Правиш същото, каквото и преди това. Изтегли файла CFScript.txt, който съм прикачил към поста си, след това затвори всички отворени прозорци и го сложи върху ComboFix.

Добре, а сега ако не си с последните ъпдейти на Уйндоуса, те съветвам да го направиш веднага!

Ето ти един вариант за защита - Avira or AVG + Comodo Firewall Pro махай го тоя Нод!

Може и Аваст да си сложиш, но задължително с Comodo Firewall Pro!!!

Дали ще е добре?И коя Авира да сваля ако може дай 1 линк

Редактирано 15 февруари 200917 г. от ToH1o (преглед на промените)

Махаш нод32(предпазва , колкото бял чаршаф от радиация ) , инсталираш Avira antivir free http://www.free-av.com/en/download/index.html и проверяваш с нея.

След това сканираш и със SUPERAntiSpywere http://www.superantispyware.com/download.html и Malwarebytes Anti-Malware http://www.malwarebytes.org/ .

Успех

Редактирано 15 февруари 200917 г. от thejoro (преглед на промените)

2.5 Не са желателни прекомерните off-topic – мнения, които не са свързани с темата.

Редактирано 15 февруари 200917 г. от mihnev_sz (преглед на промените)

Махаш нод32(предпазва , колкото бял чаршаф от радиация ) , инсталираш Avira antivir free http://www.free-av.com/en/download/index.html и проверяваш с нея.

След това сканираш и със SUPERAntiSpywere http://www.superantispyware.com/download.html и Malwarebytes Anti-Malware http://www.malwarebytes.org/ .

Успех

Аз пък ти давам 100% гаранция, че ако млъкнеш и потребителя следва инструкциите на B-Boy[styLe] ще го изчисти. Conficker не е какъв да е червей и за твое сведение ESET NOD32 Antivirus v3 и v4 го засичат и премахват на 100% . От личен опит го казвам!

Моля помогнете! Имах неясни проблеми с компа си. Сини екрани, неясни съобщения. И така, реших, на сигурно да действаме. Формат драйв С, преинсталирах WinXP, инсталирах Kaspersky 6.0 Workstations, регистрирах го и той засече множество заразени файлове. Проблемът е с вирусът Win32.Virut.ce. Касперски не може да ги излекува и иска да ги изтрие. Обаче това са найстина около половината от всички .ехе файлове на компа ми. Някои не мога да открия и въстановя, други за да си набавя, трябва да трия и инсталирам програми, приложения, игри с дни и седмици сигурно. За момента Касперски ги държи блокирани, под карантина. Доста четох по въпроса из нета, пробвах някои варианти, нищо не помогна. Trojan Remover не го засича, CureIT също, Malwarebytes' Anti-Malware не върши работа, rmvirut на AVG, която уж е създадена за този проблем, нищо не засича. Не знам вече какво да правя. От 4-5 дена търся начин и не намирам. Качвам тук някои от заразените файлове на архив. Ако някой има желание, познания и добра воля да потърси начин да ги излекува, ще съм му ПОВЕЧЕ ОТ БЛАГОДАРЕН!!!

PS.

!!! ВНИМАНИЕ!!! В ПРИЛОЖЕНИТЕ ФАЙЛОВЕ ИМА ВИРУС! НЕ ТЕГЛЕТЕ И СТАРТИРАЙТЕ, ОСВЕН АКО НЕ СТЕ НАЙСТИНА НАЯСНО КАК ДА СЕ ОПАЗИТЕ ОТ НЕГО!!!

Огромни благодарности предварително !!!

edit: Хмм, оказва се, че не мога да кача такъв вид файлове тук. Ни архивирани, ни .ехе-та. Значи качих ги на първият сайт за уплоад, който гугъл откри - http://www.turboupload.com/files/get/2BH1g...ut-infected.rar както и на http://rapidshare.de/files/45330291/Virut_infected.rar.html

И пак - В СЪДЪРЖАНИЕТО НА ТОЗИ АРХИВ ИМА ВИРУС. НЕ ТЕГЛЕТЕ, АКО НЕ ЗНАЕТЕ КАКВО ПРАВИТЕ И НЕ СТЕ СЪВСЕМ НАЯСНО КАК ДА СЕ ОПАЗИТЕ!!

... и все пак ако можете да помогнете, готов съм на черпене, плащане или каквото измислим

направих както ми каза и това е лог файла:

ComboFix.txt

направих както ми каза и това е лог файла:

Обнови Avira и MalwareBytes (Quick Scan) и ги пусни да сканират.

Нека започнем с лог файл от HiJackThis:

http://www.kaldata.com/forums/index.php?sh...0&start=120

В първия пост има инструкции, следвай тях.

Всъщност версията на Kaspersky, която си изтеглил е стара.

П.П.: Лог файла от HiJackThis го публикувай в горе посочената тема.

Редактирано 16 февруари 200917 г. от Fixer (преглед на промените)

Здравейте, пуснах пост в темата за HiJackThis,, но избързах и сега го пускам и тук

След като почетох малко, изглежда става въпрос за нов вирус стартиращ wciactrl.exe

На един колега от снощи насам Аvira Free, му намира следните неща на компа и не може да ги изтрие:

-frnscli32.dll

-txsocm32.dll

-wciactrl.exe

В таск менаджера се забелязва, че се стартира процес на Мозила Фирефокс, след всяко съобщение от Авирата.

Това е съпроводено с блокиране на достъпа до скритите файлове на уина, за да може сам да ги изтрие. Опитал е чрез регистрите да възтанови достъпа, но без успех...

Успял е да изключи System Restore, сканирал е с МБАМ - нищо не вижда....

