cimex Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 Изтегли HijackThis 1.99.1 (213KB), която съм преименувал нарочно, и:1) стартирай програмата;2) кликни Do a system scan and save a logfile, което ще създаде текстов файл в същата папка;3) копирай съдържанието му тук или прикачи файла към коментара. Изтегли ESET SysInspector и:1) стартирай я и изчакай да събере информацията;2) меню File -> Save Log;3) потвърди с Yes;4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си в ZIP формат (не го разархивирай). Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.Logfile of HijackThis v1.99.1Scan saved at 12:44:27, on 14.3.2009 a.Platform: Windows XP SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.6000.16674) Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\RTHDCPL.EXEC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXEC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exeC:\DOCUME~1\KAMENOV\LOCALS~1\Temp\batfte.exeC:\DOCUME~1\KAMENOV\LOCALS~1\Temp\winpwckw.exeC:\DOCUME~1\KAMENOV\LOCALS~1\Temp\winwdjty.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Documents and Settings\KAMENOV\Desktop\alabala.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dllO4 - HKLM\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exeO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NOO4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exeO7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1O8 - Extra context menu item: &С&валяне &с BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htmO8 - Extra context menu item: &С&валяне на всички с BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htmO8 - Extra context menu item: &С&валяне на всичкото видео с BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htmO9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing)O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO11 - Options group: [iNTERNATIONAL] International*O11 - Options group: [TABS] Tabbed BrowsingO12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO17 - HKLM\System\CCS\Services\Tcpip\..\{10B35C98-0AA3-40BD-9DDC-6D2B118B0393}: NameServer = 212.36.20.153,212.36.20.145O17 - HKLM\System\CS1\Services\Tcpip\..\{10B35C98-0AA3-40BD-9DDC-6D2B118B0393}: NameServer = 212.36.20.153,212.36.20.145O17 - HKLM\System\CS2\Services\Tcpip\..\{10B35C98-0AA3-40BD-9DDC-6D2B118B0393}: NameServer = 212.36.20.153,212.36.20.145O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dllO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe Ето и лога от SysInspector С GMER нищо не открива!SysInspector_CIMEX_090314_1245.zip Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 Не съм искал да кажеш какво открива, а да копираш лога, за да видя лично. Поредният потребител, който решава да не "следва рецептата", а да "добави свои подправки". Цитирай Link to comment Сподели другаде More sharing options...
cimex Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 Не съм искал да кажеш какво открива, а да копираш лога, за да видя лично. Поредният потребител, който решава да не "следва рецептата", а да "добави свои подправки".Извинявай,следвам Вашата инструкция:стартирам програмата,след няколко секунди сканиране не натискам бутон scan,копирам но излиза празен лог! Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 Ох, божкеее. Хайде да ми посочиш къде съм написал да кликнеш Scan. Дори съм удебелил "НЕ"-то. Плисни малко вода на очите, моля. Цитирай Link to comment Сподели другаде More sharing options...
cimex Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 Ох, божкеее. Хайде да ми посочиш къде съм написал да кликнеш Scan. Дори съм удебелил "НЕ"-то. Плисни малко вода на очите, моля.Извинявай Niqht Raven,никъде не съм споменал,че съм натиснал бутон scan,отбелязах,че при стартиране на програмата се вижда че сканира автматично файлове но след няколко секунди лога остава празен,как да Ви го копирам?Благодаря,че се опитвате да ми помогнете,но може би не разбирам упътванията Ви! Цитирай Link to comment Сподели другаде More sharing options...
sergo75 Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 Извинявай Niqht Raven,никъде не съм споменал,че съм натиснал бутон scan,отбелязах,че при стартиране на програмата се вижда че сканира автматично файлове но след няколко секунди лога остава празен,как да Ви го копирам?Благодаря,че се опитвате да ми помогнете,но може би не разбирам упътванията Ви! там долу на прозореца на GMER има един бутон COPY, натискаш го, след това отваряш един текстов редактор ( например NOTEPAD ) и му даваш PASTE или CTRL+VЗаписваш получения текстови документ и го прикачваш тук, или операцията с PASTE я извършваш тук ( в полето в което пишеш ) Цитирай Link to comment Сподели другаде More sharing options...
