Въпрос за Trojan.FakeAlert, открит от Malwarebytes' Anti-Malware

[plamen74.72]

Здравейте! Искам да ви попитам понеже след сканиране с Malwarebytes' Anti-Malware 1.36 беше открит този троянец и след приключване на сканирането поиска рестарт.След което отново сканирах и не откри нищо ,но като отворих карантината на Malwarebytes' Anti-Malware 1.36 и той си стои там ,та въпроса ми е да го изтривам или не?

Ето лог файла:

Malwarebytes' Anti-Malware 1.36

Версия на базата от данни: 2089

Windows 5.1.2600 Service Pack 3

 

07.5.2009 г. 21:47:40

mbam-log-2009-05-07 (21-47-40).txt

 

Тип сканиране: Бързо сканиране

Сканирани обекти: 74238

Изминало време: 3 minute(s), 32 second(s)

 

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 1

 

Заразени процеси в паметта:

(Не бяха открити заплахи)

 

Заразени модули в паметта:

(Не бяха открити заплахи)

 

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

 

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

 

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

 

Заразени папки:

(Не бяха открити заплахи)

 

Заразени файлове:

C:\WINDOWS\system32AKV.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

п.с.Нужно ли е още нещо да се направи за да се разбере дали системата е чиста???

[mihnev_sz]

Здравейте! Искам да ви попитам понеже след сканиране с Malwarebytes' Anti-Malware 1.36 беше открит този троянец и след приключване на сканирането поиска рестарт.След което отново сканирах и не откри нищо ,но като отворих карантината на Malwarebytes' Anti-Malware 1.36 и той си стои там ,та въпроса ми е да го изтривам или не?

Нужно ли е още нещо да се направи за да се разбере дали системата е чиста???:

Можеш спокойно да го изтриеш от карантината на MBAM, премахнала го е напълно.

Бих ти препоръчал да сканираш периодично и със SUPERAntiSpyware4.26.1002 Final Free ,след което,т.е.преди да сканираш със SUPERAntiSpyware, почисти временните файлове със програма,като CCleaner 2.19.901 без инсталация

 

Ето малко повече информация и кой други програми го засичат :

http://www.threatexpert.com/files/AKV.exe.html

[plamen74.72]

Можеш спокойно да го изтриеш от карантината на MBAM, премахнала го е напълно.

Бих ти препоръчал да сканираш периодично и със SUPERAntiSpyware4.26.1002 Final Free ,след което,т.е.преди да сканираш със SUPERAntiSpyware, почисти временните файлове със програма,като CCleaner 2.19.901 без инсталация

 

Ето малко повече информация и кой други програми го засичат :

http://www.threatexpert.com/files/AKV.exe.html

 

 

Направих го и SUPERAntiSpyware4.26.1002 Final Free откри:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 05/07/2009 at 10:54 PM

 

Application Version : 4.26.1002

 

Core Rules Database Version : 3881

Trace Rules Database Version: 1829

 

Scan type : Complete Scan

Total Scan Time : 00:39:55

 

Memory items scanned : 454

Memory threats detected : 0

Registry items scanned : 6046

Registry threats detected : 0

File items scanned : 14376

File threats detected : 1

 

Trojan.Agent/Gen-BankSpy

C:\WINDOWS\SYSTEM32VSKD.007

 

Всъщтност ги имам и двете инсталирани ,но се сетих да сканирам със SAS след като пуснах темата, а и бях почистил преди да сканирам с нея - имам си и CCleaner 2.19.901 който си ми е инсталиран!!! Сега ще пусна и сканиране със Spybot S&D.

Межу другото това стана след като един приятел ми звънна по скайп ,но аз му отказах и Windows Explorer ми показа Dont Send като се скриха иконките и лентата със задачите ,след което веднага сканирах защото като пуснах скайпа наново (понеже беше изключил) и стартовия звук запецна и повтаряше като на грамофонна плоча когато и прескача игличката.Това ме накара да сканирам и резултата е два троянеца за сега - дано да няма повече!

Ако трябва още сканиране с някой друг инструмент кажете!!!

[Night_Raven]

Malwarebytes' Anti-Malware и SUPERAntiSpyware са напълно достатъчни като цяло. Spybot от доста време не е нищо особено, но пък може и с нея. С това се изчерпват програми, с които има смисъл да се сканира. Останалите са просто неефективни.

[mihnev_sz]

Ако трябва още сканиране с някой друг инструмент кажете!!!

По-принцип можеше да се премахне и ръчно,не е от трудните.Но след като има програми и го премахват,мисля че не е нужно да се усложнява процедурата по-този начин.

Мисля,че това е достатъчно,освен последно,не е задължително,по-скоро профилактично, да проверим с HijackThis ,ако може един лог тук,за да проверим за опасни services дали не е създал и да ги премахнем с програмата,това е!

