Помощ при откриване и премахване на вируси, троянски коне и др., част 2

27 май 200917 г.

От близо седмица имам 1 троянски кон,който не мога да изтрия -премахна.Имам 4 антивирусни програми,но никоя не се справя с него-AVG ANTI-VIRUS FREE AVAST ANTIVIRUS TROIAN REMOVER MALWAREBYTES ANTI-MALWA
Когато ги трия,излиза на декстопа икона с изтритите вируси.Изтривам я и след няколко часа сама се появява пак.
На интервали излиза на екрана предупреждение за вирус.
Моля да ми кажете коя програма да използвам,за да се справя с троянския кон.
Мисля,че прекарвам половината си време да трия вируси,които след малко пак са налице.

Много Ви моля за помощ

Моля модератор да изтрие едната тема , защото без да искам съм я пуснала два пъти !Извинявам се и благодаря !

Не беше зле да кажеш и какъв е вируса, все пак.

Надявам се, че антивирусните не са инсталирани заедно всичките. Защото все едно нищо нямаш. Само една антивирусна - или AVG или Avast.

Изключвай System Restore преди чистене и опитай в Safe mode да пуснеш сканиране.

27 май 200917 г.

Не беше зле да кажеш и какъв е вируса, все пак.
Надявам се, че антивирусните не са инсталирани заедно всичките. Защото все едно нищо нямаш. Само една антивирусна - или AVG или Avast.
Изключвай System Restore преди чистене и опитай в Safe mode да пуснеш сканиране.

Името на вируса е: Troian horse Dropper Generic AFNC

Искате да кажете,че трябва да изтрия антивирусните програми и да оставя само една .Коя ми препоръчвате да оставя?

Аимате ли представа защо периодично се появява на декстопа иконата с изтритите вируси-въпреки че я изтривам дори от кошчето?

Благодаря Ви предварително за интереса,който проявихте към проблема ми.

27 май 200917 г.

evita1717 споменахте, че Вие използвате повече от една антивирусна програма. Вие споменахте, че използвате:

AVG Anti-Virus Free
Avast! Antivirus

Това е много опасно,тъй като употребата на повече антивирусни продукти могат да влязат в конфликт и да позволят вашата система да бъде изложена на риск.

Важно е да се използва само една антивирусна програма, която да работи в Real-Time режим.

Аз силно препоръчвам да изберете един антивирусен продукт и да деинсталирате всички останали. За тази цел, отворете Add or remove Programs (За Windows XP) или Programs and Features (За Windows Vista) и премахнете ненужните.

След това, обновете вашия MalwareBytes' Anti-Malware и пуснете пълно сканиране на вашата система. Накрая ще Ви се отвори Notepad, заедно с информацията от сканирането. Копирайте цялата информация и я публикувайте в следващия си пост тук.

27 май 200917 г.

evita1717 споменахте, че Вие използвате повече от една антивирусна програма. Вие споменахте, че използвате:

AVG Anti-Virus Free
Avast! Antivirus

Това е много опасно,тъй като употребата на повече антивирусни продукти могат да влязат в конфликт и да позволят вашата система да бъде изложена на риск.
Важно е да се използва само една антивирусна програма, която да работи в Real-Time режим.
Аз силно препоръчвам да изберете един антивирусен продукт и да деинсталирате всички останали. За тази цел, отворете Add or remove Programs (За Windows XP) или Programs and Features (За Windows Vista) и премахнете ненужните.

След това, обновете вашия MalwareBytes' Anti-Malware и пуснете пълно сканиране на вашата система. Накрая ще Ви се отвори Notepad, заедно с информацията от сканирането. Копирайте цялата информация и я публикувайте в следващия си пост тук.

Направих това , което ми казахте !

Ето името на файла,където се намира троянския кон:

C Documents and Settings\Network Servise\Local Settings\Temporary Internet Files\Content

IE5\SHQB8LUF\uoty(1)pny

Името Ви го написах-същото е –Troian horse Dropper Generic AFNC

Бях пуснала антивирусната програма AVG FREE 8,5 ,показа ми,че няма вируси и след малко се появи този.