cimex Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 там долу на прозореца на GMER има един бутон COPY, натискаш го, след това отваряш един текстов редактор ( например NOTEPAD ) и му даваш PASTE или CTRL+VЗаписваш получения текстови документ и го прикачваш тук, или операцията с PASTE я извършваш тук ( в полето в което пишеш )Здравей Serj,всичко го изпълнявам по инструкцията,но нищо не открива,проблема е че ми се блокират регистрите и Таск менеджера и ми отнема администраторските права и аз не мога да разбера защо нищо не показва с GMERС Malwarebytes' Anti-Malware 1.34 ми открива че съм заразен с Hijack Regedit и Hijack TaskManager,но как мога да оправя проблема,не съм компютърен специалист и затова моля за помощ!!! Цитирай Link to comment Сподели другаде More sharing options...
sergo75 Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 Тогава влез в SAFE MODE ( след началните надписи на биос-а натискай F8, докато се появи менюто на зареждане на системата, най отгоре е SAFE MODE ) и тогава стартирай GMER, да видим дали ще стане Цитирай Link to comment Сподели другаде More sharing options...
cimex Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 Тогава влез в SAFE MODE ( след началните надписи на биос-а натискай F8, докато се появи менюто на зареждане на системата, най отгоре е SAFE MODE ) и тогава стартирай GMER, да видим дали ще станеОпитах да влезна в SAFE MODE,но като зарежда и стигне до....Driver\mup.sys компютъра рестартира и така е при всички опити! Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 Изтегли и инсталирай следните ъпдейти:Security Update for Windows XP (KB958644)Security Update for Windows XP (KB957097)Security Update for Windows XP (KB958687) След това...Спри всички антивирусни, които имаш активни, и всякакви други излишни програми. Изтегли ComboFix и го запази на десктопа. В меню Start -> Run -> напиши/пейстни следния текст:"%userprofile%\desktop\combofix.exe" /killallПотвърди с Yes на прозорците, които се появяват. Изчакай да сканира докрай и не закачай прозореца. Ако има нужда от рестарт, ще се рестартира автоматично. След рестарта трябва да продължи сканирането. Отново не закачай прозореца, докато не се самозатвори прозореца. След това пейстни съдържанието на текстовия файл C:\ComboFix.txt тук или прикачи файла към коментара си. Цитирай Link to comment Сподели другаде More sharing options...
cimex Публикувано Март 15, 2009 Report Share Публикувано Март 15, 2009 Изтегли и инсталирай следните ъпдейти:Security Update for Windows XP (KB958644)Security Update for Windows XP (KB957097)Security Update for Windows XP (KB958687) След това...Спри всички антивирусни, които имаш активни, и всякакви други излишни програми. Изтегли ComboFix и го запази на десктопа. В меню Start -> Run -> напиши/пейстни следния текст:"%userprofile%\desktop\combofix.exe" /killallПотвърди с Yes на прозорците, които се появяват. Изчакай да сканира докрай и не закачай прозореца. Ако има нужда от рестарт, ще се рестартира автоматично. След рестарта трябва да продължи сканирането. Отново не закачай прозореца, докато не се самозатвори прозореца. След това пейстни съдържанието на текстовия файл C:\ComboFix.txt тук или прикачи файла към коментара си.Здравей Night_Raven това е лога от CombofixComboFix 09-03-13.01 - KAMENOV 2009-03-15 9:34:20.1 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1251.1.1033.18.2047.1648 [GMT 2:00]Running from: c:\documents and settings\KAMENOV\desktop\combofix.exeCommand switches used :: /killall * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!. ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))). c:\windows\regedit.comc:\windows\system32\taskmgr.com .((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))). -------\Legacy_DAC970NT-------\Service_dac970nt ((((((((((((((((((((((((( Files Created from 2009-02-15 to 2009-03-15 ))))))))))))))))))))))))))))))). 2009-03-15 09:10 . 455,296 c:\program files\mrxsmb.sys2009-03-15 09:10 . 455,296 c:\program files\Common Files\mrxsmb.sys2009-03-15 08:50 . 