[plamen74.72]

По-принцип можеше да се премахне и ръчно,не е от трудните.Но след като има програми и го премахват,мисля че не е нужно да се усложнява процедурата по-този начин.

Мисля,че това е достатъчно,освен последно,не е задължително,по-скоро профилактично, да проверим с HijackThis ,ако може един лог тук,за да проверим за опасни services дали не е създал и да ги премахнем с програмата,това е!

 

Ето лог файла:

Logfile of HijackThis v1.99.1

Scan saved at 23:48:46, on 07.5.2009 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Пламен\oib.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Program Files\Multimedia Keyboard Driver\M-KbdDrv.exe

C:\Program Files\PicPick\picpick.exe

C:\Program Files\Vista Drive Icon\DrvIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\VisualTaskTips\VisualTaskTips.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Weather Clock\WeatherClock.exe

C:\Program Files\RocketDock\RocketDock.exe

C:\Program Files\8start Launcher\8start.exe

C:\Documents and Settings\Пламен\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\BACL\SpeechLab\TTSProfileDlg.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Пламен\My Documents\alabala.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://teteven.net/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Пламен\oib.exe \s,

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [MutlimediaKbdDriver] C:\Program Files\Multimedia Keyboard Driver\M-KbdDrv.exe

O4 - HKLM\..\Run: [PicPick Start] C:\Program Files\PicPick\picpick.exe

O4 - HKLM\..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [WeatherClock] C:\Program Files\Weather Clock\WeatherClock.exe

O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [8start] C:\Program Files\8start Launcher\8start.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Пламен\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - Startup: Configure Bulgarian Speech.lnk = ?

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: &Сваляне на всички с FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Сваляне с FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O17 - HKLM\System\CCS\Services\Tcpip\..\{BC778969-3DF9-4CF2-98C1-D32E6F39A4EC}: NameServer = 84.22.28.50 212.116.131.138

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: getPlus® Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)

O23 - Service: Услуга Google Update (gupdate1c9badc96537230) (gupdate1c9badc96537230) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe

O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe

 

Дано да няма гадинки!!!

 

п.с.След последния рестарт който поиска SAS сканирах отново и с трите и нищо не откриха ,а преди рестарта Spybot S&D отново откри досадната следяща бисквитка в Goole Chrome!!!

А колкото до Spybot S&D:

Malwarebytes' Anti-Malware и SUPERAntiSpyware са напълно достатъчни като цяло. Spybot от доста време не е нищо особено, но пък може и с нея. С това се изчерпват програми, с които има смисъл да се сканира. Останалите са просто неефективни.

Ползвам го заради това че следи за промени в регистъра!!!

[Night_Raven]

Логът изглежда чист.

[plamen74.72]

Логът изглежда чист.

 

 

Благодаря Night_Raven!!! Значи да дишам спокойно!!!

[mihnev_sz]

@plamen74.72,има още неща за премахване.

Спри System Restore :Десен бутон на My Computer => Properties => System Restore => слагаш отметка пред Turn Off System Restore

Изчисти точките на възстановяване,освен последната ------- Start => run => cleanmgr => More Options => System Restore => Clean UP

 

Ако има следните процеси в Task Manager ги спри с десен бутон:

OIB.EXE

ZDSZ.EXE

26850945.EXE

TMP1.EXE

19889321.SVD

ZCUUQ.EXE

UVQIK.EXE

IYOL.EXE

RXIYHLLM.EXE

AKAMXWI.EXE

SNBDGAUD.EXE

JCOFRTU.EXE

31946717.EXE

UFUXWDOI.EXE

ZILUN.EXE

KRR.EXE

GDBWS.EXE

VYNCQGMU.EXE

ILGO.EXE

AYIOYJU.EXE

След,което:

Отвори HiJackThis, избери Do a system scan only и сложи отметки на следните редове:

Накрая затвори браузъра и избери Fix Checked:

 

C:\Documents and Settings\Пламен\oib.exe

 

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Пламен\oib.exe \s,

 

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

 

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

 

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

 

O23 - Service: Услуга Google Update (gupdate1c9badc96537230) (gupdate1c9badc96537230) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing)

 

След, което изтегли скенера без инсталация на Dr.WEB CureIt! 5.00.0 ,стартирай програмата,натисни клавиша F9 и направи следните настройки:

В категория "Проверка" => придвижи до "Списък с изключени файлове".

Маркирай ги всичките и избери "Изтрий". Потвърди с "Apply",след което ОК.

http://pic-bg.net/files/27h3psrmr01c5t5sizka.jpg

Придвижи до категорията "Действия". Приложи настройките от снимката и натисни "Apply"

http://pic-bg.net/files/6ezwrifdxe4ns2mhkub8.jpg

 

Пусни пълна проверка на системата,след като свърши и премахнеш каквото открие, рестартирай и ако може още един лог!

[Night_Raven]

Аз държа да поясня, че не всичко в HijackThis, което се обозначи с file missing, липсва в действителност. А дори и да липсва, не е наложително да се маха.

