Jump to content

Въпрос за Trojan.FakeAlert, открит от Malwarebytes' Anti-Malware


Препоръчан пост

Здравейте! Искам да ви попитам понеже след сканиране с Malwarebytes' Anti-Malware 1.36 беше открит този троянец и след приключване на сканирането поиска рестарт.След което отново сканирах и не откри нищо ,но като отворих карантината на Malwarebytes' Anti-Malware 1.36 и той си стои там ,та въпроса ми е да го изтривам или не?

Ето лог файла:

Malwarebytes' Anti-Malware 1.36

Версия на базата от данни: 2089

Windows 5.1.2600 Service Pack 3

 

07.5.2009 г. 21:47:40

mbam-log-2009-05-07 (21-47-40).txt

 

Тип сканиране: Бързо сканиране

Сканирани обекти: 74238

Изминало време: 3 minute(s), 32 second(s)

 

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 1

 

Заразени процеси в паметта:

(Не бяха открити заплахи)

 

Заразени модули в паметта:

(Не бяха открити заплахи)

 

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

 

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

 

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

 

Заразени папки:

(Не бяха открити заплахи)

 

Заразени файлове:

C:\WINDOWS\system32AKV.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

п.с.Нужно ли е още нещо да се направи за да се разбере дали системата е чиста??? :crosseyes1:

Link to comment
Сподели другаде

Здравейте! Искам да ви попитам понеже след сканиране с Malwarebytes' Anti-Malware 1.36 беше открит този троянец и след приключване на сканирането поиска рестарт.След което отново сканирах и не откри нищо ,но като отворих карантината на Malwarebytes' Anti-Malware 1.36 и той си стои там ,та въпроса ми е да го изтривам или не?

Нужно ли е още нещо да се направи за да се разбере дали системата е чиста???:

Можеш спокойно да го изтриеш от карантината на MBAM, премахнала го е напълно.

Бих ти препоръчал да сканираш периодично и със SUPERAntiSpyware4.26.1002 Final Free ,след което,т.е.преди да сканираш със SUPERAntiSpyware, почисти временните файлове със програма,като CCleaner 2.19.901 без инсталация

 

Ето малко повече информация и кой други програми го засичат :

http://www.threatexpert.com/files/AKV.exe.html

Link to comment
Сподели другаде

Можеш спокойно да го изтриеш от карантината на MBAM, премахнала го е напълно.

Бих ти препоръчал да сканираш периодично и със SUPERAntiSpyware4.26.1002 Final Free ,след което,т.е.преди да сканираш със SUPERAntiSpyware, почисти временните файлове със програма,като CCleaner 2.19.901 без инсталация

 

Ето малко повече информация и кой други програми го засичат :

http://www.threatexpert.com/files/AKV.exe.html

 

 

Направих го и SUPERAntiSpyware4.26.1002 Final Free откри:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 05/07/2009 at 10:54 PM

 

Application Version : 4.26.1002

 

Core Rules Database Version : 3881

Trace Rules Database Version: 1829

 

Scan type : Complete Scan

Total Scan Time : 00:39:55

 

Memory items scanned : 454

Memory threats detected : 0

Registry items scanned : 6046

Registry threats detected : 0

File items scanned : 14376

File threats detected : 1

 

Trojan.Agent/Gen-BankSpy

C:\WINDOWS\SYSTEM32VSKD.007

 

Всъщтност ги имам и двете инсталирани ,но се сетих да сканирам със SAS след като пуснах темата, а и бях почистил преди да сканирам с нея - имам си и CCleaner 2.19.901 който си ми е инсталиран!!! Сега ще пусна и сканиране със Spybot S&D.

Межу другото това стана след като един приятел ми звънна по скайп ,но аз му отказах и Windows Explorer ми показа Dont Send като се скриха иконките и лентата със задачите ,след което веднага сканирах защото като пуснах скайпа наново (понеже беше изключил) и стартовия звук запецна и повтаряше като на грамофонна плоча когато и прескача игличката.Това ме накара да сканирам и резултата е два троянеца за сега - дано да няма повече!

Ако трябва още сканиране с някой друг инструмент кажете!!! :svlove:

Link to comment
Сподели другаде

Malwarebytes' Anti-Malware и SUPERAntiSpyware са напълно достатъчни като цяло. Spybot от доста време не е нищо особено, но пък може и с нея. С това се изчерпват програми, с които има смисъл да се сканира. Останалите са просто неефективни.
Link to comment
Сподели другаде

Ако трябва още сканиране с някой друг инструмент кажете!!! :svlove:

По-принцип можеше да се премахне и ръчно,не е от трудните.Но след като има програми и го премахват,мисля че не е нужно да се усложнява процедурата по-този начин.

Мисля,че това е достатъчно,освен последно,не е задължително,по-скоро профилактично, да проверим с HijackThis ,ако може един лог тук,за да проверим за опасни services дали не е създал и да ги премахнем с програмата,това е!