26,368 c:\program files\usbstor.sys2009-03-15 08:50 . 26,368 c:\program files\Common Files\usbstor.sys2009-03-14 20:23 . 2009-03-14 20:23 <DIR> d-------- c:\documents and settings\KAMENOV\Application Data\FastStone2009-03-14 20:21 . 2009-03-14 20:21 <DIR> d-------- c:\program files\FastStone Capture2009-03-14 18:30 . 2009-03-14 18:30 <DIR> d-------- c:\documents and settings\KAMENOV\Application Data\GRETECH2009-03-14 18:29 . 2009-03-14 18:29 <DIR> d-------- c:\program files\GRETECH2009-03-14 13:51 . 2009-03-14 13:51 <DIR> d-------- c:\program files\Crystal Player2009-03-14 13:51 . 2009-03-14 13:52 <DIR> d-------- c:\documents and settings\KAMENOV\Application Data\Crystal Player2009-03-14 12:17 . 2009-03-14 12:35 <DIR> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy2009-03-14 12:08 . 2009-03-14 12:31 <DIR> d-------- c:\documents and settings\All Users\Application Data\Lavasoft2009-03-14 00:45 . 2009-03-14 00:45 <DIR> d-------- c:\program files\Trend Micro2009-03-14 00:33 . 2009-03-14 00:33 <DIR> d-------- c:\documents and settings\KAMENOV\Application Data\Malwarebytes2009-03-14 00:33 . 2009-03-14 00:33 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes2009-03-14 00:26 . 2009-03-14 00:26 <DIR> d-------- c:\documents and settings\All Users\Application Data\MicroWorld2009-03-13 23:50 . 2009-03-14 12:34 <DIR> d-------- c:\documents and settings\KAMENOV\Application Data\SUPERAntiSpyware.com2009-03-13 23:50 . 2009-03-13 23:50 <DIR> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com2009-03-13 23:39 . 2009-03-14 00:18 <DIR> d-------- c:\program files\Anti Trojan Elite2009-03-13 22:39 . 2009-03-13 22:39 <DIR> d-------- c:\program files\Common Files\Ahead2009-03-13 22:39 . 2009-03-13 22:39 <DIR> d-------- c:\program files\Ahead2009-03-13 22:03 . 2009-03-13 22:24 <DIR> d-------- c:\documents and settings\KAMENOV\Application Data\uTorrent .(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-03-15 07:31 --------- d-----w c:\program files\BitComet2009-03-14 10:33 --------- d-----w c:\program files\Free FLV Converter2009-03-14 10:33 --------- d-----w c:\program files\CometBird2009-03-14 10:13 402 ---ha-w C:\aaw7boot.cmd2009-03-13 19:58 --------- d-----w c:\documents and settings\KAMENOV\Application Data\CometNetwork2009-03-13 19:37 --------- d-----w c:\program files\Common Files\Adobe2009-03-13 19:37 --------- d-----w c:\documents and settings\KAMENOV\Application Data\InterTrust2009-03-13 19:35 --------- d-----w c:\program files\K-Lite Codec Pack2009-03-13 19:32 --------- d-----w c:\program files\Winamp2009-03-13 19:32 --------- d-----w c:\documents and settings\KAMENOV\Application Data\Winamp2009-03-13 18:08 --------- d-----w c:\documents and settings\All Users\Application Data\ESET2009-03-13 18:02 --------- d-----w c:\program files\Realtek2009-03-13 17:54 --------- d-----w c:\documents and settings\KAMENOV\Application Data\ATI2009-03-13 17:54 --------- d-----w c:\documents and settings\All Users\Application Data\ATI2009-03-13 17:53 --------- d-----w c:\program files\My Company Name2009-03-13 17:52 --------- d-----w c:\program files\ATI Technologies2009-03-13 17:50 --------- d--h--w c:\program files\InstallShield Installation Information2009-03-13 17:49 --------- d-----w c:\program files\Common Files\ATI Technologies2009-03-13 17:45 --------- d-----w c:\program files\Common Files\InstallShield2009-03-13 17:43 --------- d-----w c:\program files\Attansic2009-03-13 17:40 315,392 ----a-w c:\windows\HideWin.exe2009-03-13 17:33 --------- d-----w c:\program files\Intel2009-03-13 17:27 --------- d-----w c:\program files\microsoft frontpage2009-03-13 17:25 --------- d-----w c:\program files\MSXML 4.02009-03-13 17:19 --------- d-----w c:\program files\Windows Media Connect 22006-06-23 22:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe. ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 163840]"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 225280]"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 c:\windows\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"="shell32" [X] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]"EnableLUA"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"= 1 (0x1)"DisableRegistryTools"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"msacm.divxa32"= msaud32_divx.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe"="c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\ccc.exe"="c:\\Program Files\\Mozilla Firefox\\firefox.exe"="c:\\WINDOWS\\system32\\NeroCheck.exe"="c:\\WINDOWS\\RTHDCPL.EXE"="c:\\WINDOWS\\system32\\userinit.exe"="c:\\Program Files\\BitComet\\BitComet.exe"="c:\\WINDOWS\\system32\\CF20363.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"16618:TCP"= 16618:TCP:BitComet 16618 TCP"16618:UDP"= 16618:UDP:BitComet 16618 UDP R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2009-03-13 38656]S3 ATE_PROCMON;ATE_PROCMON;\??\c:\program files\Anti Trojan Elite\ATEPMon.sys --> c:\program files\Anti Trojan Elite\ATEPMon.sys [?] --- Other Services/Drivers In Memory --- *NewlyCreated* - DAC970NT.Contents of the 'Scheduled Tasks' folder 2009-03-14 c:\windows\Tasks\Ad-Aware Update (Weekly).job- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [].- - - - ORPHANS REMOVED - - - - HKCU-Run-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exeHKCU-Run-SUPERAntiSpyware - c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exeHKLM-Run-Anti Trojan Elite - c:\program files\Anti Trojan Elite\TJEnder.exeHKLM-Run-Ad-Watch - c:\program files\Lavasoft\Ad-Aware\AAWTray.exe .------- Supplementary Scan -------.IE: &С&валяне &с BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htmIE: &С&валяне на всички с BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htmIE: &С&валяне на всичкото видео с BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htmTCP: {10B35C98-0AA3-40BD-9DDC-6D2B118B0393} = 212.36.20.153,212.36.20.145FF - ProfilePath - c:\documents and settings\KAMENOV\Application Data\Mozilla\Firefox\Profiles\1br09cqw.default\FF - prefs.js: browser.startup.homepage - hxxp://google.comFF - component: c:\documents and settings\KAMENOV\Application Data\Mozilla\Firefox\Profiles\1br09cqw.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dllFF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dllFF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll. ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-03-15 09:36:26Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfullyhidden files: 0 **************************************************************************.--------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(776)c:\windows\system32\Ati2evxx.dll.------------------------ Other Running Processes ------------------------.c:\windows\system32\ati2evxx.exec:\windows\system32\ati2evxx.exec:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exec:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe.**************************************************************************.Completion time: 2009-03-15 9:37:57 - machine was rebootedComboFix-quarantined-files.txt 2009-03-15 07:37:54 Pre-Run: 69 011 644 416 bytes freePost-Run: 68,895,178,752 bytes free 176 Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 15, 2009 Report Share Публикувано Март 15, 2009 Пейстни следния текст в нов текстов документ и го запази на десктопа под името CFScript (или CFScript.txt, ако работиш с показани разширения):KillAll:: Driver:: DAC970NT File:: C:\aaw7boot.cmd c:\program files\mrxsmb.sys c:\program files\Common Files\mrxsmb.sys c:\program files\usbstor.sys c:\program files\Common Files\usbstor.sys Registry:: [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]Провлачи текстовия файл върху ComboFix, както е показано тук:http://www.softvisia.com/users/Night_Raven/Security/cfsdnd2.gif Внимание: това са инструкции за конкретния потребител. Ако сте друг потребител със същия или подобен проблем, НЕ прилагайте текущите инструкции в действие. След рестарта дай новия лог. Цитирай Link to comment Сподели другаде More sharing options...
