Премини към съдържанието
Форумът в приложение

По-лесно сърфиране. Научи повече.
Kaldata.com - Форуми

Приложение на форума на цял екран с push известия, значки и други.

За да инсталирате това приложение на iOS и iPadOS
  1. Докоснете Иконата за споделяне в Safari
  2. Превъртете менюто и докоснете Добавяне към началния екран.
  3. Докоснете Добавяне в горния десен ъгъл.
За да инсталирате това приложение на Android
  1. Докоснете менюто с 3 точки (⋮) в горния десен ъгъл на браузъра.
  2. Докоснете Добавяне към началния екран или Инсталиране на приложение.
  3. Потвърдете, като докоснете Инсталиране.
Добави Kaldata.com в предпочитани източници в Google

Добре дошли!

Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

 

Помощ при откриване и премахване на вируси, троянски коне и др., част 2

kick
в Премахване на зловреден софтуер

Featured Replies

Коригирах скрипта, копирай го отново и направи цялата процедура наново.

Пак син екран :) Да не би да трябва да се прави под сейф мод???

  • Отговори 981
  • Прегледи 140,2k
  • Създадено
  • Последен отговор

Потребители с най-много отговори

Популярни дни

Най-популярни публикации

  • Maniac
    Maniac

    Сега, изтеглете ATF Cleaner Запазете го на вашия десктоп. Кликнете два пъти върху ATF-Cleaner.exe , за да стартирате програмата. Кликнете на Select All, който се намира в най-долната част на спи

  • Maniac
    Maniac

    Моля, прикачете файла: c:\windows\system\msdct.exe в 4storing.com и пуснете линка за изтегляне в следващия си пост.

  • Maniac
    Maniac

    Браво! Обаче логовете са чисти. Все пак, нека продължим: Стъпка 1: Сега, изтеглете ATF Cleaner Запазете го на вашия десктоп. Кликнете два пъти върху ATF-Cleaner.exe , за да старти

Публикувани изображения

Новият скрипт е:

Killall::


File::

c:\windows\system32\mlfcache.dat

c:\windows\System32\beropipe.dll

c:\windows\System32\forapahi.dll

c:\windows\System32\fuhiheje.dll

c:\windows\System32\gedofano.dll

c:\windows\System32\giyesewu.dll

c:\windows\System32\gosufido.dll

c:\windows\System32\halulula.dll

c:\windows\System32\jibafuge.dll

c:\windows\System32\jitebene.dll

c:\windows\System32\jovivumo.dll

c:\windows\System32\jumidani.dll

c:\windows\System32\juretasu.dll

c:\windows\System32\kelinepe.dll

c:\windows\System32\kukivofe.dll

c:\windows\System32\legijada.dll

c:\windows\System32\lekeroto.dll

c:\windows\System32\mepawadi.dll

c:\windows\System32\mulirowo.dll

c:\windows\System32\rolirefu.dll

c:\windows\System32\saheloju.dll

c:\windows\System32\vevapada.dll

c:\windows\System32\vinabino.dll

c:\windows\System32\wayapego.dll

c:\windows\System32\wiremaki.dll

c:\windows\System32\yusuyufe.dll

c:\windows\System32\zadoleso.dll

c:\windows\System32\zoyokuvu.dll


DirLook::

c:\programdata\Temp

c:\users\All Users\TEMP

Новият скрипт е:

Killall::


File::

c:\windows\system32\mlfcache.dat

c:\windows\System32\beropipe.dll

c:\windows\System32\forapahi.dll

c:\windows\System32\fuhiheje.dll

c:\windows\System32\gedofano.dll

c:\windows\System32\giyesewu.dll

c:\windows\System32\gosufido.dll

c:\windows\System32\halulula.dll

c:\windows\System32\jibafuge.dll

c:\windows\System32\jitebene.dll

c:\windows\System32\jovivumo.dll

c:\windows\System32\jumidani.dll

c:\windows\System32\juretasu.dll

c:\windows\System32\kelinepe.dll

c:\windows\System32\kukivofe.dll

c:\windows\System32\legijada.dll

c:\windows\System32\lekeroto.dll

c:\windows\System32\mepawadi.dll

c:\windows\System32\mulirowo.dll

c:\windows\System32\rolirefu.dll

c:\windows\System32\saheloju.dll

c:\windows\System32\vevapada.dll

c:\windows\System32\vinabino.dll

c:\windows\System32\wayapego.dll

c:\windows\System32\wiremaki.dll

c:\windows\System32\yusuyufe.dll

c:\windows\System32\zadoleso.dll

c:\windows\System32\zoyokuvu.dll


DirLook::

c:\programdata\Temp

c:\users\All Users\TEMP

[/quot

Така стана процедурата вече :P Ето го и файла:

log.txt

B-boy[styLe] Здравей отново, изпъних точно инструкциите ти. Ето втория лог файл на КомбоФих: ComboFix 09-03-10.03 - Spunky 2009-03-12 21:44:33.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1251.1.1033.18.2047.1520 [GMT 2:00]

Running from: c:\documents and settings\Spunky\Desktop\ComboFix.exe

Command switches used :: c:\documents and settings\Spunky\Desktop\CFScript.txt

AV: Kaspersky Internet Security *On-access scanning enabled* (Updated)

FW: Kaspersky Internet Security *enabled*

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::

c:\windows\system32\%LocalXml%

c:\windows\system32\fefcbedcccd6_d.ocx

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\%LocalXml%

c:\windows\system32\fefcbedcccd6_d.ocx

.

((((((((((((((((((((((((( Files Created from 2009-02-12 to 2009-03-12 )))))))))))))))))))))))))))))))

.

2009-03-11 21:48 . 2009-03-11 21:54 <DIR> d-------- c:\program files\Spybot - Search & Destroy

2009-03-11 21:48 . 2009-03-11 21:54 <DIR> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-03-11 09:32 . 2001-08-17 13:48 12,160 --a------ c:\windows\system32\drivers\mouhid.sys

2009-03-11 09:32 . 2001-08-17 13:48 12,160 --a--c--- c:\windows\system32\dllcache\mouhid.sys

2009-03-11 09:32 . 2001-08-17 14:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys

2009-03-11 09:32 . 2001-08-17 14:02 9,600 --a--c--- c:\windows\system32\dllcache\hidusb.sys

2009-03-08 18:22 . 2009-03-08 18:22 406 --a------ c:\windows\system32\ioloBootDefrag.cfg

2009-03-08 18:21 . 2009-03-08 18:21 <DIR> d-------- c:\documents and settings\LocalService\Application Data\iolo

2009-03-08 18:15 . 2009-03-09 20:30 <DIR> d-------- c:\documents and settings\Spunky\Application Data\iolo

2009-03-08 18:15 . 2009-03-11 08:36 <DIR> d-------- c:\documents and settings\All Users\Application Data\iolo

2009-03-06 22:45 . 2009-03-06 22:50 <DIR> d-------- c:\program files\RegSupreme Pro

2009-03-06 18:14 . 2009-03-10 19:33 267,458 --a------ C:\_crash.dmp

2009-03-06 18:14 . 2009-03-10 19:33 52,399 --a------ C:\report.zip

2009-03-05 12:56 . 2009-03-05 12:56 <DIR> d-------- c:\program files\Common Files\xing shared

2009-03-04 19:33 . 2009-03-04 19:33 <DIR> d-------- c:\program files\Lavalys

2009-03-04 19:05 . 2009-03-04 19:05 <DIR> d-------- c:\program files\Tunatic

2009-03-01 19:10 . 2009-03-01 19:12 <DIR> d-------- c:\documents and settings\All Users\Application Data\Bluetooth

2009-03-01 17:59 . 2009-03-01 17:59 <DIR> d-------- c:\program files\IVT Corporation

2009-03-01 14:27 . 2009-03-03 19:51 <DIR> d-------- c:\program files\RegistryFix7

2009-03-01 14:13 . 2009-03-01 14:15 <DIR> d-------- c:\program files\Error Repair Professional

2009-03-01 13:17 . 2003-06-18 17:31 17,920 --a------ c:\windows\system32\mdimon.dll

2009-03-01 13:17 . 2009-03-01 13:17 376 --a------ c:\windows\ODBC.INI

2009-03-01 13:08 . 2009-03-01 13:08 <DIR> d-------- c:\program files\DAEMON Tools Lite