Имаме за сега лог само от Combofix:

ComboFix 09-02-15.01 - Administrator 2009-02-16  0:16:06.1 - [color=red][b]FAT32[/b][/color]x86

Microsoft Windows XP Professional  5.1.2600.3.1251.1.1033.18.511.116 [GMT 2:00]

Running from: c:\documents and settings\Administrator\Desktop\ComboFix.exe

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

 * Created a new restore point


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.


(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))

.


c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

c:\windows\system32\divx.dll

c:\windows\system32\i

c:\windows\system32\OGACheckControl.dll

c:\windows\system32\zip32.dll


----- BITS: Possible infected sites -----


hxxp://polfjymawjy.info

.

(((((((((((((((((((((((((   Files Created from 2009-01-15 to 2009-02-15  )))))))))))))))))))))))))))))))

.


2009-02-16 00:07 . 2002-06-21 15:09	160,217	--a------	c:\windows\system32\PowerToysLicense.rtf

2009-02-15 22:57 . 2009-02-15 22:57	<DIR>	d--------	c:\windows\Sun

2009-02-15 22:54 . 2009-02-15 22:54	<DIR>	d--------	c:\program files\Java

2009-02-15 22:54 . 2009-02-15 22:54	410,984	--a------	c:\windows\system32\deploytk.dll

2009-02-15 22:54 . 2009-02-15 22:54	73,728	--a------	c:\windows\system32\javacpl.cpl

2009-02-15 22:04 . 2009-02-15 22:04	39,936	---hs----	c:\windows\system32\frnscli32.dll

2009-02-15 22:02 . 2009-02-15 22:02	162,304	---hs----	c:\windows\system32\txsocm32.dll

2009-02-15 21:04 . 2009-02-16 00:11	3	--a------	c:\windows\switch.inf

2009-02-15 15:26 . 2009-02-15 15:26	<DIR>	d--------	c:\program files\Malwarebytes' Anti-Malware

2009-02-15 15:26 . 2009-02-15 15:26	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Malwarebytes

2009-02-15 15:26 . 2009-02-15 15:26	<DIR>	d--------	c:\documents and settings\Administrator\Application Data\Malwarebytes

2009-02-15 15:26 . 2009-02-11 10:19	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-15 15:26 . 2009-02-11 10:19	15,504	--a------	c:\windows\system32\drivers\mbam.sys

2009-02-15 12:39 . 2009-02-15 12:39	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Spyware Terminator

2009-02-15 12:39 . 2009-02-15 12:39	<DIR>	d--------	c:\documents and settings\Administrator\Application Data\Spyware Terminator

2009-02-15 12:38 . 2009-02-15 12:39	<DIR>	d--------	c:\program files\Spyware Terminator

2009-02-14 20:35 . 2009-02-14 20:35	681,984	-r-hs----	c:\windows\wciactrl.exe

2009-02-12 22:49 . 2009-02-12 22:49	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Apple Computer

2009-02-12 22:49 . 2005-01-28 13:44	360,448	--a------	c:\windows\system32\mp3fhg.acm

2009-02-12 22:49 . 2005-12-08 13:56	65,536	--a------	c:\windows\system32\QuickTimeVR.qtx

2009-02-12 22:49 . 2005-12-08 13:56	49,152	--a------	c:\windows\system32\QuickTime.qts

2009-02-08 23:25 . 2009-02-08 23:25	<DIR>	d--------	c:\documents and settings\Administrator\Application Data\Media Player Classic

2009-02-08 23:02 . 2009-02-08 23:02	<DIR>	d--------	c:\program files\Zap

2009-02-08 23:02 . 2009-02-08 23:02	249,856	---------	c:\windows\Setup1.exe

2009-02-08 23:02 . 2009-02-08 23:02	73,216	--a------	c:\windows\ST6UNST.EXE

2009-02-06 23:18 . 2003-06-18 11:30	91,520	--a------	c:\windows\system32\drivers\viaudios.sys

2009-02-06 23:18 . 2003-07-04 23:14	32,768	--a------	c:\windows\system32\UnAudioNT.dll

2009-02-05 23:37 . 2001-07-05 18:19	164	---------	c:\windows\avrack.ini

2009-02-03 22:58 . 2009-02-03 22:58	<DIR>	d--------	c:\program files\Common Files\Adobe AIR

2009-02-03 22:44 . 2009-02-03 22:44	<DIR>	d--------	c:\program files\NOS

2009-02-03 22:44 . 2009-02-03 22:44	<DIR>	d--------	c:\documents and settings\All Users\Application Data\NOS

2009-02-03 19:51 . 2009-02-03 19:51	<DIR>	d--------	c:\program files\USB Disk Security

2009-01-26 23:09 . 2009-01-26 23:09	<DIR>	d--------	c:\program files\Common Files\Adobe

2009-01-26 23:09 . 2009-01-26 23:09	<DIR>	d--------	c:\documents and settings\Administrator\Application Data\AdobeUM

2009-01-26 22:16 . 2009-01-26 22:16	<DIR>	d--------	c:\documents and settings\All Users\Application Data\InstallShield

2009-01-19 22:24 . 2009-01-19 22:24	<DIR>	d--------	c:\program files\Spybot - Search & Destroy

2009-01-19 22:24 . 2009-01-19 22:24	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-01-19 22:09 . 2009-01-19 22:09	<DIR>	d--h-----	c:\windows\system32\GroupPolicy

2009-01-19 22:02 . 2009-01-19 22:02	<DIR>	d--------	c:\program files\SA Dictionary 2008 Beta 4

2009-01-19 01:54 . 2009-01-19 01:54	<DIR>	d--------	c:\program files\Realtek AC97

2009-01-19 00:53 . 2008-04-14 00:15	26,368	--a------	c:\windows\system32\DllCache\usbstor.sys