cimex Публикувано Март 15, 2009 Report Share Публикувано Март 15, 2009 Пейстни следния текст в нов текстов документ и го запази на десктопа под името CFScript (или CFScript.txt, ако работиш с показани разширения):KillAll:: Driver:: DAC970NT File:: C:\aaw7boot.cmd c:\program files\mrxsmb.sys c:\program files\Common Files\mrxsmb.sys c:\program files\usbstor.sys c:\program files\Common Files\usbstor.sys Registry:: [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]Провлачи текстовия файл върху ComboFix, както е показано тук:http://www.softvisia.com/users/Night_Raven/Security/cfsdnd2.gif Внимание: това са инструкции за конкретния потребител. Ако сте друг потребител със същия или подобен проблем, НЕ прилагайте текущите инструкции в действие. След рестарта дай новия лог.Това е новия лог от ComboFixComboFix 09-03-14.01 - KAMENOV 2009-03-15 10:09:30.2 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1251.1.1033.18.2047.1524 [GMT 2:00]Running from: c:\documents and settings\KAMENOV\Desktop\ComboFix.exeCommand switches used :: c:\documents and settings\KAMENOV\Desktop\CFScript.txt * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! FILE ::C:\aaw7boot.cmdc:\program files\Common Files\mrxsmb.sysc:\program files\Common Files\usbstor.sysc:\program files\mrxsmb.sysc:\program files\usbstor.sys. ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))). C:\aaw7boot.cmd .((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))). -------\Legacy_DAC970NT ((((((((((((((((((((((((( Files Created from 2009-02-15 to 2009-03-15 ))))))))))))))))))))))))))))))). 2009-03-15 09:10 . 2008-10-24 13:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys2009-03-15 08:50 . 2008-04-13 21:15 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys2009-03-14 20:23 . 2009-03-14 20:23 <DIR> d-------- c:\documents and settings\KAMENOV\Application Data\FastStone2009-03-14 20:21 . 2009-03-14 20:21 <DIR> d-------- c:\program files\FastStone Capture2009-03-14 18:30 . 2009-03-14 18:30 <DIR> d-------- c:\documents and settings\KAMENOV\Application Data\GRETECH2009-03-14 18:29 . 2009-03-14 18:29 <DIR> d-------- c:\program files\GRETECH2009-03-14 13:51 . 2009-03-14 13:51 <DIR> d-------- c:\program files\Crystal Player2009-03-14 13:51 . 2009-03-14 13:52 <DIR> d-------- c:\documents and settings\KAMENOV\Application Data\Crystal Player2009-03-14 12:17 . 2009-03-14 12:35 <DIR> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy2009-03-14 12:08 . 2009-03-14 12:31 <DIR> d-------- c:\documents and settings\All Users\Application Data\Lavasoft2009-03-14 01:06 . 2009-03-14 01:06 <DIR> d--h----- c:\windows\system32\GroupPolicy2009-03-14 00:45 . 2009-03-14 00:45 <DIR> d-------- c:\program files\Trend Micro2009-03-14 00:33 . 2009-03-14 00:33 <DIR> d-------- c:\documents and settings\KAMENOV\Application Data\Malwarebytes2009-03-14 00:33 . 2009-03-14 00:33 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes2009-03-14 00:26 . 2009-03-14 00:26 <DIR> d-------- c:\documents and settings\All Users\Application Data\MicroWorld2009-03-14 00:26 . 2009-03-14 00:26 626,688 --a------ c:\windows\system32\msvcr80.dll2009-03-14 00:26 . 2009-03-14 00:26 548,864 --a------ c:\windows\system32\msvcp80.dll2009-03-14 00:26 . 2008-04-14 04:42 146,432 --a------ c:\windows\R.COM2009-03-14 00:26 . 2008-04-14 04:42 135,680 --a------ c:\windows\system32\T.COM2009-03-14 00:26 . 2009-03-14 00:26 28,672 --a------ c:\windows\system32\eEmpty.exe2009-03-14 00:26 . 2005-09-22 23:22 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest2009-03-14 00:26 . 2009-03-14 00:26 28 --a------ c:\windows\Lic.xxx2009-03-13 23:50 . 2009-03-14 12:34 <DIR> d-------- c:\documents and settings\KAMENOV\Application Data\SUPERAntiSpyware.com2009-03-13 23:50 . 