2009-03-01 13:03 . 2009-03-01 13:03 <DIR> d-------- c:\documents and settings\Spunky\Application Data\DAEMON Tools

2009-03-01 13:03 . 2009-03-01 13:03 717,296 --a------ c:\windows\system32\drivers\sptd.sys

2009-03-01 12:39 . 2009-03-12 19:16 <DIR> d-------- c:\program files\The Best Bg mIRC

2009-03-01 12:17 . 2009-03-12 19:17 <DIR> d-------- c:\program files\CrazymIRC

2009-03-01 03:05 . 2009-03-01 03:05 <DIR> d-------- c:\program files\XP Codec Pack

2009-03-01 03:02 . 2009-03-01 03:02 <DIR> d-------- c:\program files\Webteh

2009-03-01 02:45 . 2009-03-01 02:45 <DIR> d-------- c:\program files\IObit

2009-03-01 02:45 . 2009-03-01 02:45 <DIR> d-------- c:\documents and settings\Spunky\Application Data\IObit

2009-03-01 02:09 . 2009-03-01 02:09 <DIR> d-------- c:\program files\SEMC

2009-03-01 02:09 . 2006-02-01 10:01 41,792 --a------ c:\windows\system32\drivers\zebrceb.sys

2009-03-01 02:09 . 2006-02-01 10:01 5,776 --a------ c:\windows\system32\drivers\zebrwhnt.sys

2009-03-01 02:09 . 2006-02-01 10:01 5,776 --a------ c:\windows\system32\drivers\zebrwh.sys

2009-03-01 01:53 . 2009-03-01 01:59 <DIR> d-------- c:\program files\Your Uninstaller 2008

2009-03-01 01:53 . 2009-03-01 01:53 <DIR> d-------- c:\documents and settings\Spunky\Application Data\URSoft

2009-03-01 01:50 . 2009-03-12 17:40 <DIR> d-------- c:\documents and settings\Spunky\Application Data\skypePM

2009-03-01 01:50 . 2009-03-01 01:50 56 --ah----- c:\windows\system32\ezsidmv.dat

2009-03-01 01:49 . 2009-03-01 01:49 <DIR> d-------- c:\program files\Skype

2009-03-01 01:49 . 2009-03-01 01:49 <DIR> d-------- c:\program files\Common Files\Skype

2009-03-01 01:49 . 2009-03-12 21:29 <DIR> d-------- c:\documents and settings\Spunky\Application Data\Skype

2009-03-01 01:48 . 2009-03-01 01:49 <DIR> d-------- c:\documents and settings\All Users\Application Data\Skype

2009-03-01 01:35 . 2009-03-08 21:17 <DIR> d-------- c:\program files\Winamp

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-12 19:48 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab

2009-03-12 19:46 40,220 --sha-w c:\windows\system32\drivers\fidbox.idx

2009-03-12 19:46 4,741,664 --sha-w c:\windows\system32\drivers\fidbox.dat

2009-03-12 19:46 4,352 --sha-w c:\windows\system32\drivers\fidbox2.idx

2009-03-12 19:46 344,096 --sha-w c:\windows\system32\drivers\fidbox2.dat

2009-03-12 18:17 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-03-12 14:09 --------- d-----w c:\program files\Spyware Doctor

2009-03-11 21:47 --------- d-----w c:\documents and settings\Spunky\Application Data\uTorrent

2009-03-05 10:56 --------- d-----w c:\program files\Common Files\Real

2009-03-01 15:59 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-28 22:45 --------- d-----w c:\program files\uTorrent

2009-02-28 21:50 89,601 ----a-w c:\windows\system32\drivers\klick.dat

2009-02-28 21:50 33,808 ----a-w c:\windows\system32\drivers\klbg.sys

2009-02-28 21:50 101,287 ----a-w c:\windows\system32\drivers\klin.dat

2009-02-28 21:46 81,288 ----a-w c:\windows\system32\drivers\iksyssec.sys

2009-02-28 21:46 66,952 ----a-w c:\windows\system32\drivers\iksysflt.sys

2009-02-28 21:46 40,840 ----a-w c:\windows\system32\drivers\ikfilesec.sys

2009-02-28 21:44 --------- d-----w c:\documents and settings\Spunky\Application Data\PC Tools

2009-02-28 21:28 --------- d-----w c:\program files\Kaspersky Lab

2009-02-28 21:28 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files

2009-02-28 21:12 --------- d-----w c:\program files\Real

2009-02-28 20:55 --------- d-----w c:\program files\Realtek Sound Manager

2009-02-28 20:55 --------- d-----w c:\program files\AvRack

2009-02-28 20:52 --------- d-----w c:\program files\Common Files\InstallShield

2009-02-28 20:52 --------- d-----w c:\program files\ATI Technologies

2009-02-28 20:38 --------- d-----w c:\program files\microsoft frontpage

.

((((((((((((((((((((((((((((((((((((((( System Restore )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\update\rollback\AutoPatches\kav8exec\8.0.0.454\avp.exe

2009-02-28 23:50 206088 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP11\A0000808.exe

c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\update\rollback\AutoPatches\kav8exec\8.0.0.454\fssync.dll

2009-02-28 23:50 44808 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP11\A0000809.dll

c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\update\rollback\AutoPatches\kav8exec\8.0.0.454\klbg.sys

2009-02-28 23:50 32784 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP11\A0000811.sys

c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\update\rollback\AutoPatches\kav8exec\8.0.0.454\XP\klif.sys

2009-02-28 23:50 213008 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP11\A0000815.sys

2009-03-12 21:49 428 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegBHO-Global.reg

2009-03-11 22:01 428 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006440.reg

2009-03-12 19:26 428 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008878.reg

2009-03-12 21:48 122 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDCMD-Spunky.reg

2009-03-11 22:01 122 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006401.reg

2009-03-12 19:26 122 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008839.reg

2009-03-12 21:48 145 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDContxM-Global.reg

2009-03-11 22:01 145 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006393.reg

2009-03-12 19:26 145 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008831.reg

2009-03-12 21:48 135 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDFind-Spunky.reg

2009-03-11 22:01 135 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006392.reg

2009-03-12 19:26 135 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008830.reg

2009-03-12 21:48 132 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDGB-Spunky.reg

2009-03-11 22:01 132 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006399.reg

2009-03-12 19:26 132 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008837.reg

2009-03-12 21:48 151 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDMyCProp-Spunky.reg

2009-03-11 22:01 151 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006391.reg

2009-03-12 19:25 151 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008829.reg

2009-03-12 21:48 152 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDMyDProp-Spunky.reg

2009-03-11 22:01 152 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006388.reg

2009-03-12 19:25 152 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008826.reg

2009-03-12 21:49 1045 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDPF-Global.reg

2009-03-11 22:01 1045 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006439.reg

2009-03-12 19:26 1045 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008877.reg

2009-03-12 21:48 133 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDRegT-Global.reg

2009-03-11 22:01 148 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006397.reg

2009-03-12 19:26 133 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008835.reg

2009-03-12 21:48 132 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDRegT-Spunky.reg

2009-03-11 22:01 132 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006400.reg

2009-03-12 19:26 132 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008838.reg

2009-03-12 21:48 128 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDScrP-Spunky.reg

2009-03-11 22:01 128 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006398.reg

2009-03-12 19:26 128 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008836.reg

2009-03-12 21:48 89 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDSysRes-Global.reg

2009-03-11 22:01 89 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006395.reg

2009-03-12 19:26 89 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008833.reg

2009-03-12 21:48 89 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDSysResC-Global.reg

2009-03-11 22:01 89 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006396.reg

2009-03-12 19:26 89 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008834.reg

2009-03-12 21:48 142 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDTaskMgr-Global.reg

2009-03-11 22:01 142 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006394.reg

2009-03-12 19:26 142 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008832.reg

2009-03-12 21:49 60 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegDummy-Spunky.reg

2009-03-11 22:01 60 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006451.reg

2009-03-12 19:26 60 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008889.reg

2009-03-12 21:48 77 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegExtBat-Global.reg

2009-03-11 22:01 77 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006424.reg

2009-03-12 19:26 77 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008862.reg

2009-03-12 21:48 77 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegExtCmd-Global.reg

2009-03-11 22:01 77 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006418.reg