2009-01-19 00:48 . 2009-01-19 00:48	<DIR>	d--------	c:\program files\DirectX9.0

2009-01-18 23:19 . 2009-02-08 23:26	116	--a------	c:\windows\NeroDigital.ini

2009-01-18 22:40 . 2009-01-18 22:40	<DIR>	d--------	c:\program files\Winamp

2009-01-18 22:40 . 2009-01-18 22:40	<DIR>	d--------	c:\documents and settings\Administrator\Application Data\Winamp

2009-01-18 21:44 . 2009-01-18 21:44	<DIR>	d--------	c:\documents and settings\Administrator\Application Data\Ahead

2009-01-18 21:43 . 2009-01-18 21:43	<DIR>	d--------	c:\program files\Nero

2009-01-18 21:43 . 2009-01-18 21:43	<DIR>	d--------	c:\program files\Common Files\Ahead

2009-01-18 13:38 . 2009-01-18 13:38	<DIR>	d--------	C:\Autodata-3.16.v6.2.0.0 CRACK

2009-01-18 13:34 . 2009-01-18 13:34	528	---hs----	c:\windows\PCGWIN32.LI4

2009-01-18 13:30 . 2009-01-18 13:30	<DIR>	d--------	c:\program files\Common Files\Autodata Limited Shared

2009-01-18 13:30 . 2009-01-18 13:30	<DIR>	d--------	C:\ADCDTEMP

2009-01-18 13:30 . 2009-01-18 13:30	<DIR>	d--------	C:\ADCDA2

2009-01-18 13:28 . 2009-01-18 13:28	<DIR>	d--------	c:\program files\Alcohol Soft

2009-01-18 13:28 . 2005-04-25 10:43	159,616	--a------	c:\windows\system32\drivers\Vax347b.sys

2009-01-18 13:28 . 2004-04-30 09:33	5,248	--a------	c:\windows\system32\drivers\Vax347s.sys

2009-01-18 13:21 . 2009-01-18 13:21	<DIR>	d--------	c:\program files\DAEMON Tools

2009-01-18 13:21 . 2009-01-18 13:21	223,128	--a------	c:\windows\system32\drivers\dtscsi.sys

2009-01-18 00:19 . 2009-01-18 00:19	<DIR>	d--------	c:\program files\K-Lite Codec Pack

2009-01-18 00:00 . 2009-01-18 00:00	<DIR>	d--------	c:\program files\Avira

2009-01-18 00:00 . 2009-01-18 00:00	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Avira

2009-01-17 23:53 . 2006-06-01 19:09	208,896	--a------	c:\windows\system32\NVUNINST.EXE

2009-01-17 23:50 . 2009-01-17 23:50	<DIR>	d--------	c:\program files\LizardTech

2009-01-17 23:48 . 2009-01-17 23:48	<DIR>	d--------	c:\program files\Microsoft Works

2009-01-17 23:45 . 2009-01-17 23:45	<DIR>	d--------	c:\windows\SHELLNEW

2009-01-17 23:45 . 2009-01-17 23:45	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Microsoft Help

2009-01-17 23:44 . 2009-01-17 23:44	<DIR>	dr-h-----	C:\MSOCache

2009-01-17 23:42 . 2009-01-17 23:42	<DIR>	d--------	c:\program files\Mv2Player

2009-01-17 23:41 . 2009-01-17 23:41	<DIR>	d--------	c:\program files\BitTorrent

2009-01-17 23:40 . 2009-01-17 23:40	<DIR>	d--------	c:\program files\IZArc

2009-01-17 23:19 . 2009-01-17 23:19	642,560	--a------	c:\windows\system32\drivers\sptd.sys

2009-01-17 23:19 . 2009-01-17 23:19	96,384	--a------	c:\windows\system32\drivers\sptd2685.sys

2009-01-17 23:07 . 2005-07-15 16:48	40,960	--a------	c:\windows\system32\ChCfg.exe

2009-01-17 22:35 . 2003-06-20 13:00	66,082	--a------	c:\windows\system32\DllCache\c_21025.nls

2009-01-17 22:35 . 2003-06-20 13:00	66,082	--a------	c:\windows\system32\DllCache\c_20880.nls

2009-01-17 22:35 . 2003-06-20 13:00	66,082	--a------	c:\windows\system32\c_21025.nls

2009-01-17 22:35 . 2003-06-20 13:00	66,082	--a------	c:\windows\system32\c_20880.nls

2009-01-17 22:35 . 2003-06-20 13:00	37,484	--a------	c:\windows\system32\DllCache\MW770.CAT

2009-01-17 22:10 . 2009-01-17 22:10	2,308	--a------	c:\windows\mozver.dat

2009-01-17 22:10 . 2009-01-17 22:10	0	--a------	c:\windows\nsreg.dat

2009-01-17 21:54 . 2009-01-17 21:54	<DIR>	d--------	c:\documents and settings\multiskype\Application Data\Skype

2009-01-17 21:54 . 2009-01-17 21:54	<DIR>	d--------	c:\documents and settings\multiskype

2009-01-17 21:53 . 2009-01-17 21:53	<DIR>	d--------	c:\program files\Skype

2009-01-17 21:53 . 2009-01-17 21:53	<DIR>	d--------	c:\program files\Common Files\Skype

2009-01-17 21:53 . 2009-01-17 21:53	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Skype

2009-01-17 21:53 . 2009-01-17 21:53	<DIR>	d--------	c:\documents and settings\Administrator\Application Data\Skype

2009-01-17 21:42 . 2009-01-17 21:42	<DIR>	d--------	c:\windows\system32\xircom

2009-01-17 21:42 . 2009-01-17 21:42	<DIR>	d--------	c:\windows\srchasst

2009-01-17 21:42 . 2009-01-17 21:42	<DIR>	d--------	c:\program files\microsoft frontpage

2009-01-17 21:36 . 2007-04-02 23:56	22,016	--a------	c:\windows\system32\DllCache\agt0408.dll