Link to comment
Сподели другаде

По-принцип можеше да се премахне и ръчно,не е от трудните.Но след като има програми и го премахват,мисля че не е нужно да се усложнява процедурата по-този начин.

Мисля,че това е достатъчно,освен последно,не е задължително,по-скоро профилактично, да проверим с HijackThis ,ако може един лог тук,за да проверим за опасни services дали не е създал и да ги премахнем с програмата,това е!

 

Ето лог файла:

Logfile of HijackThis v1.99.1

Scan saved at 23:48:46, on 07.5.2009 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Пламен\oib.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Program Files\Multimedia Keyboard Driver\M-KbdDrv.exe

C:\Program Files\PicPick\picpick.exe

C:\Program Files\Vista Drive Icon\DrvIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\VisualTaskTips\VisualTaskTips.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Weather Clock\WeatherClock.exe

C:\Program Files\RocketDock\RocketDock.exe

C:\Program Files\8start Launcher\8start.exe

C:\Documents and Settings\Пламен\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\BACL\SpeechLab\TTSProfileDlg.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Пламен\My Documents\alabala.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://teteven.net/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Пламен\oib.exe \s,

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [MutlimediaKbdDriver] C:\Program Files\Multimedia Keyboard Driver\M-KbdDrv.exe

O4 - HKLM\..\Run: [PicPick Start] C:\Program Files\PicPick\picpick.exe

O4 - HKLM\..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [WeatherClock] C:\Program Files\Weather Clock\WeatherClock.exe

O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [8start] C:\Program Files\8start Launcher\8start.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Пламен\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - Startup: Configure Bulgarian Speech.lnk = ?

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: &Сваляне на всички с FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Сваляне с FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O17 - HKLM\System\CCS\Services\Tcpip\..\{BC778969-3DF9-4CF2-98C1-D32E6F39A4EC}: NameServer = 84.22.28.50 212.116.131.138

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: getPlus® Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)

O23 - Service: Услуга Google Update (gupdate1c9badc96537230) (gupdate1c9badc96537230) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe

O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe

 

Дано да няма гадинки!!! :svlove:

 

п.с.След последния рестарт който поиска SAS сканирах отново и с трите и нищо не откриха ,а преди рестарта Spybot S&D отново откри досадната следяща бисквитка в Goole Chrome!!!

А колкото до Spybot S&D:

Malwarebytes' Anti-Malware и SUPERAntiSpyware са напълно достатъчни като цяло. Spybot от доста време не е нищо особено, но пък може и с нея. С това се изчерпват програми, с които има смисъл да се сканира. Останалите са просто неефективни.

Ползвам го заради това че следи за промени в регистъра!!!

Link to comment
Сподели другаде

@plamen74.72,има още неща за премахване.

Спри System Restore :Десен бутон на My Computer => Properties => System Restore => слагаш отметка пред Turn Off System Restore

Изчисти точките на възстановяване,освен последната ------- Start => run => cleanmgr => More Options => System Restore => Clean UP

 

Ако има следните процеси в Task Manager ги спри с десен бутон:

OIB.EXE

ZDSZ.EXE

26850945.EXE

TMP1.EXE

19889321.SVD

ZCUUQ.EXE

UVQIK.EXE

IYOL.EXE

RXIYHLLM.EXE

AKAMXWI.EXE

SNBDGAUD.EXE

JCOFRTU.EXE

31946717.EXE

UFUXWDOI.EXE

ZILUN.EXE

KRR.EXE

GDBWS.EXE

VYNCQGMU.EXE

ILGO.EXE

AYIOYJU.EXE

След,което:

Отвори HiJackThis, избери Do a system scan only и сложи отметки на следните редове:

Накрая затвори браузъра и избери Fix Checked:

 

C:\Documents and Settings\Пламен\oib.exe

 

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Пламен\oib.exe \s,

 

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

 

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

 

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

 

O23 - Service: Услуга Google Update (gupdate1c9badc96537230) (gupdate1c9badc96537230) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing)

 

След, което изтегли скенера без инсталация на Dr.WEB CureIt! 5.00.0 ,стартирай програмата,натисни клавиша F9 и направи следните настройки:

В категория "Проверка" => придвижи до "Списък с изключени файлове".

Маркирай ги всичките и избери "Изтрий". Потвърди с "Apply",след което ОК.

http://pic-bg.net/files/27h3psrmr01c5t5sizka.jpg

Придвижи до категорията "Действия". Приложи настройките от снимката и натисни "Apply"

http://pic-bg.net/files/6ezwrifdxe4ns2mhkub8.jpg

 

Пусни пълна проверка на системата,след като свърши и премахнеш каквото открие, рестартирай и ако може още един лог!

Link to comment
Сподели другаде

Аз държа да поясня, че не всичко в HijackThis, което се обозначи с file missing, липсва в действителност. А дори и да липсва, не е наложително да се маха.

В случая съм пропуснал oib.exe. При това положение аз пък бих поискал лог от GMER:

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

Link to comment
Сподели другаде

Това съм преценил,това съм дал.