2009-03-12 19:26 77 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008856.reg

2009-03-12 21:48 77 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegExtCom-Global.reg

2009-03-11 22:01 77 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006423.reg

2009-03-12 19:26 77 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008861.reg

2009-03-12 21:48 77 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegExtExe-Global.reg

2009-03-11 22:01 77 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006422.reg

2009-03-12 19:26 77 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008860.reg

2009-03-12 21:48 77 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegExtPif-Global.reg

2009-03-11 22:01 77 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006421.reg

2009-03-12 19:26 77 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008859.reg

2009-03-12 21:48 86 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegExtReg-Global.reg

2009-03-11 22:01 86 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006419.reg

2009-03-12 19:26 86 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008857.reg

2009-03-12 21:48 77 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegExtScr-Global.reg

2009-03-11 22:01 77 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006420.reg

2009-03-12 19:26 77 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008858.reg

2009-03-12 21:49 81 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegGBME-Global.reg

2009-03-11 22:01 81 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006435.reg

2009-03-12 19:26 81 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008873.reg

2009-03-12 21:49 116 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegGBP1-Global.reg

2009-03-11 22:01 116 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006429.reg

2009-03-12 19:26 116 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008867.reg

2009-03-12 21:48 271 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegGBP2a-Global.reg

2009-03-11 22:01 271 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006428.reg

2009-03-12 19:26 271 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008866.reg

2009-03-12 21:48 464 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegGBP2b-Global.reg

2009-03-11 22:01 464 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006427.reg

2009-03-12 19:26 464 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP32\A0008865.reg

2009-03-12 21:48 277 c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegGBP3-Global.reg

2009-03-11 22:01 277 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP25\A0006426.reg

2009-02-28 22:55 0 {48A8992A-95BD-4D81-92BC-E6656F362BDC}\RP2

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-08-11 21741864]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-02-28 206088]

"SoundMan"="SOUNDMAN.EXE" [2005-05-17 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\All Users\Start Menu\Programs\Startup\

BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2009-03-01 1183744]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]

R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]

R3 N100;Compaq Ethernet or Fast Ethernet NIC Driver;c:\windows\system32\drivers\n100325.sys [2009-03-01 128000]

S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-02-28 356920]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]

msiexec /fums {3CBBEE47-C8F4-316A-92FF-ED7E3DFAE41E} /qb

.

Contents of the 'Scheduled Tasks' folder

2009-03-12 c:\windows\Tasks\AWC AutoSweep.job

- c:\program files\IObit\Advanced SystemCare 3\AutoSweep.exe []

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://google.bg/

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Добави към защитата от банери - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

FF - ProfilePath - c:\documents and settings\Spunky\Application Data\Mozilla\Firefox\Profiles\7hgkto61.default\

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-12 21:48:20

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

c:\docume~1\Spunky\LOCALS~1\Temp\etilqs_hXGzE3srP6gAElz 0 bytes

scan completed successfully

hidden files: 1

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1188)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Other Running Processes ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\system32\ati2evxx.exe

c:\program files\Skype\Plugin Manager\skypePM.exe

c:\program files\IVT Corporation\BlueSoleil\BTNtService.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\dwwin.exe

c:\windows\system32\mspaint.exe

.

**************************************************************************

.

Completion time: 2009-03-12 21:50:25 - machine was rebooted

ComboFix-quarantined-files.txt 2009-03-12 19:50:21

ComboFix2.txt 2009-03-12 17:30:29

Pre-Run: 15,089,078,272 bytes free

Post-Run: 15,114,596,352 bytes free

269

А ето и лог файл на Uninstall_лист: Adobe Flash Player 10 ActiveX

Adobe Flash Player 10 Plugin

Advanced SystemCare 3

ATI - Software Uninstall Utility

ATI Catalyst Control Center

ATI Display Driver

BlueSoleil

BSPlayer

CrazymIRC

Error Repair Professional 3.9.3

EVEREST Ultimate Edition v5.00

HijackThis 2.0.2

Hotfix for Windows XP (KB915865)

Kaspersky Internet Security 2009

Kaspersky Internet Security 2009

Microsoft .NET Framework 2.0

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

mIRC

Mozilla Firefox (3.0.6)

RealPlayer

Realtek AC'97 Audio

Registry Mechanic 6.0

RegistryFix v7.0

RegSupreme Pro

Skype™ 3.8

Sony Ericsson Software

Spybot - Search & Destroy

Spyware Doctor 6.0

The Best Bulgarian mIRC (remove only)

Tunatic

Winamp (remove only)

Windows Bulgarian Interface Pack

Windows Internet Explorer 7

Windows Internet Explorer 7 Language Interface Pack (BGR)

Windows Media Format Runtime

XP Codec Pack

Your Uninstaller! 2008 Version 6.0

Архиватор WinRAR

Български интерфейс за Advanced WindowsCare 3.1.0

Пакет за езиков интерфейс на Kaspersky Internet Security

Значи до колкото разбирам flex type 2к не трябва повече да го използвам, така ли? Ако го използвам отново дали може да ми създаде пак неприятности? Още веднъж Огромно Благодаря

Сега логът изглежда много по-добре. Сега:

1. Архивирай папката Qoobox, която се намира в C:\ и я прикачи в:

http://www.4storing.com

след което публикувай линка за изтегляне в следващия си пост в темата.

2. Публикувай и един лог от HijackThis в тази тема:

http://www.kaldata.com/forums/index.php?sh...5&start=165

В първия пост са инструкциите.

Сега логът изглежда много по-добре. Сега:

1. Архивирай папката Qoobox, която се намира в C:\ и я прикачи в:

http://www.4storing.com

след което публикувай линка за изтегляне в следващия си пост в темата.

2. Публикувай и един лог от HijackThis в тази тема:

http://www.kaldata.com/forums/index.php?sh...5&start=165

В първия пост са инструкциите.

Това за мен ли се отнася :speak:

Ето го линка

http://4storing.com/a1s0c/991cc8f3df66dcbc...b52be5c1cd.html

Редактирано от cranky (преглед на промените)

@pranjev

Ами, да от FlexType можеш да имаш главоболия с клавиатурните подредби и шрифтовете, но едва ли е причина за останалите проблеми.

Отвори Control Panel => Add/Remove Programs => и деинсталирай следните програми:

Error Repair Professional 3.9.3

Registry Mechanic 6.0

RegistryFix v7.0

Spyware Doctor 6.0

Изтеглеи software.gifDownload: GMER 1.0.15.14878

Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V).

Редактирано от B-boy[StyLe] (преглед на промените)

Да, естествено. pranjev е пациент на B-Boy[styLe].

Благодаря много за помощта.Постнах и резултата от hijackThis в съответната тема :speak:

Разбрах, че са сложили на служебния компютър Keylogger.

Проблема е, че си има инсталирана антивирусна Avast и не е изпискала.

Разполагам с името на логера Refog, но не 100% сигурно.

Как да го махна?

Става ли със Safe Mode + System Restore ?

Дайте ми съвети, моля :-o

2.4 Форумът е снабден с търсачка, намираща се над прозорците с темите. Употребата й е задължителна с цел избягване на дублиращи се теми. Коментарите към такива теми ще бъдат премествани към вече съществуващите или изтривани.

http://www.kaldata.com/forums/index.php?act=Search

Темата Ви се дублира с тази,точно поради тази причина!

Редактирано от mihnev_sz (преглед на промените)

B-boy[styLe] Здрасти, ето резултата от сканирането на GMER 1.0.15.14878: GMER 1.0.15.14878 - http://www.gmer.net

Rootkit scan 2009-03-12 23:23:56

Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB0E87940]

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB0E879A8]

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A5051F8

Device \FileSystem\Fastfat \Fat 897931F8

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- EOF - GMER 1.0.15 ----- но искам да попитам тези програми дето ги деинсталирах вече няма ли да мога да ги ползвам, аз съм изключително много доволен от тях особенно от spyware doctor?!

B-boy[styLe] Здрасти, ето резултата от сканирането на GMER 1.0.15.14878: GMER 1.0.15.14878 - http://www.gmer.net

Rootkit scan 2009-03-12 23:23:56

Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB0E87940]

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB0E879A8]

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A5051F8

Device \FileSystem\Fastfat \Fat 897931F8

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- EOF - GMER 1.0.15 ----- но искам да попитам тези програми дето ги деинсталирах вече няма ли да мога да ги ползвам, аз съм изключително много доволен от тях особенно от spyware doctor?!