2009-03-13 23:50 <DIR> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com2009-03-13 23:39 . 2009-03-14 00:18 <DIR> d-------- c:\program files\Anti Trojan Elite2009-03-13 22:53 . 2009-03-13 22:53 69 --a------ c:\windows\NeroDigital.ini2009-03-13 22:39 . 2009-03-13 22:39 <DIR> d-------- c:\program files\Common Files\Ahead2009-03-13 22:39 . 2009-03-13 22:39 <DIR> d-------- c:\program files\Ahead2009-03-13 22:39 . 2004-07-26 16:16 1,568,768 --------- c:\windows\system32\ImagX7.dll2009-03-13 22:39 . 2004-07-26 16:16 476,320 --------- c:\windows\system32\ImagXpr7.dll2009-03-13 22:39 . 2004-07-26 16:16 471,040 --------- c:\windows\system32\ImagXRA7.dll2009-03-13 22:39 . 2004-07-26 16:16 262,144 --------- c:\windows\system32\ImagXR7.dll2009-03-13 22:39 . 2001-07-09 10:50 225,280 --a------ c:\windows\system32\NeroCheck.exe2009-03-13 22:39 . 2004-03-02 16:37 125,184 --------- c:\windows\system32\drivers\imagesrv.sys2009-03-13 22:39 . 2000-06-26 10:45 106,496 --a------ c:\windows\system32\TwnLib20.dll2009-03-13 22:39 . 2004-03-02 16:37 5,504 --------- c:\windows\system32\drivers\imagedrv.sys2009-03-13 22:03 . 2009-03-13 22:24 <DIR> d-------- c:\documents and settings\KAMENOV\Application Data\uTorrent .(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-03-15 08:05 --------- d-----w c:\program files\BitComet2009-03-14 10:33 --------- d-----w c:\program files\Free FLV Converter2009-03-14 10:33 --------- d-----w c:\program files\CometBird2009-03-13 19:58 --------- d-----w c:\documents and settings\KAMENOV\Application Data\CometNetwork2009-03-13 19:37 --------- d-----w c:\program files\Common Files\Adobe2009-03-13 19:37 --------- d-----w c:\documents and settings\KAMENOV\Application Data\InterTrust2009-03-13 19:35 --------- d-----w c:\program files\K-Lite Codec Pack2009-03-13 19:32 --------- d-----w c:\program files\Winamp2009-03-13 19:32 --------- d-----w c:\documents and settings\KAMENOV\Application Data\Winamp2009-03-13 18:08 --------- d-----w c:\documents and settings\All Users\Application Data\ESET2009-03-13 18:02 --------- d-----w c:\program files\Realtek2009-03-13 17:54 --------- d-----w c:\documents and settings\KAMENOV\Application Data\ATI2009-03-13 17:54 --------- d-----w c:\documents and settings\All Users\Application Data\ATI2009-03-13 17:53 --------- d-----w c:\program files\My Company Name2009-03-13 17:52 --------- d-----w c:\program files\ATI Technologies2009-03-13 17:50 --------- d--h--w c:\program files\InstallShield Installation Information2009-03-13 17:49 --------- d-----w c:\program files\Common Files\ATI Technologies2009-03-13 17:45 --------- d-----w c:\program files\Common Files\InstallShield2009-03-13 17:43 --------- d-----w c:\program files\Attansic2009-03-13 17:40 315,392 ----a-w c:\windows\HideWin.exe2009-03-13 17:33 --------- d-----w c:\program files\Intel2009-03-13 17:27 --------- d-----w c:\program files\microsoft frontpage2009-03-13 17:25 --------- d-----w c:\program files\MSXML 4.02009-03-13 17:19 --------- d-----w c:\program files\Windows Media Connect 22006-06-23 22:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe. ((((((((((((((((((((((((((((( SnapShot@2009-03-15_ 9.36.51.85 ))))))))))))))))))))))))))))))))))))))))).+ 2009-03-15 07:02:29 12,736 ----a-w c:\windows\SoftwareDistribution\EventCache\{1FEC850F-16F7-4EEB-9211-D449AE40D04A}.bin+ 2009-03-15 08:11:29 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_9d0.dat.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 163840]"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 225280]"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 c:\windows\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]"EnableLUA"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"= 1 (0x1)"DisableRegistryTools"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"msacm.divxa32"= msaud32_divx.