2009-01-17 21:36 . 2007-04-02 23:56	19,968	--a------	c:\windows\system32\DllCache\agt040e.dll

2009-01-17 21:36 . 2007-04-02 23:56	19,456	--a------	c:\windows\system32\DllCache\agt041f.dll

2009-01-17 21:36 . 2007-04-02 23:56	19,456	--a------	c:\windows\system32\DllCache\agt0415.dll

2009-01-17 21:36 . 2007-04-02 23:56	19,456	--a------	c:\windows\system32\DllCache\agt0405.dll

2009-01-17 21:35 . 2009-01-17 21:35	<DIR>	d--------	c:\windows\ServicePackFiles

2009-01-17 21:33 . 2007-08-10 20:46	26,488	--a------	c:\windows\system32\spupdsvc.exe

2009-01-17 21:25 . 2009-01-17 21:25	<DIR>	d--------	c:\program files\UIU

2009-01-17 21:24 . 2003-09-24 09:43	626,960	--a------	c:\windows\system32\hpvaut32.dll

2009-01-17 21:24 . 2003-09-24 09:43	487,424	--a------	c:\windows\system32\hpvcp70.dll

2009-01-17 21:24 . 2003-09-24 09:43	344,064	--a------	c:\windows\system32\hpvcr70.dll

2009-01-17 21:24 . 2003-09-24 09:44	44,544	--a------	c:\windows\system32\MSXML4a.dll

2009-01-17 21:23 . 2009-01-17 21:23	<DIR>	d--------	c:\program files\VIA Technologies, Inc

2009-01-17 21:23 . 2002-12-18 11:57	45,056	--a------	c:\windows\system32\vusetup.dll

2009-01-17 21:23 . 2002-11-13 10:34	10,496	--a------	c:\windows\system32\drivers\vulfntr.sys

2009-01-17 21:23 . 2002-10-24 09:07	6,912	--a------	c:\windows\system32\drivers\vulfnth.sys

2009-01-17 21:19 . 2009-01-17 21:19	<DIR>	d--------	c:\windows\Cache

2009-01-17 21:19 . 2005-12-30 20:10	761,856	--a------	c:\windows\system32\xvidcore.dll

2009-01-17 21:19 . 2005-12-30 20:18	180,224	--a------	c:\windows\system32\xvidvfw.dll

2009-01-17 21:19 . 2005-12-14 15:11	61,440	--a------	c:\windows\system32\xvid.ax

2009-01-17 21:19 . 2004-03-09 09:39	8,704	--a------	c:\windows\system32\vidccleaner.exe

2009-01-17 21:18 . 2009-01-17 21:18	<DIR>	d--------	c:\program files\Samsung

2009-01-17 21:18 . 2003-02-21 14:42	348,160	--a------	c:\windows\system32\msvcr71.dll

2009-01-17 21:18 . 1998-07-09 19:41	217,088	--a------	c:\windows\system32\skjpeg40.dll

2009-01-17 21:18 . 1998-03-04 10:40	83,968	--a------	c:\windows\system32\Skbase40.dll

2009-01-17 21:16 . 2009-01-17 21:16	<DIR>	d--------	c:\program files\HP

2009-01-17 21:16 . 2009-01-17 21:15	239,585	--a------	c:\windows\hpdj3500.hi1

2009-01-17 21:16 . 2009-01-17 21:15	9,462	--a------	c:\windows\hpdj3500.bu1

2009-01-17 21:12 . 2009-01-17 21:12	<DIR>	d--------	c:\program files\Hewlett-Packard

2009-01-17 21:12 . 2009-01-17 21:17	210,965	--a------	c:\windows\hpdj3500.his

2009-01-17 21:12 . 2009-01-17 21:17	10,494	--a------	c:\windows\hpdj3500.ini

2009-01-17 21:11 . 2009-01-17 21:11	<DIR>	d--hs----	C:\Recycled

2009-01-17 21:08 . 2009-01-17 21:08	<DIR>	d--------	c:\windows\system32\gmtdriver200

2009-01-17 21:08 . 2003-08-07 18:39	161,060	--a------	c:\windows\system32\drivers\ETDrv.sys

2009-01-17 21:08 . 2002-12-27 18:35	40,960	--a------	c:\windows\system32\gbtgmt.dll

2009-01-17 21:08 . 2002-12-27 17:39	28,672	--a------	c:\windows\system32\UninstGMT.dll


.

((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-17 17:21	---------	d-----w	c:\program files\Windows Media Connect 2

2009-01-17 17:21	---------	d-----w	c:\program files\Unlocker

2009-01-17 17:21	---------	d-----w	c:\program files\Attribute Changer

.


(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

"Intel Physical Address Aventis 1.3"="c:\windows\wciactrl.exe" [2009-02-14 681984]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]

"StartupMonitor"="c:\windows\system32\StartupMonitor.exe" [2005-11-15 86016]

"HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]

"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2003-10-23 233472]

"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-09-01 176128]

"DeviceDiscovery"="c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 229437]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-01 86016]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"USB Antivirus"="c:\program files\USB Disk Security\USBGuard.exe" [2008-09-23 798720]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-15 148888]

"nwiz"="nwiz.exe" [2006-06-01 c:\windows\system32\nwiz.exe]

"SoundMan"="SOUNDMAN.EXE" [2003-08-15 c:\windows\SOUNDMAN.EXE]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"Intel Physical Address Aventis 1.3"="c:\windows\wciactrl.exe" [2009-02-14 681984]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nlsf"="move" [X]

"nlhr"="c:\windows\System32\AdvPack.Dll" [2008-04-14 99840]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)


[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.X264"= x264vfw.dll

"VIDC.3iv2"= 3ivxVfWCodec.dll

"VIDC.VP31"= vp31vfw.dll

"msacm.l3fhg"= mp3fhg.acm


[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\BitTorrent\\bittorrent.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=


R2 ETDrv;ETDrv;c:\windows\system32\drivers\ETDrv.sys [2009-01-17 161060]

R3 WMIBIOS;%WMIBIOS.ServiceName%;c:\windows\system32\drivers\wmibios.sys [2009-01-17 18272]

R3 WMIINFO;WMIINFO Driver;c:\windows\system32\drivers\wmiinfo.sys [2009-01-17 21184]


--- Other Services/Drivers In Memory ---


*NewlyCreated* - JAVAQUICKSTARTERSERVICE


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]

\Shell\AutoRun\command - I:\autorun.exe index.htm


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Intel Physical Address Aventis 1.3]

c:\windows\wciactrl.exe

.

