не се обновяват? Сигурен ли си, че си им разрешил достъпа както трябва през Comodo?

[Armageddon8]

Програмите не се обновяват.

На работа единият от компютрите е заразен с "I-Worm/Generic.CLJ" - според AVG. Заразениет компютър е с Avira но с дефиниции от 28,11,2008/авирата не намира нищо при сканиране/. Там Malwarebytes' Anti-Malware също не иска да се ъпдеитне. Авирата и тя не може се ъпдеитва!

Вирусът го "хванах" на флашката ми която беше използвана за размяна на иформация със заразеният компютър. Работният ми компюрър е с АВГ.АВГ-то е с последни дифиниции и го индентифицира I-Worm/Generic.CLJ/и премахма/ от флашката успешно. На заразеният компютър на работа също инсталирахме АВГ но и тя не може да се ъпдейтне.

Явно и у нас съм прехванал същият/всъщност много вероятно, но не е напълно сигурно/.

Въпросът е някой може ли да ми намери файла с последните дефиниции на АВГ заго ъпдейтна и евентуално да оправи проблемът/у на с и на работа/?

Пробвах да ъпдейтна АВГ-то на заразеният компютър/на работа/ като копирам от моят работен файловете за ъпдейт от C:\ProgramData\Avg8\update\download само че, не стана. Изписа че анализира файловете и не се нуждае от ъпдейт. Дата на антвирусната защита седи 15,09,2008 обаче. Може би аз бъркам файловете, не знам. Тава Авг на заразениет компютър на работа при сканиране също не намира нищо.

[Night_Raven]

За AVG не мога да помогна, но мога да помогна за SUPERAntiSpyware и Malwarebytes' Anti-Malware.

Дефинициите на SUPERAntiSpyware можеш да изтеглиш от този линк.

Дефинициите на Malwarebytes' Anti-Malware можеш да изтеглиш от този линк.

[Armageddon8]

Мерси!

SUPERAntiSpyware - не успях да ги изгегля.

Malwarebytes' Anti-Malware - стана и се ъпдеитна.

SUPERAntiSpyware - успя да се ъпдеитне веднъж. Не знам как и защо един път става, а след това дава че няма връзкак със сървъра. Ето лога:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 02/10/2009 at 06:06 PM

 

Application Version : 4.25.1012

 

Core Rules Database Version : 3748

Trace Rules Database Version: 1715

 

Scan type : Custom Scan

Total Scan Time : 00:22:43

 

Memory items scanned : 547

Memory threats detected : 0

Registry items scanned : 7209

Registry threats detected : 0

File items scanned : 17894

File threats detected : 7

 

Adware.Tracking Cookie

C:\Users\Jpnh Smith\AppData\Roaming\Microsoft\Windows\Cookies\jpnh_smith@2o7[2].txt

C:\Users\Jpnh Smith\AppData\Roaming\Microsoft\Windows\Cookies\jpnh_smith@msnservices.112.2o7[1].txt

C:\Users\Jpnh Smith\AppData\Roaming\Microsoft\Windows\Cookies\jpnh_smith@msnportal.112.2o7[1].txt

 

Trojan.Unknown Origin

C:\WINDOWS\SYSTEM32\069D9.TMP

C:\WINDOWS\SYSTEM32\06B6E.TMP

C:\WINDOWS\SYSTEM32\06C0A.TMP

C:\WINDOWS\SYSTEM32\07406.TMP

Malwarebytes' Anti-Malware - нищо не намери.

Понастоящем унинсталирах Комодо, и инсталирах ESET Smart Security. Версия на антивирусната защита 3553. Не занм дали е нова тъй като нямам достъп до сайта им. Също не иска да се ъпдеитне засега. Сайтовете на известните антивирусни компании са ми недостъпни. Единствено online scanner-a на микрософт става, но за Виста той е бета версия и дава грешка/е тва е да си късметлия/.Restore point-а е спрян отдавна.

Повторно сканиране с SUPERAntiSpyware не се откриха зловредни обекти. При сканиране ESET Smart Security не намери нищо - ее намери едно crack-че, но не това е проблемът.

ГОМ плейрът сега може да се ъпдеинтне, но Malwarebytes' Anti-Malware,SUPERAntiSpyware НЕ, сайтовете на известните антивирусни компании са ми недостъпни. a-squared също не се ъпдейтва. Посочените програми не искаха да се ъпдеитват и при унинсталирано КОМОДО, преди инсталацията на ESET Smart Security.

Нещо позагубих идеи.

[Night_Raven]

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V).

[Armageddon8]

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2009-02-10 22:16:24

Windows 6.0.6001 Service Pack 1

 

 

---- Devices - GMER 1.0.14 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\tdx \Device\Ip epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\tdx \Device\Tcp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\tdx \Device\Udp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\tdx \Device\RawIp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

 

---- Services - GMER 1.0.14 ----

 

Service C:\Windows\system32\svchost.exe (*** hidden *** ) [AUTO] scfjbvv <-- ROOTKIT !!!

 

---- EOF - GMER 1.0.14 ----

Попита ме дали искам пълно сканиране на системата и отказах/за сега/

[Night_Raven]

Положението не е никак розово.

 

Изтегли ComboFix и го запази на десктопа. Спри всички ненужни програми. Меню Start -> Run -> напиши/пейстни следния текст:

"%userprofile%\desktop\combofix.exe" /killall

 

Потвърди с Yes на прозорците, които се появяват. Изчакай да сканира докрай и не закачай прозореца.. По всяка вероятност ще поиска рестарт, на което се съгласи. След това пейстни съдържанието на текстовия файл C:\ComboFix.txt тук или прикачи файла към коментара си.

[Armageddon8]

Ето лога от Combofix

ComboFix.txt

[Night_Raven]

Създай нов текстов документ с име CFScript и следното съдържание:

killall::

file::
c:\windows\System32\bpzlo.dll
c:\windows\System32\[u]0[/u]69F8.tmp
c:\windows\System32\[u]0[/u]75EA.tmp
c:\windows\System32\[u]0[/u]708D.tmp
c:\windows\System32\[u]0[/u]C300.tmp

netsvc::
scfjbvv

registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0580A461-60A6-46F9-8355-B33BF08CCC54}"=-
"{016A6FAB-45AC-4851-BD96-3E26C9CFDD85}"=-

sysrst::

 

След като запазиш файла, го хвани с левия бутон на мишката, провлачи го и го пусни върху ComboFix.

По всяка вероятност пак ще има нужда от рестарт, така че рестартирай и после дай лога от това, който също трябва да се намира на C:\.