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe"="c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\ccc.exe"="c:\\Program Files\\Mozilla Firefox\\firefox.exe"="c:\\WINDOWS\\system32\\NeroCheck.exe"="c:\\WINDOWS\\RTHDCPL.EXE"="c:\\WINDOWS\\system32\\userinit.exe"="c:\\Program Files\\BitComet\\BitComet.exe"="c:\\WINDOWS\\system32\\wuauclt.exe"="c:\\WINDOWS\\system32\\CF27286.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"16618:TCP"= 16618:TCP:BitComet 16618 TCP"16618:UDP"= 16618:UDP:BitComet 16618 UDP R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2009-03-13 38656]R3 dac970nt;dac970nt;\??\c:\windows\system32\drivers\nletpn.sys --> c:\windows\system32\drivers\nletpn.sys [?]S3 ATE_PROCMON;ATE_PROCMON;\??\c:\program files\Anti Trojan Elite\ATEPMon.sys --> c:\program files\Anti Trojan Elite\ATEPMon.sys [?] --- Other Services/Drivers In Memory --- *NewlyCreated* - DAC970NT.Contents of the 'Scheduled Tasks' folder 2009-03-14 c:\windows\Tasks\Ad-Aware Update (Weekly).job- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []..------- Supplementary Scan -------.IE: &С&валяне &с BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htmIE: &С&валяне на всички с BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htmIE: &С&валяне на всичкото видео с BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htmTCP: {10B35C98-0AA3-40BD-9DDC-6D2B118B0393} = 212.36.20.153,212.36.20.145FF - ProfilePath - c:\documents and settings\KAMENOV\Application Data\Mozilla\Firefox\Profiles\1br09cqw.default\FF - prefs.js: browser.startup.homepage - hxxp://google.comFF - component: c:\documents and settings\KAMENOV\Application Data\Mozilla\Firefox\Profiles\1br09cqw.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dllFF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dllFF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll. ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-03-15 10:11:22Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfullyhidden files: 0 **************************************************************************.--------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(780)c:\windows\system32\Ati2evxx.dll.------------------------ Other Running Processes ------------------------.c:\windows\system32\ati2evxx.exec:\windows\system32\ati2evxx.exec:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exec:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe.**************************************************************************.Completion time: 2009-03-15 10:12:35 - machine was rebooted [KAMENOV]ComboFix-quarantined-files.txt 2009-03-15 08:12:33ComboFix2.txt 2009-03-15 07:37:58 Pre-Run: 68,603,265,024 bytes freePost-Run: 68,560,154,624 bytes free 195 Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 15, 2009 Report Share Публикувано Март 15, 2009 Сканирай със SUPERAntiSpyware Free и Malwarebytes' Anti-Malware За SUPERAntiSpyware:- стартирай програмата;- кликни бутон Scan your Computer;- вляво избери само дял C:, а вдясно избери Perform Complete Scan;- кликни Next и изчакай да сканира;- кликни Next, за да се премахнат гадинките и накрая Finish;- кликни бутон Preferences... и иди на подпрозорец Statistics/Logs, маркирай последния лог и кликни бутон View Log...;- копирай съдържанието му тук. За Malwarebytes' Anti-Malware:- стартирай програмата;- избери Perform quick scan и кликни бутон Scan;- като приключи сканирането кликни бутон Remove Selected;- ще се появи текстов файл (лог), копирай съдържанието му тук. Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага. Цитирай Link to comment Сподели другаде More sharing options...