Какво да правя?

Моля за помощ.

27 май 200917 г.

Явно не сте направили каквото Ви казах.

1) Не виждам лог файла от MalwareBytes' Anti-Malware

2) С коя антивирусна програма сте в момента? Деинсталирайте ли едната?

Посочете вируса/заплахата да бъде изтрит от AVG.

27 май 200917 г.

Парво пробавай да го истриеш ръчно

АВГ не сканира сичко предлагам ти изтегли Avira AntiVir Free след акто я изтеглиш изключи интернета !

Деинсталирай АВГ и инсталирай Авира

Ако пак не стане си изтегли Comodo Firewall Pro с него си изчистих 1 вирус който всъшност беше 1 процесор който неможех да изклуча с друга програма

За настройко прочети в темата за Комодо там са обяснили на последната страница от IMP..

http://www.kaldata.com/forums/index.php?sh...iew=getlastpost

А и да добавя както е казал Fixer>>Дръж на компютъра само 1 Антивирусна защото ако са 2 или 3 все едно си без защита

27 май 200917 г.

Явно не сте направили каквото Ви казах.

1) Не виждам лог файла от MalwareBytes' Anti-Malware
2) С коя антивирусна програма сте в момента? Деинсталирайте ли едната?

Посочете вируса/заплахата да бъде изтрит от AVG.

Изтрих AVAST, сега съм с AVG-то , проблемът е че като я пусна да сканира комп.не ми хваща вируса , а само cookies, а после в прозорец след време ми излиза това , което написах по - горе ... Къде греша ???

А това "1) Не виждам лог файла от MalwareBytes' Anti-Malware" не го разбирам , какво да направя ???

Единственото , което излиза в самостоятелен прозорец е това , което Ви написах !!!

Как се обновява това MalwareBytes' Anti-Malware ???От къде и какво е всъщност ?

Редактирано 27 май 200917 г. от evita1717 (преглед на промените)

27 май 200917 г.

evita1717, бих искал да видя целия лог файл от MalwareBytes, а не само тази част, която сте копирали. За по-сигурно, деинсталирайте и MalwareBytes' Anti-Malware и накрая рестартирайте компютъра си. След това, отново:

Изтеглете Malwarebytes' Anti-Malware от тук

Кликнете два пъти върху mbam-setup.exe за да инсталирате програмата.

* Уверете се, че има отметки на Update Malwarebytes' Anti-Malware и Launch Malwarebytes' Anti-Malware, след това кликнете на Finish.
* Ако има намерени по-нови обновления, тя ще ги изтегли и инсталира.
* Стартирайте програмата и изберете "Perform Full Scan", след това кликнете на Scan.
* Сканирането ще отнеме малко време, затова моля бъдете търпеливи.
* Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата.
* Уверете се, че на всички редове има отметки, и кликнете Remove Selected.
* Когато всичко бъде премахнато, логът ще бъде отворен в Notepad. Копирайте лога и го публикувайте в следващия си коментар в темата.

Бележка: Ако MalwareBytes' Anti-Malware се затрудни в премахването на откритите вируси/заплахи, той ще поиска да рестартира компютъра Ви и по време на рестартирането да премахне проблемите вируси/заплахи. Ако бъдете попитани, потвърдете че желаете вашия компютър да бъде рестартиран.

27 май 200917 г.

evita1717, бих искал да видя целия лог файл от MalwareBytes, а не само тази част, която сте копирали. За по-сигурно, деинсталирайте и MalwareBytes' Anti-Malware и накрая рестартирайте компютъра си. След това, отново:

Изтеглете Malwarebytes' Anti-Malware от тук

Кликнете два пъти върху mbam-setup.exe за да инсталирате програмата.
* Уверете се, че има отметки на Update Malwarebytes' Anti-Malware и Launch Malwarebytes' Anti-Malware, след това кликнете на Finish.
* Ако има намерени по-нови обновления, тя ще ги изтегли и инсталира.
* Стартирайте програмата и изберете "Perform Full Scan", след това кликнете на Scan.
* Сканирането ще отнеме малко време, затова моля бъдете търпеливи.
* Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата.
* Уверете се, че на всички редове има отметки, и кликнете Remove Selected.
* Когато всичко бъде премахнато, логът ще бъде отворен в Notepad. Копирайте лога и го публикувайте в следващия си коментар в темата.