- - - - ORPHANS REMOVED - - - -


HKLM-Run-NWEReboot - (no file)

Notify-WgaLogon - (no file)



.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com

IE: &Експортиране към Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Administrator\Application Data\Mozilla\Firefox\Profiles\v2ohg5f0.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.data.bg

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npdjvu.dll

.


**************************************************************************


catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-16 00:17:35

Windows 5.1.2600 Service Pack 3 FAT NTAPI


scanning hidden processes ...  


scanning hidden autostart entries ... 


scanning hidden files ...  


scan completed successfully

hidden files: 0


**************************************************************************

.

Completion time: 2009-02-16  0:18:35

ComboFix-quarantined-files.txt  2009-02-15 22:18:34


Pre-Run: 3 129 565 184 bytes free

Post-Run: 3,258,851,328 bytes free


248

Изпратих го до тях ( защото в момента сме на работа и пиша от служебния), да изпробва с още няколко неща.

Посъветвах го да сканира в безопасен режим с dr. Web CureIT, и с AVZ, RemuveIT Prо, и все пак да направи и лог от HiJackThis.

Някакви други идеи или препоръки за момента?....

Редактирано 16 февруари 200917 г. от stefanvalja (преглед на промените)

Явно нещата са сериозни - блокирано ми е изтеглянето на файловете на компютъра със Symantec + IE 7, а аз нямам желание и намерение да си изключвам защитата. Бих инсталирал и пробвал с "ловеца" от http://www.misec.net/ - помагал ми е при сродни затруднения, когато съм ползвал Kaspersky,Avira,ESET. Липсва гаранция за резултат, но защо да не се опита с още една доста добра програма. Понякога ОС така е увредена, че най-доброто и най-бързото лекарство е форматиране и преход към свеж Win. Поздрави

stefanvalja

Здравейте, пуснах пост в темата за HiJackThis,, но избързах и сега го пускам и тук

След като почетох малко, изглежда става въпрос за нов вирус стартиращ wciactrl.exe

На един колега от снощи насам Аvira Free, му намира следните неща на компа и не може да ги изтрие:

-frnscli32.dll

-txsocm32.dll

-wciactrl.exe

В таск менаджера се забелязва, че се стартира процес на Мозила Фирефокс, след всяко съобщение от Авирата.

Това е съпроводено с блокиране на достъпа до скритите файлове на уина, за да може сам да ги изтрие. Опитал е чрез регистрите да възтанови достъпа, но без успех...

Успял е да изключи System Restore, сканирал е с МБАМ - нищо не вижда....

Имаме за сега лог само от Combofix:

Изпратих го до тях ( защото в момента сме на работа и пиша от служебния), да изпробва с още няколко неща.

Посъветвах го да сканира в безопасен режим с dr. Web CureIT, и с AVZ, RemuveIT Prо, и все пак да направи и лог от HiJackThis.

Някакви други идеи или препоръки за момента?....

Може да се пробва ако ползва Comodo Firewall и този процес/процеси се виждат тук

Дал съм за пример уинамп десен бутон върху процеса и избираш показаното на снимката.Ако успее да го затвори и блокира ще може да направи невидимите файлове видими.Гледай видеото във подписа ми.

Мда, хвърли едно око на действията необходими в случая - цък С две думи и половина - с лайф сиди с подходящата антивирусна програма на него се сканира и чисти. Отиват си безвъзвратно всички ехе файлове, най-вероятно. Позволявам си малка интепретация - след очистването на целия диск нека да се направи копие на всичко ценно като картинки, музика и подобни. После пълен формат на диска. Не звучи приятно но натам вървят нещата. ето и кратко описание на английски на зверчето:

Aliases Virus.Win32.Virut.ce

PE_VIRUX.A

Virus:Win32/Virut.BM

Category Viruses and Spyware

Type Virus

W32/Scribble-A is a polymorphic virus for the Windows platform.

W32/Scribble-A allows a remote attacker to gain access and control over the infected computer through IRC channels.

W32/Scribble-A infects files with the EXE and SCR extensions when they are opened or run.

W32/Scribble-A injects a malicious iframe into files whose extensions start with HTM, PHP or ASP, with affected files detected as Troj/Fujif-Gen. At the time of writing the iframe points to a site that hosts more malware.

The virus also adds a line to the Windows HOSTS file so that redirects this host to the loopback address.

Подобно е мнението и на Касперски, Есет и на останалите батета, само още едно малко линкче - цък - от Касперски съветват последващ скан след формата за по-добра сигурност...

Ако успее да го затвори и блокира ще може да направи невидимите файлове видими.Гледай видеото във подписа ми.

Точно това е проблема, че не успява да го затвори и не може да го блокира.

Махнал го от стартиращите процеси от MSconfig/Startup, но пак се стартирало. Когато от мениджъра на задачите го прекъсне (End Process), след 10-секунди пак се появявало само, заедно с ново съобщение от Авира, като му дава само 3 опции за решение:

-ignore

-Deny

-quarantined

Той естествено избира третото, но след малко пак - Авирата пищи........