Мисля, че има и по-добри и ефективни алтернативи (като Malwarebytes Anti-Malware 1.34 и SUPERAntiSpyware 4.25.0.1014), но ако държиш да си я инсталираш отново, нека поне да приключим с почистването на системата ти.

Провери с посочените програми (в синьо) и публукувай логовете.

PS: логовете на SUPERAntispyware се намират в Preferences => Statistics/Logs

След това направи нова проверка с ComboFix.

Изтегли програмата и я стартирай с двоен клик на мишката.

B-boy[styLe] Здрасти, Ето лог файл от резултата от сканирането на Malwarebytes' Anti-Malware, даде ми че нищо не откри: Malwarebytes' Anti-Malware 1.34

Версия на базата от данни: 1841

Windows 5.1.2600 Service Pack 2

2009-03-13 00:08:55

mbam-log-2009-03-13 (00-08-55).txt

Тип сканиране: Бързо сканиране

Сканирани обекти: 56418

Изминало време: 2 minute(s), 20 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 0

Заразени процеси в паметта:

(Не бяха открити заплахи)

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

Заразени папки:

(Не бяха открити заплахи)

Заразени файлове:

(Не бяха открити заплахи)

А ето и от SUPERAntiSpyware Free Edition: SUPERAntiSpyware Scan Log

http://www.superantispyware.com

Generated 03/13/2009 at 00:19 AM

Application Version : 4.25.1014

Core Rules Database Version : 3793

Trace Rules Database Version: 1749

Scan type : Quick Scan

Total Scan Time : 00:04:27

Memory items scanned : 505

Memory threats detected : 0

Registry items scanned : 315

Registry threats detected : 0

File items scanned : 4349

File threats detected : 2

Adware.Tracking Cookie

C:\Documents and Settings\Spunky\Cookies\[email protected][1].txt

C:\Documents and Settings\Spunky\Cookies\spunky@tns-counter[1].txt

В началото когато писах за първи път пропуснах да отбележа че имам и още проблеми със системата. Много често ми се случва както си работи компа и изведнъж ми дава съобщение че дадена програма трябва да бъде затворена защото не функционирала както трябва и няма respond със нещо си и нямам друг избор освен да я затворя(not responding) а и компа ми както си работи и често му се случва внезапно сам да се рестартира. И искам да попитам за error repair не държа чак толова много да го имам отново но за останалите мога ли да си ги сложа? Нямам нищо против тези които ми ги препоръча до сега - напротив харесват ми изключително много но SUPERAntiSpyware изключително трудно

се краква, преди няколко месеца го имах и много се мъчих да го регистрирам, аз го имах с работещ сериен номер и крак и не успях, а ми се струва че Free Edition версията май е доста орязана(в смисъл не всички функций работят пълноценно). Ето и третия лог файл от сканирането на КомбоФих: ComboFix 09-03-10.03 - Spunky 2009-03-13 0:48:28.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1251.1.1033.18.2047.1323 [GMT 2:00]

Running from: c:\documents and settings\Spunky\Desktop\ComboFix.exe

AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)

FW: Kaspersky Internet Security *disabled*

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((( Files Created from 2009-02-12 to 2009-03-12 )))))))))))))))))))))))))))))))

.

2009-03-13 00:11 . 2009-03-13 00:11 <DIR> d-------- c:\program files\SUPERAntiSpyware

2009-03-13 00:11 . 2009-03-13 00:11 <DIR> d-------- c:\documents and settings\Spunky\Application Data\SUPERAntiSpyware.com

2009-03-13 00:11 . 2009-03-13 00:11 <DIR> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com

2009-03-13 00:10 . 2009-03-13 00:10 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard

2009-03-13 00:04 . 2009-03-13 00:04 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-03-13 00:04 . 2009-03-13 00:04 <DIR> d-------- c:\documents and settings\Spunky\Application Data\Malwarebytes

2009-03-13 00:04 . 2009-03-13 00:04 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-13 00:04 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-13 00:04 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-03-11 21:48 . 2009-03-11 21:54 <DIR> d-------- c:\program files\Spybot - Search & Destroy

2009-03-11 21:48 . 2009-03-11 21:54 <DIR> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-03-11 09:32 . 2001-08-17 13:48 12,160 --a------ c:\windows\system32\drivers\mouhid.sys

2009-03-11 09:32 . 2001-08-17 13:48 12,160 --a--c--- c:\windows\system32\dllcache\mouhid.sys

2009-03-11 09:32 . 2001-08-17 14:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys

2009-03-11 09:32 . 2001-08-17 14:02 9,600 --a--c--- c:\windows\system32\dllcache\hidusb.sys

2009-03-08 18:22 . 2009-03-08 18:22 406 --a------ c:\windows\system32\ioloBootDefrag.cfg

2009-03-08 18:21 . 2009-03-08 18:21 <DIR> d-------- c:\documents and settings\LocalService\Application Data\iolo

2009-03-08 18:15 . 2009-03-09 20:30 <DIR> d-------- c:\documents and settings\Spunky\Application Data\iolo

2009-03-08 18:15 . 2009-03-11 08:36 <DIR> d-------- c:\documents and settings\All Users\Application Data\iolo

2009-03-06 22:45 . 2009-03-06 22:50 <DIR> d-------- c:\program files\RegSupreme Pro

2009-03-06 18:14 . 2009-03-10 19:33 267,458 --a------ C:\_crash.dmp

2009-03-06 18:14 . 2009-03-10 19:33 52,399 --a------ C:\report.zip

2009-03-05 12:56 . 2009-03-05 12:56 <DIR> d-------- c:\program files\Common Files\xing shared

2009-03-04 19:33 . 2009-03-04 19:33 <DIR> d-------- c:\program files\Lavalys

2009-03-04 19:05 . 2009-03-04 19:05 <DIR> d-------- c:\program files\Tunatic

2009-03-01 19:10 . 2009-03-01 19:12 <DIR> d-------- c:\documents and settings\All Users\Application Data\Bluetooth

2009-03-01 17:59 . 2009-03-01 17:59 <DIR> d-------- c:\program files\IVT Corporation

2009-03-01 14:27 . 2009-03-12 23:16 <DIR> d-------- c:\program files\RegistryFix7

2009-03-01 14:13 . 2009-03-12 23:15 <DIR> d-------- c:\program files\Error Repair Professional

2009-03-01 13:17 . 2003-06-18 17:31 17,920 --a------ c:\windows\system32\mdimon.dll

2009-03-01 13:17 . 2009-03-01 13:17 376 --a------ c:\windows\ODBC.INI

2009-03-01 13:08 . 2009-03-01 13:08 <DIR> d-------- c:\program files\DAEMON Tools Lite

2009-03-01 13:03 . 2009-03-01 13:03 <DIR> d-------- c:\documents and settings\Spunky\Application Data\DAEMON Tools

2009-03-01 13:03 . 2009-03-01 13:03 717,296 --a------ c:\windows\system32\drivers\sptd.sys

2009-03-01 12:39 . 2009-03-12 19:16 <DIR> d-------- c:\program files\The Best Bg mIRC

2009-03-01 12:17 . 2009-03-12 19:17 <DIR> d-------- c:\program files\CrazymIRC

2009-03-01 03:05 . 2009-03-01 03:05 <DIR> d-------- c:\program files\XP Codec Pack

2009-03-01 03:02 . 2009-03-01 03:02 <DIR> d-------- c:\program files\Webteh

2009-03-01 02:45 . 2009-03-01 02:45 <DIR> d-------- c:\program files\IObit

2009-03-01 02:45 . 2009-03-01 02:45 <DIR> d-------- c:\documents and settings\Spunky\Application Data\IObit

2009-03-01 02:09 . 2009-03-01 02:09 <DIR> d-------- c:\program files\SEMC

2009-03-01 02:09 . 2006-02-01 10:01 41,792 --a------ c:\windows\system32\drivers\zebrceb.sys

2009-03-01 02:09 . 2006-02-01 10:01 5,776 --a------ c:\windows\system32\drivers\zebrwhnt.sys