В случая съм пропуснал oib.exe. При това положение аз пък бих поискал лог от GMER:

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

[mihnev_sz]

Това съм преценил,това съм дал.

Под Windows Vista се случва по-често с определението на HijackThis,като file missing ,а той да съществува,това също съм го предвидил и затова съм дал да маркира напълно излишни за мен неща,даже и да са там в действителност,няма никаква опасност от проблем и загуба на данни,напротив оптимизацията е на лице.

Благодаря за пояснението,но нямаше нужда!

 

 

-------delete my post-----------------

[Гост tnn]

А каква е защитата в реално време на този компютър ? Щом малките програмки намират Trojan.FakeAlert и Trojan.Agent/Gen-BankSpy нещата явно не са добре. Има над какво още да се помисли и защитата да се подобри за в бъдеще. Поздрави

[plamen74.72]

А каква е защитата в реално време на този компютър ? Щом малките програмки намират Trojan.FakeAlert и Trojan.Agent/Gen-BankSpy нещата явно не са добре. Има над какво още да се помисли и защитата да се подобри за в бъдеще. Поздрави

 

Ами ползвам както вече казах Malwarebytes' Anti-Malware и SUPERAntiSpywareFree, както и Spybot S&D ,а за антивирусна ползвам Eset Smart Security 3.0.684.0 BG (официално изтеглена от БГ сайта със месечен лицинз - SMS)

Между другото се оказа ,че Eset Smart Security 3.0.684.0 BG ги е бил хванал но дъщеря ми ми каза след като окрих троянеца със Malwarebytes' Anti-Malware (явно не ги е премахнал дори след като ги имаше в списъка с карантината и двата троянеца)

 

 

Ето нов лог файл от HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 16:17:31, on 08.5.2009 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Program Files\Multimedia Keyboard Driver\M-KbdDrv.exe

C:\Program Files\PicPick\picpick.exe

C:\Program Files\Vista Drive Icon\DrvIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\VisualTaskTips\VisualTaskTips.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Weather Clock\WeatherClock.exe

C:\Program Files\RocketDock\RocketDock.exe

C:\Program Files\8start Launcher\8start.exe

C:\Documents and Settings\Пламен\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

C:\Program Files\BACL\SpeechLab\TTSProfileDlg.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Пламен\My Documents\alabala.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://teteven.net/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [MutlimediaKbdDriver] C:\Program Files\Multimedia Keyboard Driver\M-KbdDrv.exe

O4 - HKLM\..\Run: [PicPick Start] C:\Program Files\PicPick\picpick.exe

O4 - HKLM\..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [WeatherClock] C:\Program Files\Weather Clock\WeatherClock.exe

O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [8start] C:\Program Files\8start Launcher\8start.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Пламен\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - Startup: Configure Bulgarian Speech.lnk = ?

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: &Сваляне на всички с FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Сваляне с FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O17 - HKLM\System\CCS\Services\Tcpip\..\{BC778969-3DF9-4CF2-98C1-D32E6F39A4EC}: NameServer = 84.22.28.50 212.116.131.138

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: getPlus® Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)

O23 - Service: Услуга Google Update (gupdate1c9badc96537230) (gupdate1c9badc96537230) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe

O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe

 

 

Ето и лог файла от Gmer:

 

GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2009-05-08 16:19:38

Windows 5.1.2600 Service Pack 3

 

 

---- System - GMER 1.0.15 ----

 

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xF75B05DC]

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xF75BC120]

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 892E02B0

 

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

 

---- Modules - GMER 1.0.15 ----

 

Module _________ F7472000-F748A000 (98304 bytes)

 

---- EOF - GMER 1.0.15 ----

 

А това са процесите в таск мениджъра (в които имаше само oib.exe),а останалите от списъка липсваха:

http://i39.tinypic.com/11ttohg.png

 

Dr.WEB CureIt! 5.00.0 не иска да се стартира??? Като кликна да се стартира и показва това:

http://i43.tinypic.com/2yybn84.png

 

Ако трябва още нещо казвайте!!!

[Гост tnn]

Последният път когато пробвах ESS, MBAM ми намери Trojan.Vundo. Поставих въпроса с намек за промяна - от лога бе видна каква е реално-времевата охрана.А от ESET от колко години никакви вируси не били пропускали - вече не си спомням... Поздрави

[plamen74.72]

Най накря успях да го изтегля Dr.WEB CureIt! 5.00.0 ,но не от линка кото си ми дал ,а от Dimisoft.

Изпълних инструкциите и ето шот след сканиране (нищо не откри):

http://i40.tinypic.com/2efuv55.png

 

Ако има още нещо да се прави казвайте!!!

 

п.с.По ми харесва като антивирусна безплатната Avira ,но понеже съм скаран с английския (също и немския ,а тя има само двата),ползвам БГ версията на Eset (макар че имам лиценз за защитната стена на Ashampoo която също е на БГ)!!!