Става въпрос за ето това:

2009-02-14 20:35 . 2009-02-14 20:35	681,984	-r-hs----	c:\windows\wciactrl.exe

Съжелявам, че не съм на компютъра му сега, и трябва чак до довечера да чакам..........

Той (колегата) не е от най-начинаешите потребители, даже е доста в час с доста неща, но в борбата с вредителите е на Вие...

Ще го оставя да се мъчи сам известно време, и ще постнем един лог от HiJackThis в специалната тема довечера....

Точно това е проблема, че не успява да го затвори и не може да го блокира.

Махнал го от стартиращите процеси от MSconfig/Startup, но пак се стартирало. Когато от мениджъра на задачите го прекъсне (End Process), след 10-секунди пак се появявало само, заедно с ново съобщение от Авира, като му дава само 3 опции за решение:

-ignore

-Deny

-quarantined

Той естествено избира третото, но след малко пак - Авирата пищи........

Става въпрос за ето това:

2009-02-14 20:35 . 2009-02-14 20:35	681,984	-r-hs----	c:\windows\wciactrl.exe

Съжелявам, че не съм на компютъра му сега, и трябва чак до довечера да чакам..........

Той (колегата) не е от най-начинаешите потребители, даже е доста в час с доста неща, но в борбата с вредителите е на Вие...

Ще го оставя да се мъчи сам известно време, и ще постнем един лог от HiJackThis в специалната тема довечера....

Аз имам предвид стената на Комодо с нея да го затвори и блокира не със Авира или таскменъжера.

Отворете Notepad и въведете:

Killall::


File::

c:\windows\system32\frnscli32.dll

c:\windows\system32\txsocm32.dll

c:\windows\wciactrl.exe

c:\windows\system32\skjpeg40.dll

c:\windows\system32\Skbase40.dll

c:\windows\system32\vidccleaner.exe

c:\windows\system32\gbtgmt.dll


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intel Physical Address Aventis 1.3"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Intel Physical Address Aventis 1.3"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nlsf"=-

"nlhr"=-

"tscuninstall"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Intel Physical Address Aventis 1.3]

Запазете файла като CFScript и го провлачете в иконата на ComboFix:

За проблема със скритите файлове изтеглете това FixPolicies.

Запазете го някъде на декстопа.Кликнете два пъти върху файла и изберете Install.Ще се създаде папка с името FixPolicies на десктопа.Отворете я и стартирайте файла Fix_policies.cmd .

Обнови Avira и MalwareBytes (Quick Scan) и ги пусни да сканират.

това са резултатите от двете програми.това от MalwareBytes още не съм го махнал-какво да правя?

Version information:

BUILD.DAT : 8.2.0.374 20012 Bytes 2008-11-21 10:11:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 2008-11-18 14:21:26

AVSCAN.DLL : 8.1.4.0 40705 Bytes 2008-05-26 13:56:40

LUKE.DLL : 8.1.4.5 164097 Bytes 2008-06-12 18:44:19

LUKERES.DLL : 8.1.4.0 12033 Bytes 2008-05-26 13:58:52

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 2008-10-27 17:30:36

ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 2009-02-11 05:10:11

ANTIVIR2.VDF : 7.1.2.13 2048 Bytes 2009-02-11 05:10:11

ANTIVIR3.VDF : 7.1.2.31 103424 Bytes 2009-02-16 14:31:09

Engineversion : 8.2.0.79

AEVDF.DLL : 8.1.1.0 106868 Bytes 2009-02-14 05:10:26

AESCRIPT.DLL : 8.1.1.47 348539 Bytes 2009-02-14 05:10:24

AESCN.DLL : 8.1.1.7 127347 Bytes 2009-02-14 05:10:23

AERDL.DLL : 8.1.1.3 438645 Bytes 2008-11-04 19:58:38

AEPACK.DLL : 8.1.3.8 397684 Bytes 2009-02-14 05:10:22

AEOFFICE.DLL : 8.1.0.33 196987 Bytes 2009-02-14 05:10:20

AEHEUR.DLL : 8.1.0.90 1573237 Bytes 2009-02-14 05:10:19

AEHELP.DLL : 8.1.2.0 119159 Bytes 2009-02-14 05:10:16

AEGEN.DLL : 8.1.1.16 332148 Bytes 2009-02-14 05:10:15

AEEMU.DLL : 8.1.0.9 393588 Bytes 2008-10-14 16:05:56

AECORE.DLL : 8.1.6.5 176501 Bytes 2009-02-14 05:10:13

AEBB.DLL : 8.1.0.3 53618 Bytes 2008-10-14 16:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-09 14:40:05

AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-05-16 15:28:01

AVREP.DLL : 8.0.0.2 98344 Bytes 2008-07-31 18:02:15

AVREG.DLL : 8.0.0.1 33537 Bytes 2008-05-09 17:26:40

AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 14:29:23

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-06-12 18:27:49

SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 23:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-06-12 18:49:40

NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 18:05:10

RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 2008-06-12 19:29:30

RCTEXT.DLL : 8.0.51.0 86273 Bytes 2008-06-27 17:00:56

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: C:\Program Files\Avira\AntiVir PersonalEdition Premium\sysscan.avp

Logging..........................: low

Primary action...................: delete

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:,

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 97

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: medium

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: 2009-02-16 09:31

Starting search for hidden objects.

'28553' objects were checked, '0' hidden objects were found.