2009-03-01 02:09 . 2006-02-01 10:01 5,776 --a------ c:\windows\system32\drivers\zebrwh.sys

2009-03-01 01:53 . 2009-03-01 01:59 <DIR> d-------- c:\program files\Your Uninstaller 2008

2009-03-01 01:53 . 2009-03-01 01:53 <DIR> d-------- c:\documents and settings\Spunky\Application Data\URSoft

2009-03-01 01:50 . 2009-03-13 00:07 <DIR> d-------- c:\documents and settings\Spunky\Application Data\skypePM

2009-03-01 01:50 . 2009-03-01 01:50 56 --ah----- c:\windows\system32\ezsidmv.dat

2009-03-01 01:49 . 2009-03-01 01:49 <DIR> d-------- c:\program files\Skype

2009-03-01 01:49 . 2009-03-01 01:49 <DIR> d-------- c:\program files\Common Files\Skype

2009-03-01 01:49 . 2009-03-13 00:47 <DIR> d-------- c:\documents and settings\Spunky\Application Data\Skype

2009-03-01 01:48 . 2009-03-01 01:49 <DIR> d-------- c:\documents and settings\All Users\Application Data\Skype

2009-03-01 01:35 . 2009-03-08 21:17 <DIR> d-------- c:\program files\Winamp

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-12 22:15 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-03-12 19:48 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab

2009-03-12 19:46 40,220 --sha-w c:\windows\system32\drivers\fidbox.idx

2009-03-12 19:46 4,741,664 --sha-w c:\windows\system32\drivers\fidbox.dat

2009-03-12 19:46 4,352 --sha-w c:\windows\system32\drivers\fidbox2.idx

2009-03-12 19:46 344,096 --sha-w c:\windows\system32\drivers\fidbox2.dat

2009-03-11 21:47 --------- d-----w c:\documents and settings\Spunky\Application Data\uTorrent

2009-03-05 10:56 --------- d-----w c:\program files\Common Files\Real

2009-03-01 15:59 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-28 22:45 --------- d-----w c:\program files\uTorrent

2009-02-28 21:50 89,601 ----a-w c:\windows\system32\drivers\klick.dat

2009-02-28 21:50 33,808 ----a-w c:\windows\system32\drivers\klbg.sys

2009-02-28 21:50 101,287 ----a-w c:\windows\system32\drivers\klin.dat

2009-02-28 21:28 --------- d-----w c:\program files\Kaspersky Lab

2009-02-28 21:28 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files

2009-02-28 21:12 --------- d-----w c:\program files\Real

2009-02-28 20:55 --------- d-----w c:\program files\Realtek Sound Manager

2009-02-28 20:55 --------- d-----w c:\program files\AvRack

2009-02-28 20:52 --------- d-----w c:\program files\Common Files\InstallShield

2009-02-28 20:52 --------- d-----w c:\program files\ATI Technologies

2009-02-28 20:38 --------- d-----w c:\program files\microsoft frontpage

.

((((((((((((((((((((((((((((( SnapShot@2009-03-12_21.49.07.76 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-03-12 22:11:18 18,944 ----a-r c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe

+ 2009-03-12 22:11:18 65,024 ----a-r c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-08-11 21741864]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-02-17 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-02-28 206088]

"SoundMan"="SOUNDMAN.EXE" [2005-05-17 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\All Users\Start Menu\Programs\Startup\

BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2009-03-01 1183744]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-12-22 11:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-02-17 8944]

R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-02-17 55024]

R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]

R3 N100;Compaq Ethernet or Fast Ethernet NIC Driver;c:\windows\system32\drivers\n100325.sys [2009-03-01 128000]

R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-02-17 7408]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - AUJASNKJ

*NewlyCreated* - SASDIFSV

*NewlyCreated* - SASENUM

*NewlyCreated* - SASKUTIL

*Deregistered* - aujasnkj

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]

msiexec /fums {3CBBEE47-C8F4-316A-92FF-ED7E3DFAE41E} /qb

.

Contents of the 'Scheduled Tasks' folder

2009-03-12 c:\windows\Tasks\AWC AutoSweep.job

- c:\program files\IObit\Advanced SystemCare 3\AutoSweep.exe []

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://google.bg/

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Добави към защитата от банери - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

FF - ProfilePath - c:\documents and settings\Spunky\Application Data\Mozilla\Firefox\Profiles\7hgkto61.default\

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-13 00:50:06

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1188)

c:\windows\system32\Ati2evxx.dll

.

Completion time: 2009-03-13 0:51:25

ComboFix-quarantined-files.txt 2009-03-12 22:51:22

ComboFix2.txt 2009-03-12 19:50:28

ComboFix3.txt 2009-03-12 17:30:29

Pre-Run: 14,959,587,328 bytes free

Post-Run: 14,953,357,312 bytes free

176

Редактирано от pranjev (преглед на промените)

Напротив => Free версиите на Malwarebytes и SUPERAntispyware са си напълно функционални по отношение на сканиране и премахване на зловреден код (което и се изисква от тях). Разликите с платените версии са само защитата в реално време и автоматичните update-и.

Незнам защо държиш да си качваш програми за чистене на регистрите. Нито ще се подобри чак толкова производителността на системата, нито нищо. А вредата, ако объркат нещо е доста по-голяма. Още повече, че ти имаш една такава програма. Безплатна и сравнително безопасна - Advanced SystemCare. Не мисля, че имаш нужда от останалите такива, но сисемата си е твоя.

Един цитат от Night_Raven:

Не се престаравайте в чистенето на регистратурата

Има потребители, които чистят реигстратурата едва ли не всеки ден и то често с няколко програми. Няма смисъл. Чистенето на регистрите на практика не води до ускорение на системата. На теория може и да има при стартирането на системата, но на практика няма как да се усети. Премахването на няколко байта или килобайта от твърдия диск няма как да ускорят зареждането с повече от части от секундата. Няколко килобайта в повече няма и как да се отразят пагубно на заеманата системна памет. Просто е смешно да се цепи косъма на две и да се хващаме за някакви байти и стотни. С това не искам да кажа, че чистенето на регистратурата е лошо нещо. Правилното чистене на регистратурата може да има само положителен ефект, бил той малък или незначителен. Това е и уловката обаче - правилното чистене. Това чистене трябва да е ръчно - да се отвори регистратурата и да се почиства ключ по ключ. Тук идват и двата фактора, които елиминират ръчното чистене: 1) нужни са солидни знания кое какво е, допълнителен процес ли е добавил ключа, може ли да се махне и т.н.; и 2) регистратурата е на практика необятна и ръчното чистене на практика е непосилно за което и да е човешко същество. Дори и даден потребител да има нужните знания, то вторият фактор си казва тежката дума. Затова се създават и програми за чистенето на регистрите. Те обаче не могат да бъдат "интелигентни" и да почистят всичко излишно, без да направят поразия. Те са програмирани да премахват конкретни ключове или такива, които отговарят на дадени условия. Ако чистачката е твърде мекушава, няма да има реална полза от нея, защото ще премахва прекалено малко неща и времето, прекарано в сканиране, ще е повече от "загубата на производителност" при непочистване. Ако програмата е твърде строга, може да премахне на практика използвани от други програми редове в регистратурата, но дори и тогава пак няма да е достатъчно, за да се усети прираст в производителността. Тук се промъква и трети факор - чистенето на възобновяващи се редове. М'да, доста чистачки на регистрите премахват редове, които операционната система така или иначе ще си създаде отново, така че премахването им е меко казано загуба на време. Така обаче се създава илюзия у потребителя, че програмата "чисти яко", което понякога води и до плацебо (или пласибо) ефект - толкова им се иска на потребителите да повярват, че дадено нещо функционира, че въображението им започва да им прави номера и ги кара да усещат разлика.

Като обобщение до момента може да се каже, че нищожният или несъществуващият прираст в производителността не си струва риска да се премахне нещо, което може да навреди доста повече. Това си е прекрасно олицетворение на поговорката "да оставиш питомното, за да гониш дивото".

Регистратурата може и обаче да се погледне от друга гледна точка, различна от тази на производителността. Понякога някои програми оставят следи там, които пречат на инсталацита или функционирането на някоя друга програма. Тогава едно почистване на регистрите с някоя програма може и да оправи проблема. Разбира се, ръчното чистене и в случая си остава за предпочитане, но отново е нужно познание от страна на потребителя, за да знае къде и какво да изтрие/промени. Т.е. в такъв случай чистенето се извършва, когато има съмнение, че ще помогне за решаване на проблем, а не през 5 мин/1 час/ден.