Под Windows Vista се случва по-често с определението на HijackThis,като file missing ,а той да съществува,това също съм го предвидил и затова съм дал да маркира напълно излишни за мен неща,даже и да са там в действителност,няма никаква опасност от проблем и загуба на данни,напротив оптимизацията е на лице.

Благодаря за пояснението,но нямаше нужда!

 

 

-------delete my post-----------------

Link to comment
Сподели другаде

А каква е защитата в реално време на този компютър ? Щом малките програмки намират Trojan.FakeAlert и Trojan.Agent/Gen-BankSpy нещата явно не са добре. Има над какво още да се помисли и защитата да се подобри за в бъдеще. Поздрави
Link to comment
Сподели другаде

А каква е защитата в реално време на този компютър ? Щом малките програмки намират Trojan.FakeAlert и Trojan.Agent/Gen-BankSpy нещата явно не са добре. Има над какво още да се помисли и защитата да се подобри за в бъдеще. Поздрави

 

Ами ползвам както вече казах Malwarebytes' Anti-Malware и SUPERAntiSpywareFree, както и Spybot S&D ,а за антивирусна ползвам Eset Smart Security 3.0.684.0 BG (официално изтеглена от БГ сайта със месечен лицинз - SMS)

Между другото се оказа ,че Eset Smart Security 3.0.684.0 BG ги е бил хванал но дъщеря ми ми каза след като окрих троянеца със Malwarebytes' Anti-Malware (явно не ги е премахнал дори след като ги имаше в списъка с карантината и двата троянеца)

 

 

Ето нов лог файл от HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 16:17:31, on 08.5.2009 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Program Files\Multimedia Keyboard Driver\M-KbdDrv.exe

C:\Program Files\PicPick\picpick.exe

C:\Program Files\Vista Drive Icon\DrvIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\VisualTaskTips\VisualTaskTips.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Weather Clock\WeatherClock.exe

C:\Program Files\RocketDock\RocketDock.exe

C:\Program Files\8start Launcher\8start.exe

C:\Documents and Settings\Пламен\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

C:\Program Files\BACL\SpeechLab\TTSProfileDlg.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Пламен\My Documents\alabala.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://teteven.net/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [MutlimediaKbdDriver] C:\Program Files\Multimedia Keyboard Driver\M-KbdDrv.exe

O4 - HKLM\..\Run: [PicPick Start] C:\Program Files\PicPick\picpick.exe

O4 - HKLM\..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [WeatherClock] C:\Program Files\Weather Clock\WeatherClock.exe

O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [8start] C:\Program Files\8start Launcher\8start.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Пламен\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - Startup: Configure Bulgarian Speech.lnk = ?

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: &Сваляне на всички с FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Сваляне с FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O17 - HKLM\System\CCS\Services\Tcpip\..\{BC778969-3DF9-4CF2-98C1-D32E6F39A4EC}: NameServer = 84.22.28.50 212.116.131.138

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: getPlus® Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)

O23 - Service: Услуга Google Update (gupdate1c9badc96537230) (gupdate1c9badc96537230) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe

O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe

 

 

Ето и лог файла от Gmer:

 

GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2009-05-08 16:19:38

Windows 5.1.2600 Service Pack 3

 

 

---- System - GMER 1.0.15 ----

 

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xF75B05DC]

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xF75BC120]

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 892E02B0

 

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

 

---- Modules - GMER 1.0.15 ----

 

Module _________ F7472000-F748A000 (98304 bytes)

 

---- EOF - GMER 1.0.15 ----

 

А това са процесите в таск мениджъра (в които имаше само oib.exe),а останалите от списъка липсваха:

http://i39.tinypic.com/11ttohg.png

 

Dr.WEB CureIt! 5.00.0 не иска да се стартира??? Като кликна да се стартира и показва това:

http://i43.tinypic.com/2yybn84.png

 

Ако трябва още нещо казвайте!!! :svlove:

Link to comment
Сподели другаде

Последният път когато пробвах ESS, MBAM ми намери Trojan.Vundo. Поставих въпроса с намек за промяна - от лога бе видна каква е реално-времевата охрана.А от ESET от колко години никакви вируси не били пропускали - вече не си спомням... Поздрави
Link to comment
Сподели другаде

Най накря успях да го изтегля Dr.WEB CureIt! 5.00.0 ,но не от линка кото си ми дал ,а от Dimisoft.

Изпълних инструкциите и ето шот след сканиране (нищо не откри):

http://i40.tinypic.com/2efuv55.png

 

Ако има още нещо да се прави казвайте!!! :beer: :bgflag: :svlove:

 

п.с.По ми харесва като антивирусна безплатната Avira ,но понеже съм скаран с английския (също и немския ,а тя има само двата),ползвам БГ версията на Eset (макар че имам лиценз за защитната стена на Ashampoo която също е на БГ)!!!

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
×
  • Създай ново...