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'Azureus.exe' - '1' Module(s) have been scanned

Scan process 'skypePM.exe' - '1' Module(s) have been scanned

Scan process 'Skype.exe' - '1' Module(s) have been scanned

Scan process 'WallpaperSS.exe' - '1' Module(s) have been scanned

Scan process 'GoogleUpdate.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned

Scan process 'avwebgrd.exe' - '1' Module(s) have been scanned

Scan process 'avmailc.exe' - '1' Module(s) have been scanned

Scan process 'RichVideo.exe' - '1' Module(s) have been scanned

Scan process 'HPZipm12.exe' - '1' Module(s) have been scanned

Scan process 'PD91Agent.exe' - '1' Module(s) have been scanned

Scan process 'jqs.exe' - '1' Module(s) have been scanned

Scan process 'avesvc.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

32 processes with 32 modules were scanned

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

Starting to scan the registry.

The registry was scanned ( '40' files ).

Starting the file scan:

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrator\Desktop\ComboFix.exe

[0] Archive type: RAR SFX (self extracting)

--> 32788R22FWJFW\psexec.cfexe

[1] Archive type: RSRC

--> Object

[DETECTION] Contains recognition pattern of the APPL/PsExec.E application

[NOTE] A backup was created as '4a06799b.qua' ( QUARANTINE )

[NOTE] The file was deleted!

C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_000579

[0] Archive type: RAR SFX (self extracting)

--> 32788R22FWJFW\psexec.cfexe

[1] Archive type: RSRC

--> Object

[DETECTION] Contains recognition pattern of the APPL/PsExec.E application

[NOTE] A backup was created as '49c979af.qua' ( QUARANTINE )

[NOTE] The file was deleted!

C:\System Volume Information\_restore{795345B8-E587-41D6-A3BF-8F8398601B5E}\RP4\A0000248.EXE

[DETECTION] Contains recognition pattern of the APPL/PsExec.E application

[NOTE] A backup was created as '49c97a54.qua' ( QUARANTINE )

[NOTE] The file was deleted!

C:\System Volume Information\_restore{795345B8-E587-41D6-A3BF-8F8398601B5E}\RP4\A0000336.exe

[0] Archive type: RAR SFX (self extracting)

--> 32788R22FWJFW\psexec.cfexe

[1] Archive type: RSRC

--> Object

[DETECTION] Contains recognition pattern of the APPL/PsExec.E application

[NOTE] A backup was created as '49c97a58.qua' ( QUARANTINE )

[NOTE] The file was deleted!

End of the scan: 2009-02-16 09:39

Used time: 07:53 Minute(s)

The scan has been done completely.

3896 Scanning directories

83193 Files were scanned

4 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

4 files were deleted

0 files were repaired

4 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

83188 Files not concerned

505 Archives were scanned

1 Warnings

4 Notes

28553 Objects were scanned with rootkit scan

0 Hidden objects were found

mbam_log_2009_02_16__09_50_10_.txt

Премахнати са доста неща. Все още има ли някакъв проблем?

Премахнати са доста неща. Все още има ли някакъв проблем?

доколкото мога да определя мисля че всичко е добре,но пратих това за да го погледнеш.безкрайно благодаря за помощта-хубаво е че има знаещи хора като вас на които можеш да разчиташ

Радвам се! Ако се появи отново проблем, не се притеснявай да пишеш отново.

Отворете Notepad и въведете:

Killall::


File::

c:\windows\system32\frnscli32.dll

c:\windows\system32\txsocm32.dll

c:\windows\wciactrl.exe

c:\windows\system32\skjpeg40.dll

c:\windows\system32\Skbase40.dll

c:\windows\system32\vidccleaner.exe

c:\windows\system32\gbtgmt.dll


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intel Physical Address Aventis 1.3"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Intel Physical Address Aventis 1.3"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nlsf"=-

"nlhr"=-

"tscuninstall"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Intel Physical Address Aventis 1.3]

Запазете файла като CFScript и го провлачете в иконата на ComboFix:

За проблема със скритите файлове изтеглете това FixPolicies.

Запазете го някъде на декстопа.Кликнете два пъти върху файла и изберете Install.Ще се създаде папка с името FixPolicies на десктопа.Отворете я и стартирайте файла Fix_policies.cmd .

Здравейте!

Аз съм колегата на stefanvalja

Направих точно това, което сте препоръчали.

Перфектно- най-после след хиляди мъки и всякакви софтуери, компа си е както преди!

Много съм Ви благодарен: на B-boy, на tanganika и естествено на stefanvalja.

Дължа почерпка!!!

Ето и лога от ComboFix, мисля че вече всичко е ОК:

ComboFix 09-02-15.01 - Administrator 2070-01-01 3:02:37.2 - FAT32x86

Microsoft Windows XP Professional 5.1.2600.3.1251.1.1033.18.511.213 [GMT 2:00]

Running from: c:\documents and settings\Administrator\Desktop\ComboFix.exe

Command switches used :: c:\documents and settings\Administrator\Desktop\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::

c:\windows\system32\frnscli32.dll

c:\windows\system32\gbtgmt.dll

c:\windows\system32\Skbase40.dll

c:\windows\system32\skjpeg40.dll

c:\windows\system32\txsocm32.dll

c:\windows\system32\vidccleaner.exe

c:\windows\wciactrl.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\gbtgmt.dll

c:\windows\system32\Skbase40.dll

c:\windows\system32\skjpeg40.dll

c:\windows\system32\system.exe

c:\windows\system32\vidccleaner.exe

.

((((((((((((((((((((((((( Files Created from 2069-12-01 to 2070-01-01 )))))))))))))))))))))))))))))))

.