Ако толкова искате да чистите регистри, можете да си оставите една програма за целта, на която имате доверие, и да си я пускате веднъж месечно например. Но дори тогава имайте едно на ум.

Относно проблемите с рестартите...не е задължително да се дължат на зловреден код.Ти използваш Windows XP SP2. Няма да е зле да актуализираш до версия SP3 и да инсталираш всички важни кръпки за Windows-a.

http://www.kaldata.com/comments.php?id=319...=service+pack+3

А колкото до рестартите махни опцията за автоматично рестартиране и да препиши кода на синия екран.

С дясно копче на мишката на My Computer => Properties => Advanced => Startup and Recovery Settings => махаш отметката пред Automatically restart

Сега като забие на син екран, препиши съобщението и го публикувай.

Обнови използвания софтуер и драйверите.

Отвори Notepad и въведи:

KILLALL::


Driver::

AUJASNKJ


File::

C:\Documents and Settings\Spunky\Local Settings\Temp\aujasnkj.sys

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aujasnkj.sys		

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe


Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AUJASNKJ]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aujasnkj]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AUJASNKJ]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aujasnkj]

Запази файла с име CFScript и го провлачи в иконата на ComboFix.

cfscriptyr1.gif

Публикувай новия лог файл.

Спри System Restore:

Десен бутон на My Computer => Properties => System Restore => слагаш отметка пред Turn Off System Restore

Start => run => cleanmgr => More Options => System Restore => Clean UP

Почисти временните файлове с ATF-CLEANER

(Избери Select All => само махни отметката пред Prefetch => Empty Selected).

Редактирано от B-boy[StyLe] (преглед на промените)

B-boy[styLe] Добро утро, ето четвъртия лог файл от сканирането на ComboFix: ComboFix 09-03-10.03 - Spunky 2009-03-13 9:31:22.4 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1251.1.1033.18.2047.1586 [GMT 2:00]

Running from: c:\documents and settings\Spunky\Desktop\ComboFix.exe

Command switches used :: c:\documents and settings\Spunky\Desktop\CFScript.txt

AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)

FW: Kaspersky Internet Security *disabled*

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::

c:\docume~1\ADMINI~1\LOCALS~1\Temp\aujasnkj.sys

c:\documents and settings\Spunky\Local Settings\Temp\aujasnkj.sys

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_AUJASNKJ

((((((((((((((((((((((((( Files Created from 2009-02-13 to 2009-03-13 )))))))))))))))))))))))))))))))

.

2009-03-13 00:11 . 2009-03-13 00:11 <DIR> d-------- c:\program files\SUPERAntiSpyware

2009-03-13 00:11 . 2009-03-13 00:11 <DIR> d-------- c:\documents and settings\Spunky\Application Data\SUPERAntiSpyware.com

2009-03-13 00:11 . 2009-03-13 00:11 <DIR> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com

2009-03-13 00:10 . 2009-03-13 00:10 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard

2009-03-13 00:04 . 2009-03-13 00:04 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-03-13 00:04 . 2009-03-13 00:04 <DIR> d-------- c:\documents and settings\Spunky\Application Data\Malwarebytes

2009-03-13 00:04 . 2009-03-13 00:04 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-13 00:04 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-13 00:04 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-03-11 21:48 . 2009-03-11 21:54 <DIR> d-------- c:\program files\Spybot - Search & Destroy

2009-03-11 21:48 . 2009-03-11 21:54 <DIR> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-03-11 09:32 . 2001-08-17 13:48 12,160 --a------ c:\windows\system32\drivers\mouhid.sys

2009-03-11 09:32 . 2001-08-17 13:48 12,160 --a--c--- c:\windows\system32\dllcache\mouhid.sys

2009-03-11 09:32 . 2001-08-17 14:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys

2009-03-11 09:32 . 2001-08-17 14:02 9,600 --a--c--- c:\windows\system32\dllcache\hidusb.sys

2009-03-08 18:22 . 2009-03-08 18:22 406 --a------ c:\windows\system32\ioloBootDefrag.cfg

2009-03-08 18:21 . 2009-03-08 18:21 <DIR> d-------- c:\documents and settings\LocalService\Application Data\iolo

2009-03-08 18:15 . 2009-03-09 20:30 <DIR> d-------- c:\documents and settings\Spunky\Application Data\iolo

2009-03-08 18:15 . 2009-03-11 08:36 <DIR> d-------- c:\documents and settings\All Users\Application Data\iolo

2009-03-06 22:45 . 2009-03-06 22:50 <DIR> d-------- c:\program files\RegSupreme Pro

2009-03-06 18:14 . 2009-03-10 19:33 267,458 --a------ C:\_crash.dmp

2009-03-06 18:14 . 2009-03-10 19:33 52,399 --a------ C:\report.zip

2009-03-05 12:56 . 2009-03-05 12:56 <DIR> d-------- c:\program files\Common Files\xing shared

2009-03-04 19:33 . 2009-03-04 19:33 <DIR> d-------- c:\program files\Lavalys

2009-03-04 19:05 . 2009-03-04 19:05 <DIR> d-------- c:\program files\Tunatic

2009-03-01 19:10 . 2009-03-01 19:12 <DIR> d-------- c:\documents and settings\All Users\Application Data\Bluetooth

2009-03-01 17:59 . 2009-03-01 17:59 <DIR> d-------- c:\program files\IVT Corporation

2009-03-01 14:27 . 2009-03-12 23:16 <DIR> d-------- c:\program files\RegistryFix7

2009-03-01 14:13 . 2009-03-12 23:15 <DIR> d-------- c:\program files\Error Repair Professional

2009-03-01 13:17 . 2003-06-18 17:31 17,920 --a------ c:\windows\system32\mdimon.dll

2009-03-01 13:17 . 2009-03-01 13:17 376 --a------ c:\windows\ODBC.INI

2009-03-01 13:08 . 2009-03-01 13:08 <DIR> d-------- c:\program files\DAEMON Tools Lite

2009-03-01 13:03 . 2009-03-01 13:03 <DIR> d-------- c:\documents and settings\Spunky\Application Data\DAEMON Tools

2009-03-01 13:03 . 2009-03-01 13:03 717,296 --a------ c:\windows\system32\drivers\sptd.sys

2009-03-01 12:39 . 2009-03-12 19:16 <DIR> d-------- c:\program files\The Best Bg mIRC

2009-03-01 12:17 . 2009-03-12 19:17 <DIR> d-------- c:\program files\CrazymIRC

2009-03-01 03:05 . 2009-03-01 03:05 <DIR> d-------- c:\program files\XP Codec Pack

2009-03-01 03:02 . 2009-03-01 03:02 <DIR> d-------- c:\program files\Webteh

2009-03-01 02:45 . 2009-03-01 02:45 <DIR> d-------- c:\program files\IObit

2009-03-01 02:45 . 2009-03-01 02:45 <DIR> d-------- c:\documents and settings\Spunky\Application Data\IObit

2009-03-01 02:09 . 2009-03-01 02:09 <DIR> d-------- c:\program files\SEMC

2009-03-01 02:09 . 2006-02-01 10:01 41,792 --a------ c:\windows\system32\drivers\zebrceb.sys

2009-03-01 02:09 . 2006-02-01 10:01 5,776 --a------ c:\windows\system32\drivers\zebrwhnt.sys

2009-03-01 02:09 . 2006-02-01 10:01 5,776 --a------ c:\windows\system32\drivers\zebrwh.sys

2009-03-01 01:53 . 2009-03-01 01:59 <DIR> d-------- c:\program files\Your Uninstaller 2008

2009-03-01 01:53 . 2009-03-01 01:53 <DIR> d-------- c:\documents and settings\Spunky\Application Data\URSoft

2009-03-01 01:50 . 2009-03-13 09:34 <DIR> d-------- c:\documents and settings\Spunky\Application Data\skypePM

2009-03-01 01:50 . 2009-03-01 01:50 56 --ah----- c:\windows\system32\ezsidmv.dat

2009-03-01 01:49 . 2009-03-01 01:49 <DIR> d-------- c:\program files\Skype

2009-03-01 01:49 . 2009-03-01 01:49 <DIR> d-------- c:\program files\Common Files\Skype

