Проблем с Perfect Disk

[Armageddon8]

Ето новият лог

ComboFix.txt

[Night_Raven]

Изтегли The Avenger. Разархивирай и стартирай програмата. Потвърди с OK. Копирай следния скрипт, като го маркираш и натиснеш Ctrl+C, след което в The Avenger кликни третия бутон (Paste Script from Clipboard):

Files to delete:
c:\windows\System32\[u]0[/u]6640.tmp
c:\windows\System32\[u]0[/u]90D9.tmp
c:\windows\System32\[u]0[/u]69F8.tmp
c:\windows\System32\[u]0[/u]75EA.tmp
c:\windows\System32\[u]0[/u]708D.tmp
c:\windows\System32\[u]0[/u]C300.tmp
c:\windows\System32\bpzlo.dll

Drivers to delete:
scfjbvv
DLRKMMLK
FVLZLI
PJSLLUT

 

Кликни Execute, потвърди с Yes и на двата въпроса, което ще рестартира компютъра. След като се стартира отново ще се изведе текстов файл. Копирай съдържанието му тук.

[Armageddon8]

Мерси за отде.еното време първо и второ..

 

 

П.С. Mawarebytes Antimaware вече се ъпдеитва, също и Superanti spaywareqвече имам достъп и до сайтовете на антивирусните програми.

avenger.txt

[Night_Raven]

Тогава изтегли по-новата версия на Malwarebytes' Anti-Malware (ти навярно още имаш 1.33, а 1.34 е вече изляза, макар и още прясна и пареща). Деинсталирай версия 1.33, инсталирай 1.34. Обнови програмите и сканирай с тях.

 

За SUPERAntiSpyware:

- стартирай програмата;

- кликни бутон Scan your Computer;

- вляво избери само дял C:, а вдясно избери Perform Complete Scan;

- кликни Next и изчакай да сканира;

- кликни Next, за да се премахнат гадинките и накрая Finish;

- кликни бутон Preferences... и иди на подпрозорец Statistics/Logs, маркирай последния лог и кликни бутон View Log...;

- копирай съдържанието му тук.

 

За Malwarebytes' Anti-Malware:

- стартирай програмата;

- избери Perform quick scan и кликни бутон Scan;

- като приключи сканирането кликни бутон Remove Selected;

- ще се появи текстов файл (лог), копирай съдържанието му тук.

 

Ако някоя от програмите ти поиска рестарт, се съгласи.

[Armageddon8]

Malwarebytes' Anti-Malware не намери нищо/пъви лог/

SUPERAntiSpyware -намери доста. Ето го лога:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 02/11/2009 at 10:01 PM

 

Application Version : 4.25.1012

 

Core Rules Database Version : 3752

Trace Rules Database Version: 1718

 

Scan type : Complete Scan

Total Scan Time : 00:29:11

 

Memory items scanned : 593

Memory threats detected : 0

Registry items scanned : 7214

Registry threats detected : 0

File items scanned : 22233

File threats detected : 6

 

Trojan.Agent/Gen-NumTemp

C:\WINDOWS\SYSTEM32\06640.TMP

 

Trojan.Unknown Origin

C:\WINDOWS\SYSTEM32\069F8.TMP

C:\WINDOWS\SYSTEM32\0708D.TMP

C:\WINDOWS\SYSTEM32\075EA.TMP

C:\WINDOWS\SYSTEM32\090D9.TMP

C:\WINDOWS\SYSTEM32\0C300.TMP

Поиска рестарт и рестартирах.

Eset Smart Security се ъпдеитна и в момента сканира. Ще дам лог като свърши.

Нататък нещо друго?

mbam_log_2009_02_11__21_31_29_.txt

[Night_Raven]

После можеш да дадеш повториш операцията с GMER и да дадеш нов лог на HijackThis.

[Armageddon8]

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2009-02-11 23:04:10

Windows 6.0.6001 Service Pack 1

 

 

---- Devices - GMER 1.0.14 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\fastfat \Fat eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\tdx \Device\Ip epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\tdx \Device\Tcp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\tdx \Device\Udp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\tdx \Device\RawIp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

 

---- EOF - GMER 1.0.14 ----

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:05, on 2009-02-11

Platform: Unknown Windows (WinNT 6.00.1905 SP1)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Users\Jpnh Smith\Desktop\Defence\Defence2.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll

O11 - Options group: [iNTERNATIONAL] International*

O13 - Gopher Prefix:

O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/...S/wlscctrl2.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs:

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\az\a2service.exe

O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe

O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Ок....хайде лека и ще се "чуем" утре....

[Night_Raven]

Изглежда системата се е поочистила. И все пак не би било зле да пуснеш един SDFix да обере ако има останки.

Изтегли SDFix и запази файла на десктопа. Стартирай файла. Това ще разархивира инструмента в папка SDFix на системния дял (обикновено това е C:\SDFix) и ще покаже текстов файл с обяснения. Мини в Safe Mode. Рестартирай компютъра и започни да натискаш F8 след инициализацията на твърдите дискове и оптичните устройства (т.е. след екрана, от който може да се влезе в BIOS). Това трябва да изведе стартово меню за Windows, от което избираш Safe Mode. След като системата зареди в Safe Mode, отвори папка C:\SDFix и стартирай RunThis.bat. Натисни Y клавиша и след това Enter. SDFix ще започне да сканира системата. Може да отнеме известно време. Ще се появи екран изискващ натискане на някой клавиш, за да се рестартира системата, така че натисни клавиш. Системата ще се рестартира и SDFix ще направи последна проверка. След като това е готово ще се иска отново да натиснеш клавиш, за да зареди системата окончателно в нормален режим. Ще се изведе текстов файл, чието съдържание е добре да копираш тук.

[Armageddon8]

Не мога да сканирам с SdFix под Safe mode. Появява се някакъв прозорец и изчезва същата секунда. В нормален режим прозорецът се стартира, но не съм го пускал да скарнира.

[Night_Raven]

Кога точно се появява този прозорец?

[Armageddon8]

Натискам RunThis.bat, появява се някакъв прозорец подобен на command prompt/на прозореца след като натисна run/ и същата секунда изчезва отново. Колкото и пъти да стартирам RunThis.bat. Пробвах да инсталирам SDFix наново, но отново същото. Ако стартирам RunThis.bat при "нормален" режим се отваря прозорец на който пиши да reboot-на компютъра в safe mode....

[Night_Raven]

Акаунтът ти администраторски ли е?

[Armageddon8]

Да, акаунтът е администраторски. В момента няматм друг акаунт освен администраторски.

[Night_Raven]

Уффф, ти вярно беше с Vista. SDFix не функционира под Vista.

 

Ами, можеш да пуснеш още веднъж ComboFix, ако искаш, и да дадеш лог от него. Ако ли не, директно повтори сканиранията със SUPERAntiSpyware и Malwarebytes' Anti-Malware и след това почисти временните Windows и интернет файлове.

[Armageddon8]

Ето новият лог от Combofix

ComboFix.txt