2070-01-01 03:02 . 2070-01-01 03:02 15,872 --a------ c:\windows\system32\302.exe

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]

"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-09-01 176128]

"DeviceDiscovery"="c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 229437]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-01 86016]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"USB Antivirus"="c:\program files\USB Disk Security\USBGuard.exe" [2008-09-23 798720]

"nwiz"="nwiz.exe" [2006-06-01 c:\windows\system32\nwiz.exe]

"SoundMan"="SOUNDMAN.EXE" [2003-08-15 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.X264"= x264vfw.dll

"VIDC.3iv2"= 3ivxVfWCodec.dll

"VIDC.VP31"= vp31vfw.dll

"msacm.l3fhg"= mp3fhg.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]

--a------ 2003-10-23 19:51 233472 c:\program files\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2003-06-25 11:24 49152 c:\program files\Hewlett-Packard\HP Software Update\hpwuSchd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2009-02-15 22:54 148888 c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\BitTorrent\\bittorrent.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 ETDrv;ETDrv;c:\windows\system32\drivers\ETDrv.sys [2009-01-17 161060]

R3 WMIBIOS;%WMIBIOS.ServiceName%;c:\windows\system32\drivers\wmibios.sys [2009-01-17 18272]

R3 WMIINFO;WMIINFO Driver;c:\windows\system32\drivers\wmiinfo.sys [2009-01-17 21184]

.

- - - - ORPHANS REMOVED - - - -

HKLM-Run-StartupMonitor - c:\windows\system32\StartupMonitor.exe

Notify-WgaLogon - (no file)

MSConfigStartUp-Intel Physical Address Aventis 1 - c:\windows\wciactrl.exe

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com

IE: &Експортиране към Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath -

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2070-01-01 03:09:57

Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe

c:\program files\JAVA\JRE6\BIN\JQS.EXE

c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Completion time: 2070-01-01 3:11:45 - machine was rebooted

ComboFix2.txt 2009-02-15 22:18:38

ComboFix-quarantined-files.txt 2070-01-01 01:11:42

Pre-Run: 3 748 438 016 bytes free

Post-Run: 3,748,880,384 bytes free

127

Още веднъж много благодаря!

Всичко изглежда наред освен това...

c:\windows\system32\302.exe

Пробвайте да го изтриете ръчно. Ако не става използвайте отново ComboFix:

Killall::


File::

c:\windows\system32\302.exe


sysrst::

И повторете процедурата (запазете файла като CFScript и го провлачете в иконата на Combofix).

Ако не ви е проблем, архивирайте папката C:\Qoobox и я качете на произволно за вас място (като http://www.4storing.com например).

След това деинсталирайте Combofix с командата:

Start => Run => combofix /u

Накрая остава само да почистим:

Спрете и пусни System Restore:

Десен бутон на My Computer => Properties => System Restore => слагате отметка пред Turn Off System Restore

Start => run => cleanmgr => More Options => System Restore => Clean UP

Почистете временните файлове с ATF-CLEANER

(Избирате Select All => само махате отметката пред Prefetch => Empty Selected).

И за финал...направете правилните настройки на Avira и сканирайте системата си:

http://www.kaldata.com/forums/index.php?s=...t&p=1017686

Редактирано 16 февруари 200917 г. от B-boy[StyLe] (преглед на промените)

Надявам се въпроса ми да е за тук, предварително се извинявам ако не е така. Значи Spyware doctor открива следния adware >>FUNWEBPRODUCTS is the company which is responsible for spywares like MyTotalSearch (MTSOEMON.EXE), MyWebSearch(MWSOEMON.EXE) etc. Mwsoemon.exe installs with a newer variant of the MyWebSearch spyware program (MTSOEMON.EXE in the case of MyTotalSearch spyware program). Generally, a browser helper object called mwsbar.dll will install at the same time (mtsbar.dll in the case of MyTotalSearch). The toolbar does add search features but the search results you see will be hijacked to mywebsearch.com or MyTotalSearch.com.<<<<<<, но не може да го изчисти... MalwareBytesAnti malware, както и Nod32 не го откриват. Моля да ми кажете някакъв метод да го изчистя. Благодаря предварително.

Може да е нов вариант на паразита. Изтегли SUPERAntispyware, обнови я и пусни една пълна проверка на системата си.

Гледам, че е добавен нов запис за него в дефинициите и:

Database Version 3761 - 02-16-2009

Adware.Vundo Variant 27 Items Added/Updated

Adware.Vundo/Variant-0211 1 Items Added/Updated

Adware.Vundo/Variant-0216 1 Items Added/Updated

Adware.Vundo/Variant-EC 5 Items Added/Updated

Adware.Vundo/Variant-SR 1 Items Added/Updated

Spyware.WebSearch (WinTools/HuntBar) 1 Items Added/Updated

Trojan.Agent/Gen-PEC 1 Items Added/Updated

Trojan.Agent/Gen-VideoTube 1 Items Added/Updated

Trojan.Dropper/Gen-Bot 1 Items Added/Updated

Trojan.Dropper/Win-NV 2 Items Added/Updated

Trojan.Unknown Origin

След това следвай инструкциите от тази тема и пусни един лог от HijackThis в нея:

http://www.kaldata.com/forums/index.php?showtopic=102469

Редактирано 17 февруари 200917 г. от B-boy[StyLe] (преглед на промените)

Надявам се въпроса ми да е за тук, предварително се извинявам ако не е така. Значи Spyware doctor открива следния adware >>FUNWEBPRODUCTS is the company which is responsible for spywares like MyTotalSearch (MTSOEMON.EXE), MyWebSearch(MWSOEMON.EXE) etc. Mwsoemon.exe installs with a newer variant of the MyWebSearch spyware program (MTSOEMON.EXE in the case of MyTotalSearch spyware program). Generally, a browser helper object called mwsbar.dll will install at the same time (mtsbar.dll in the case of MyTotalSearch). The toolbar does add search features but the search results you see will be hijacked to mywebsearch.com or MyTotalSearch.com.<<<<<<, но не може да го изчисти... MalwareBytesAnti malware, както и Nod32 не го откриват. Моля да ми кажете някакъв метод да го изчистя. Благодаря предварително.

NOD32 го засичат, но явно не сте си включили настройките за потенциално опасните приложения.