Бележка: Ако MalwareBytes' Anti-Malware се затрудни в премахването на откритите вируси/заплахи, той ще поиска да рестартира компютъра Ви и по време на рестартирането да премахне проблемите вируси/заплахи. Ако бъдете попитани, потвърдете че желаете вашия компютър да бъде рестартиран.

[18:19:10] Олга Цонева: Malwarebytes' Anti-Malware 1.37

Версия на базата от данни: 2184

Windows 5.1.2600 Service Pack 2

27.5.2009 г. 18:15:29

mbam-log-2009-05-27 (18-15-29).txt

Тип сканиране: Пълно сканиране (A:\|C:\|D:\|E:\|)

Сканирани обекти: 118127

Изминало време: 49 minute(s), 54 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 1

Заразени процеси в паметта:

(Не бяха открити заплахи)

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

Заразени папки:

(Не бяха открити заплахи)

Заразени файлове:

c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SHQB8LUF\uotg[1].bmp (Worm.Conficker) -> Quarantined and deleted successfully.

27 май 200917 г.

Conficker....

1) Изтеглете: ESET Online Scanner

2) Стартирайте esetsmartinstaller_enu.exe

3) Сложете отметка на YES, I accept the Terms of Use и изберете Start

4) Скенерът ще започне да изтегля компонентите, които са му необходими.

5) Уверете се, че има отметки на следните редове, включително и тези от менюто Advanced Settings:

Remove found threats
Scan archives
Scan for potentially unwanted applications
Scan for potentially unsafe applications
Enable Anti-Stealth technology

И накрая изберете Start

6) Скенерът ще започне да изтегля последните дефиниции.

7) След, като сканирането завърши изберете Finish.

8) Отидете в:

C:\Program Files\ESET\ESET Online Scanner

Отворете файла log.txt , копирайте съдържанието му и го поставете в следващия си пост тук.

Силно се надявам само това да е било от Conficker....

28 май 200917 г.

Как да изчистия вирусите ,които съм намерил с тоя онлайн скенер - http://cainternetsecurity.net/entscanner ? Защото това само ги намира но не ги изтрива ...

Редактирано 28 май 200917 г. от real_sparky (преглед на промените)

29 май 200917 г.

Здравейте, имам опасения, че имам вирус, сканирах с Аvira и Malwarebytes' Anti-Malware, откри гаднини но имам съмнения.

ComboFix 09-05-28.07 - Borko 05.2009 г. 20:09.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1251.359.1033.18.2046.1465 [GMT 3:00]

Running from: d:\downloads\Install\ComboFix.exe

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((( Files Created from 2009-04-28 to 2009-05-29 )))))))))))))))))))))))))))))))

.

2009-05-26 21:23 . 2009-05-26 21:37 193712 ----a-w c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

2009-05-26 21:23 . 2009-05-26 21:23 -------- d-----w c:\windows\system32\XPSViewer

2009-05-26 21:23 . 2009-05-26 21:23 -------- d-----w c:\program files\Reference Assemblies

2009-05-26 21:22 . 2008-07-06 12:06 89088 ------w c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-05-26 21:22 . 2008-07-06 12:06 575488 ------w c:\windows\system32\xpsshhdr.dll

2009-05-26 21:22 . 2008-07-06 12:06 575488 ------w c:\windows\system32\dllcache\xpsshhdr.dll

2009-05-26 21:22 . 2008-07-06 12:06 1676288 ------w c:\windows\system32\xpssvcs.dll

2009-05-26 21:22 . 2008-07-06 12:06 1676288 ------w c:\windows\system32\dllcache\xpssvcs.dll

2009-05-26 21:22 . 2008-07-06 12:06 117760 ------w c:\windows\system32\prntvpt.dll

