Rade Публикувано Април 29, 2009 Report Share Публикувано Април 29, 2009 Та...проблема ми дойде от eMule-то... стартирах една програма която трябваше да е съвсем друго нещо, но както и да е,след един момент ми изчезна Nod32, после и се изключи и при всеки опит да го стартирам ми забива explorer.exe.А при опит да пусна някой анти вирус софт ми забива explorer-а.Проблема е, че това нещо прави хиляди заявки: Та пробвах с кво ли не, в момента все още се мъча с online bitdefender-a, четох нейде, че можел да помогне. Не мисля така обаче.Няма никакъв процес свързан с тея заявки, всичко в Task Manager-a си е както трябва или поне на пръв поглед е така.Не съм сигурен дали е rootkit или нещо друго, имаше и flec006.exe мъчих се да го махна, след час ще разбера дали се е получило. Някакви съвети? Казаха ми, че единственото ми решение е Format C: но аз в никакъв случай не искам да го правя това. HiJackThis като се пробвам да отворя, резултата е not a valid Win32 application. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Април 29, 2009 Report Share Публикувано Април 29, 2009 Положението определено не изглежда никак добре.Ако е такова, каквото си мисля, няма да има особен ефект, но все пак не пречи да се пробва... Изтегли HijackThis 1.99.1 (213KB), която съм преименувал нарочно, и:1) стартирай програмата;2) кликни Do a system scan and save a logfile, което ще създаде текстов файл в същата папка;3) копирай съдържанието му тук или прикачи файла към коментара. Нищо, че при теб не се е получило, опитай това за всеки случай. Изтегли ESET SysInspector и:1) стартирай я и изчакай да събере информацията;2) меню File -> Save Log;3) потвърди с Yes;4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си (не го разархивирай). Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи. Цитирай Link to comment Сподели другаде More sharing options...
mihnev_sz Публикувано Април 29, 2009 Report Share Публикувано Април 29, 2009 Та...проблема ми дойде от eMule-то... стартирах една програма която трябваше да е съвсем друго нещо, но както и да е,Би ли качил въпросната програма тук например и да предоставиш линка за изтеглянето и в темата.Мерси! Цитирай Link to comment Сподели другаде More sharing options...
Rade Публикувано Април 29, 2009 Author Report Share Публикувано Април 29, 2009 Взе, че с това име се стартира. Logfile of HijackThis v1.99.1Scan saved at 22:23:50, on 29.04.2009Platform: Windows XP SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.6000.16827) Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Analog Devices\Core\smax4pnp.exeC:\Program Files\Analog Devices\SoundMAX\Smax4.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Logitech\SetPoint\SetPoint.exeC:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXEC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Skype\Phone\Skype.exeC:\WINDOWS\system32\rsvp.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\WINDOWS\system32\drwtsn32.exeC:\WINDOWS\system32\drwtsn32.exeC:\WINDOWS\explorer.exeC:\Documents and Settings\Rade\Desktop\alabala.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R3 - URLSearchHook: (no name) - - (no file)R3 - URLSearchHook: FCToolbarURLSearchHook Class - {0adb501b-f9c4-4c02-a9ed-2f605a0586e0} - C:\Program Files\Mob Wars Toolbar\Helper.dllO2 - BHO: FCTBPos00Pos - {28A27F58-704F-40E1-8053-28E909FBF604} - C:\Program Files\Mob Wars Toolbar\Toolbar.dllO2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dllO2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dllO3 - Toolbar: Mob Wars Toolbar - {6857857C-15D3-435D-AF19-E0217298B416} - C:\Program Files\Mob Wars Toolbar\Toolbar.dllO4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exeO4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /trayO4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startupO4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRunO4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKLM\..\Run: [RegRun WinBait] C:\WINDOWS\winbait.exeO4 - HKLM\..\Run: [@RegRunOnSecure] C:\PROGRA~1\Greatis\REGRUN~1\OnSecure.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exeO4 - Startup: µTorrent.lnk = C:\Program Files\uTorrent\uTorrent.exeO4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exeO8 - Extra context menu item: Е&кспортирай в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dllO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: Изследване - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO11 - Options group: [iNTERNATIONAL] International*O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cabO16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cabO16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://pics.limpa.bg/pics/neo/194/ImageUploader4.