cimex Публикувано Март 15, 2009 Report Share Публикувано Март 15, 2009 Сканирай със SUPERAntiSpyware Free и Malwarebytes' Anti-Malware За SUPERAntiSpyware:- стартирай програмата;- кликни бутон Scan your Computer;- вляво избери само дял C:, а вдясно избери Perform Complete Scan;- кликни Next и изчакай да сканира;- кликни Next, за да се премахнат гадинките и накрая Finish;- кликни бутон Preferences... и иди на подпрозорец Statistics/Logs, маркирай последния лог и кликни бутон View Log...;- копирай съдържанието му тук. За Malwarebytes' Anti-Malware:- стартирай програмата;- избери Perform quick scan и кликни бутон Scan;- като приключи сканирането кликни бутон Remove Selected;- ще се появи текстов файл (лог), копирай съдържанието му тук. Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага.Ето логовете от SUPERAntiSpyware SUPERAntiSpyware Scan Loghttp://www.superantispyware.com Generated 03/15/2009 at 10:55 AM Application Version : 4.25.1014 Core Rules Database Version : 3795Trace Rules Database Version: 1751 Scan type : Complete ScanTotal Scan Time : 00:10:43 Memory items scanned : 518Memory threats detected : 2Registry items scanned : 3937Registry threats detected : 0File items scanned : 12750File threats detected : 5 Trojan.Unknown Origin C:\DOCUME~1\KAMENOV\LOCALS~1\TEMP\WINMRUJ.EXE C:\DOCUME~1\KAMENOV\LOCALS~1\TEMP\WINMRUJ.EXE C:\DOCUME~1\KAMENOV\LOCALS~1\TEMP\BYIS.EXE C:\DOCUME~1\KAMENOV\LOCALS~1\TEMP\BYIS.EXE C:\DOCUMENTS AND SETTINGS\KAMENOV\LOCAL SETTINGS\TEMP\BYIS.EXE C:\DOCUMENTS AND SETTINGS\KAMENOV\LOCAL SETTINGS\TEMP\WINMRUJ.EXE Trojan.Agent/Gen-FSG C:\DOWNLOADS\WINAMP 5 52 KGN [H33T] [DINGUSKULL]\KEYGEN.EXEи от Malwarebytes' Anti-MalwareMalwarebytes' Anti-Malware 1.34Версия на базата от данни: 1851Windows 5.1.2600 Service Pack 3 2009-03-15 10:44:53mbam-log-2009-03-15 (10-44-53).txt Тип сканиране: Бързо сканиранеСканирани обекти: 57192Изминало време: 1 minute(s), 18 second(s) Заразени процеси в паметта: 0Заразени модули в паметта: 0Заразени ключове в регистратурата: 0Заразени стойности в регистратурата: 0Заразени информационни обекти в регистратурата: 5Заразени папки: 0Заразени файлове: 0 Заразени процеси в паметта:(Не бяха открити заплахи) Заразени модули в паметта:(Не бяха открити заплахи) Заразени ключове в регистратурата:(Не бяха открити заплахи) Заразени стойности в регистратурата:(Не бяха открити заплахи) Заразени информационни обекти в регистратурата:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Hijack.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Hijack.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Hijack.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Заразени папки:(Не бяха открити заплахи) Заразени файлове:(Не бяха открити заплахи)mbam.txt Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.