2009-03-01 01:49 . 2009-03-13 09:18 <DIR> d-------- c:\documents and settings\Spunky\Application Data\Skype

2009-03-01 01:48 . 2009-03-01 01:49 <DIR> d-------- c:\documents and settings\All Users\Application Data\Skype

2009-03-01 01:35 . 2009-03-08 21:17 <DIR> d-------- c:\program files\Winamp

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-13 07:35 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab

2009-03-13 07:33 40,220 --sha-w c:\windows\system32\drivers\fidbox.idx

2009-03-13 07:33 4,741,664 --sha-w c:\windows\system32\drivers\fidbox.dat

2009-03-13 07:33 4,380 --sha-w c:\windows\system32\drivers\fidbox2.idx

2009-03-13 07:33 352,288 --sha-w c:\windows\system32\drivers\fidbox2.dat

2009-03-12 22:15 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-03-11 21:47 --------- d-----w c:\documents and settings\Spunky\Application Data\uTorrent

2009-03-05 10:56 --------- d-----w c:\program files\Common Files\Real

2009-03-01 15:59 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-28 22:45 --------- d-----w c:\program files\uTorrent

2009-02-28 21:50 89,601 ----a-w c:\windows\system32\drivers\klick.dat

2009-02-28 21:50 33,808 ----a-w c:\windows\system32\drivers\klbg.sys

2009-02-28 21:50 101,287 ----a-w c:\windows\system32\drivers\klin.dat

2009-02-28 21:28 --------- d-----w c:\program files\Kaspersky Lab

2009-02-28 21:28 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files

2009-02-28 21:12 --------- d-----w c:\program files\Real

2009-02-28 20:55 --------- d-----w c:\program files\Realtek Sound Manager

2009-02-28 20:55 --------- d-----w c:\program files\AvRack

2009-02-28 20:52 --------- d-----w c:\program files\Common Files\InstallShield

2009-02-28 20:52 --------- d-----w c:\program files\ATI Technologies

2009-02-28 20:38 --------- d-----w c:\program files\microsoft frontpage

.

((((((((((((((((((((((((((((( SnapShot@2009-03-12_21.49.07.76 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-03-13 07:35:25 16,384 ----atw c:\windows\temp\Perflib_Perfdata_868.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-08-11 21741864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-02-28 206088]

"SoundMan"="SOUNDMAN.EXE" [2005-05-17 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-12-22 11:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-02-17 8944]

R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-02-17 55024]

R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]

R3 N100;Compaq Ethernet or Fast Ethernet NIC Driver;c:\windows\system32\drivers\n100325.sys [2009-03-01 128000]

S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-02-17 7408]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]

msiexec /fums {3CBBEE47-C8F4-316A-92FF-ED7E3DFAE41E} /qb

.

Contents of the 'Scheduled Tasks' folder

2009-03-13 c:\windows\Tasks\AWC AutoSweep.job

- c:\program files\IObit\Advanced SystemCare 3\AutoSweep.exe []

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://google.bg/

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Добави към защитата от банери - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

FF - ProfilePath - c:\documents and settings\Spunky\Application Data\Mozilla\Firefox\Profiles\7hgkto61.default\

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-13 09:35:28

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1188)

c:\program files\SUPERAntiSpyware\SASWINLO.dll

c:\windows\system32\Ati2evxx.dll

.

------------------------ Other Running Processes ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\system32\ati2evxx.exe

c:\program files\Skype\Plugin Manager\skypePM.exe

c:\program files\IVT Corporation\BlueSoleil\BTNtService.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Completion time: 2009-03-13 9:37:13 - machine was rebooted

ComboFix-quarantined-files.txt 2009-03-13 07:37:09

ComboFix2.txt 2009-03-12 22:51:28

ComboFix3.txt 2009-03-12 19:50:28

ComboFix4.txt 2009-03-12 17:30:29

Pre-Run: 14,943,977,472 bytes free

Post-Run: 14,932,725,760 bytes free

193

Аз никога не съм имал проблеми със син екран, най-често компа или ми блокира или се рестартира внезапно, или пък най често ми дава ето това за много програми което много ме притеснява: "Skype has encountered a problem and needs to close. We are sorry for the inconvenience. If you where in the middle of something the information you where working on might be lost. For more information about this error click here", и от долу има само и единствено бутон затвори и нищо друго. Успях да го снимам това съобщение и качвам тук снимката да видиш за какво става въпрос по-точно. Ето я: Искам да попитам че не ми е ясно за линка дето си ми дал в последния ти отговор(за Windows XP SP3), значи това трябва да го сваля и инсталирам, така ли? Възможно ли е след това да имам проблеми (в смисъл да ми даде примерно че windowsа не ми е легализиран или някакви други), извинявай ако е тъпо питането ми. И след като го направя от къде да си ги намеря тези кръпки за SP3? Още веднъж благодаря

post-41088-1236931613_thumb.jpg

Редактирано от pranjev (преглед на промените)

Тази сутрин след някакъв ъпдейт на Уиндоус ХР Про ми излезна съощение, че имам вирус - Win32/Bagle, но не може да бъде изчистен. Пуснах си антивирусната Авира, безплатната версия, но тя не откри нищо. Има зареден и Спайбот, но и там нищо. Пробвах с търсачката във форума. Излезнаха ми огромно количество теми с много страници и не можах да се оправя. Сега компютъра ми е спрян и пиша от друг, за да помоля за помощ. Ако някой желае нека да помогне, но само не се нахвърляйте, че и без това ми е нервно.

Очаквам помощ.

Тази сутрин след някакъв ъпдейт на Уиндоус ХР Про ми излезна съощение, че имам вирус - Win32/Bagle, но не може да бъде изчистен. Пуснах си антивирусната Авира, безплатната версия, но тя не откри нищо. Има зареден и Спайбот, но и там нищо. Пробвах с търсачката във форума. Излезнаха ми огромно количество теми с много страници и не можах да се оправя. Сега компютъра ми е спрян и пиша от друг, за да помоля за помощ. Ако някой желае нека да помогне, но само не се нахвърляйте, че и без това ми е нервно.

Очаквам помощ.

"""Email-Worm.Win32.Bagle.gt (Kaspersky), W32/Bagle.gen (McAfee), Trojan.Tooso!gen (Symantec)""" Бих инсталирал пробна версия на някой от посочените производители - би следвало да се справят с неутрализирането на творението. Поздрави

@pranjev

- Не би трябвало да имаш проблеми с лиценза при обновяването до SP3, така че давай смело.

- Може да имаш проблем с него, само ако използваш функцията Windows Update и системата за проверка на легалността на Операционната Система (Genuine)

затова използвай софтуер като този за набавянето на критичните актуализации (след като вече си инсталирал SP3)

http://www.pspl.com/download/Winvulscan.exe

- Ако направиш опцията, която ти казах (за премахването на автоматичното рестартиране) ще ти забие на син екран, което е добре, защото ще покаже и евентуално защо

- Пробвай да обновиш и използваните програми. Например увери се, че разполагаш с последната 3 или 4 версия на Skype и т.н.

- Надявам се Windows-а ти не е някаква "самоделка" от Замунда...Кога започнаха проблемите ? В началото били ли са налични ? Кога за последно си преинсталирал начисто ?

- Възможно е и именно някоя от почистващите (особени регистрите) програми които си използвал да е нацапала положението.

- Пробвай да изтриеш временните файлове с ATF-Cleaner и Disk Cleanup (вградената опция на Microsoft), да провериш дяловете за грешки с CHKDSK (вградената опция на Windows при селектиране на даден дял с десния бутон на мишката => Properties => Tools), и пак от Tools да пуснеш една дефрагментация на дяловете. Няма да е зле да се тества и РАМ-а за дефекти с MemTest например.