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{5EB30C3B-B973-493B-AAE1-19ABF86AEEE0}: NameServer = 83.222.183.2,83.222.183.3O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLLO20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)O20 - Winlogon Notify: LBTWlgn - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dllO20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dllO21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dllO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exeO23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)O23 - Service: ZDMVRKGGYU - Sysinternals - www.sysinternals.com - C:\DOCUME~1\Rade\LOCALS~1\Temp\ZDMVRKGGYU.exe Изтегли ESET SysInspector и:1) стартирай я и изчакай да събере информацията;2) меню File -> Save Log;3) потвърди с Yes;4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си (не го разархивирай).Това също не тръгва, както написах по-горе за др. програми. А от последното:GMER 1.0.15.14972 - http://www.gmer.netRootkit scan 2009-04-29 22:40:46Windows 5.1.2600 Service Pack 3 ---- Processes - GMER 1.0.15 ---- Process hidden process (*** hidden *** ) 216 Process hidden process (*** hidden *** ) 2004 Process hidden process (*** hidden *** ) 3080 ---- Services - GMER 1.0.15 ---- Service C:\Documents and Settings\Rade\Application Data\drivers\wfsintwq.sys (*** hidden *** ) [sYSTEM] srosa <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- Цитирай Link to comment Сподели другаде More sharing options...
Rade Публикувано Април 29, 2009 Author Report Share Публикувано Април 29, 2009 mbam_log_2009_04_29__23_52_56_.txt Резултат от Malwarebyte's Anti-Malware. Изтрих доста неща, пооправи се като цяло положението, сега заявките драстично спаднаха и като ги гледам са си нормални...квото съм пуснал да върви.Сега реших да пробвам отново Spybot S&D, взе че тръгна и в момента сканира. Цитирай Link to comment Сподели другаде More sharing options...
Rade Публикувано Април 29, 2009 Author Report Share Публикувано Април 29, 2009 Това излезе накрая от Spybot-a. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Април 29, 2009 Report Share Публикувано Април 29, 2009 Желателно е да не избързваш и да не извършваш действия, за които не си посъветван. Не че е фатално (дори в случая е добре, че си сканирал с MBAM), но е малко по-трудно да се проследи къде как и какво.Предполагам си сканирал с Malwarebytes' Anti-Malware след пускането на логовете. Затова ще помоля отново да дадеш такива от съответните програми. Колкото до HijackThis, аз неслучайно съм казвал, че програмата е добре да се стартира с променено име и именно затова я предоставям с вече сменено такова. Цитирай Link to comment Сподели другаде More sharing options...
Rade Публикувано Април 29, 2009 Author Report Share Публикувано Април 29, 2009 Ясно.. ами в момента мисля, че всичко се изчисти, тея неща които съм атачнал тук са единствените които останаха. Сканирах сега с всички неща които ми препоръча, също засякоха и изтриха разни бацили, Нод-а го преинсталирах, обнових и той хвана 4-5 троянеца и това беше. Незнам още какво да направя...Имам май 20тина порта отворени....За логовете..както вече споменах, мисля утре пак да пусна няколко скана с различните програмки и да прикача за всяка лог и/или скрийншот. Понеже сега затихна положението. Цитирай Link to comment Сподели другаде More sharing options...
Rade Публикувано Април 30, 2009 Author Report Share Публикувано Април 30, 2009 Ето няколко лог-а. SAS каза, че всичко е чисто. mbam_log_2009_04_30__11_19_54_.txtgmer.txtgmerr.txtHJT.txt Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Април 30, 2009 Report Share Публикувано Април 30, 2009 Явно MBAM се е справила с проблема. Цитирай Link to comment Сподели другаде More sharing options...
vanio Публикувано Май 1, 2009 Report Share Публикувано Май 1, 2009 Защо не пуснеш и един ComboFix ?http://www.forospyware.com/sUBs/ComboFix.exe Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Май 1, 2009 Report Share Публикувано Май 1, 2009 ComboFix не е инструмент за профилактично сканиране. Моля, не предлагай сканиране с него, след като не си запознат с опасностите и рисковете, които крие работата с него. Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.