- Що се отнася до лог файла от ComboFix е чист с изключение на остатъците от деинсталираните програми...Тези можеш да ги намериш ръчно и да ги забършеш:

c:\windows\system32\ioloBootDefrag.cfg

c:\documents and settings\LocalService\Application Data\iolo

c:\documents and settings\Spunky\Application Data\iolo

c:\documents and settings\All Users\Application Data\iolo

c:\program files\RegistryFix7

c:\program files\Error Repair Professional

B-boy[styLe] Здравей, значи аз в момента съм с Windows XP Professional Service Pack2, Не ми е ясно след като изтегля актуализациите трябва ли да деинсталирам нещо преди да ги инсталирам тези актуализации, или да ги инсталирам така направо върху този windows без да пипам нищо ли? Или това е нов windows и ще трябва да преинсталирам и да го кача него ли, ако е така незнам как да го запиша на диск и изобщо как да го накарам да буутне от него. Извинявай но съм много объркан в момента и нямам никаква представа какво да правя. Значи това си е цял windows, така ли? Ако е цял windows трябва този windows с които съм в момента да го изтрия и тогава да инсталирам SP3 ли(този за които ми даде линка) Ако е така това означава до колкото разбирам че ще трябва да го запиша на диск и след това от диска да го инсталирам ли? Аз незнам изобщо как да го запиша на диск и в какъв формат трябва да бъде записан, чувал съм че се правило в някъв формат за да можел да буутне от диска или нещо подобно. Или така да инсталирам върху този това което съм свалил ли? Извинявам се ако въпросите ми ти се струват тъпи, но наистина не ми е ясно как по-точно трябва да постъпя. До сега аз съм си преинсталирал windows, имам диск инсталационен и когато го сложа рестартирам компа и той почва да чете от него и започва инсталирането. Правил съм го съм по-този начин. Опцията за автоматично рестартиране съм я изключил. Проблемите ги имам от доста време, може би повече от половин година, за последно съм го преинсталирал преди 2седмици. Още веднъж Благодаря

Тази сутрин след някакъв ъпдейт на Уиндоус ХР Про ми излезна съощение, че имам вирус - Win32/Bagle, но не може да бъде изчистен. Пуснах си антивирусната Авира, безплатната версия, но тя не откри нищо. Има зареден и Спайбот, но и там нищо. Пробвах с търсачката във форума. Излезнаха ми огромно количество теми с много страници и не можах да се оправя. Сега компютъра ми е спрян и пиша от друг, за да помоля за помощ. Ако някой желае нека да помогне, но само не се нахвърляйте, че и без това ми е нервно.

Очаквам помощ.

1. Изтеглете ComboFix

2. Запазете го на десктопа

3. Влезте в Start -> Run... и въведете следната команда последвана от OK:

"%userprofile%\desktop\combofix.exe" /killall

4. След, като програмата приключи ще Ви се отвори Notepad, копирайте съдържанието му и го поставете в следващия си пост тук.

B-boy[styLe] Здравей, значи аз в момента съм с Windows XP Professional Service Pack2, Не ми е ясно след като изтегля актуализациите трябва ли да деинсталирам нещо преди да ги инсталирам тези актуализации, или да ги инсталирам така направо върху този windows без да пипам нищо ли? Или това е нов windows и ще трябва да преинсталирам и да го кача него ли, ако е така незнам как да го запиша на диск и изобщо как да го накарам да буутне от него. Извинявай но съм много объркан в момента и нямам никаква представа какво да правя. Значи това си е цял windows, така ли? Ако е цял windows трябва този windows с които съм в момента да го изтрия и тогава да инсталирам SP3 ли(този за които ми даде линка) Ако е така това означава до колкото разбирам че ще трябва да го запиша на диск и след това от диска да го инсталирам ли? Аз незнам изобщо как да го запиша на диск и в какъв формат трябва да бъде записан, чувал съм че се правило в някъв формат за да можел да буутне от диска или нещо подобно. Или така да инсталирам върху този това което съм свалил ли? Извинявам се ако въпросите ми ти се струват тъпи, но наистина не ми е ясно как по-точно трябва да постъпя. До сега аз съм си преинсталирал windows, имам диск инсталационен и когато го сложа рестартирам компа и той почва да чете от него и започва инсталирането. Правил съм го съм по-този начин. Опцията за автоматично рестартиране съм я изключил. Проблемите ги имам от доста време, може би повече от половин година, за последно съм го преинсталирал преди 2седмици. Още веднъж Благодаря

Това е пакет (съвкупност от актуализации/update-и за Windows) и можете да го инсталирате директно върху този. Просто свалете пакета и започнете процедурата по инсталацията с двоен клик на мишката. След приключването на процеса по инсталацията, рестартирайте системата.

Не отговорихте на въпроса дали използвате някаква самоделка. Как сте преинсталирали за последно (начисто след пълен формат или просто върху текущата инсталация) ?

Щом го имате от доста време (проблема) започвам да се замислям дали не е на хардуерно ниво.

Запишете това на диск, заредете от него и тествайте РАМ паметта за грешки:

http://www.kaldata.com/comments.php?id=403...ghlight=memtest

Ако имате възможност, пробвайте да инсталирате и друг релийз (версия на Windows), дали с него ще прави същите номера.

Ако проблемите продължат отворете тема в някои от следните раздели и може да ви насочат в правилната посока.

http://www.kaldata.com/forums/index.php?showforum=76

http://www.kaldata.com/forums/index.php?showforum=9

Редактирано от B-boy[StyLe] (преглед на промените)

Здравейте.Имам следният въпрос.При сканиране на компютъра с КИС 8.0.0.506 ми дава че всичко е ок.Но при сканиране с Mawlarebytes Anti-mawlare ми дава това. Заразени стойности в регистратурата:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sms by jeko ianev (Worm.P2P) -> Quarantined and deleted successfully. Кажете ми какво е и какво да правя.

Редактирано от qqrr (преглед на промените)

Здравей ggrr!

Това е FP (false positive) или грешно засичане. Направи следното:

1. Отвори MalwareBytes\' Anti-Malware

2. Кликни на таба Quarantine

3. Кликни веднъж върху реда:

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\sms by jeko ianev (Worm.P2P)

и избери Restore

4. Влез в таба Update и кликни на Check For updates

5. Затвори MalwareBytes\' Anti-Malware

6. Влез в Start -> Run... и напиши:

mbam.exe /developer

7. Избери OK и ще ти се отвори MalwareBytes\' Anti-Malware

8. Влез в таба Scanner и избери вида на сканирането, който си избрал, когато ти е открил:

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\sms by jeko ianev (Worm.P2P) -> Quarantined and deleted successfully

9. След сканирането, ако отново ти открие същия ключ в регистъра, избери Save LogFile и копирай цялото съдържание и го постави в темата:

http://www.kaldata.com/forums/index.php?sh...0&start=120

Редактирано от Fixer (преглед на промените)

Здравейте.Имам следният въпрос.При сканиране на компютъра с КИС 8.0.0.506 ми дава че всичко е ок.Но при сканиране с Mawlarebytes Anti-mawlare ми дава това. Заразени стойности в регистратурата:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sms by jeko ianev (Worm.P2P) -> Quarantined and deleted successfully. Кажете ми какво е и какво да правя.

Вероятно използваш една програма на Жеко Янев: SMS software. Аз инсталирах програмата, за съжаление и при мен MBAM дава фалшиво засичане, като намира и sms.exe за заплаха:

ru60bo.jpg

За съжаление освен MBAM няма други програми за сигурност, които намират някаква заплаха при използването на SMS software - справка: virustotal 0/39. Fixer е прав, има False Positive на MBAM. Aко искаш, прати им инсталационния файл за анализ или пиши във форума им за проблема си: False Positives@Malwarebytes Forum...

Редактирано от nologo (преглед на промените)

Гост
Тази тема е заключена за нови отговори.
Назад

Разглеждащи това в момента 0

  • Няма регистрирани потребители разглеждащи тази страница.

Дарение

  • Подкрепи съществуването на форума - направи дарение
    25%
    Дарени 252.69 EUR от нужните 1,000.00 EUR

Бюлетин

Получавайте известие, когато има важна промяна или новина свързана с форума.
Абонирайте се

Профил

Навигация

Търсене

Търсене

Конфигуриране на push известия в браузъра
Chrome (Android)
  1. Докоснете иконата на катинар до адресната лента.
  2. Докоснете Разрешения → Известия.
  3. Променете предпочитанията си.
Chrome (Desktop)
  1. Кликнете върху иконата на катинар в адресната лента.
  2. Изберете Настройки на сайта.
  3. Намерете Известия и коригирайте предпочитанията си.