2009-05-26 21:22 . 2008-07-06 10:50 597504 ------w c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-05-26 21:16 . 2009-05-26 21:16 -------- d--h--r C:\AHCache

2009-05-26 21:16 . 2009-05-26 21:34 -------- d-----w c:\documents and settings\Borko\Local Settings\Application Data\compLexity Demo Player

2009-05-26 21:16 . 2009-05-26 21:16 -------- d-----w c:\program files\compLexity Demo Player

2009-05-23 08:03 . 2009-05-23 08:03 -------- d-----w c:\documents and settings\All Users\Application Data\Soulseek

2009-05-20 08:31 . 2009-05-20 08:31 -------- d-----w c:\documents and settings\Borko\Local Settings\Application Data\Ahead

2009-05-08 07:25 . 2009-05-08 07:25 51716 ----a-w c:\windows\system32\pdf995mon.dll

2009-05-08 07:25 . 2009-05-08 07:25 25 ----a-w c:\windows\wpd99.drv

2009-05-08 07:25 . 2009-05-08 07:25 249856 ----a-w c:\windows\system32\pdfmona.dll

2009-05-08 07:25 . 2009-05-08 07:25 -------- d-----w c:\program files\pdf995

2009-05-08 07:25 . 2009-05-08 07:25 -------- d-----w c:\documents and settings\All Users\Application Data\pdf995

2009-05-07 16:06 . 2009-05-07 16:06 198064 ----a-w c:\documents and settings\Borko\Application Data\IDM\idmmzcc3\components\idmmzcc.dll

2009-05-07 16:05 . 2009-05-07 16:05 2916720 ----a-w c:\documents and settings\Borko\Application Data\IDM\idmupdt.exe

2009-05-07 07:42 . 2009-03-26 15:35 210352 ----a-w c:\windows\system32\idmmbc.dll

2009-05-05 09:21 . 2009-05-05 09:21 -------- d-----w c:\documents and settings\Borko\Local Settings\Application Data\ApplicationHistory

2009-05-05 09:19 . 2009-05-05 09:19 -------- d-----w c:\windows\system32\URTTemp

2009-05-01 09:31 . 2009-05-01 09:31 -------- d-----w c:\program files\Unlocker

2009-05-01 09:31 . 2009-05-01 09:31 -------- d-----w c:\documents and settings\Borko\Application Data\Desktopicon

2009-04-30 21:12 . 2009-04-30 21:12 -------- d-----w c:\documents and settings\Borko\Application Data\Yandex

2009-04-30 18:08 . 2009-04-30 18:08 -------- d-----w c:\windows\1C4551A64743409391E41477CD655043.TMP

2009-04-30 18:08 . 2009-04-29 03:08 1579630 ----a-w c:\windows\system32\nvdata.bin

2009-04-30 18:08 . 2009-04-29 03:08 1314816 ----a-w c:\windows\system32\nvcuvenc.dll

2009-04-30 15:37 . 2009-04-30 16:48 -------- d-----w c:\documents and settings\Borko\Application Data\Winamp

2009-04-30 14:51 . 2009-04-30 14:51 -------- d-----w c:\documents and settings\Borko\Application Data\FTWeak

2009-04-30 14:51 . 2009-04-30 14:51 -------- d-----w c:\program files\FCleaner

2009-04-30 14:51 . 2009-04-30 14:51 -------- d-----w c:\documents and settings\All Users\Application Data\FTWeak

2009-04-30 14:46 . 2009-04-27 11:21 28928 ----a-w c:\windows\system32\uxtuneup.dll

2009-04-30 14:46 . 2009-04-30 14:46 361216 ----a-w c:\windows\system32\TuneUpDefragService.exe

2009-04-30 14:39 . 2009-04-30 14:39 -------- d-----w C:\Games

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-29 17:10 . 2009-04-02 16:41 -------- d-----w c:\documents and settings\Borko\Application Data\Skype

2009-05-29 16:50 . 2009-04-02 17:12 -------- d-----w c:\documents and settings\Borko\Application Data\skypePM

2009-05-29 12:56 . 2009-04-02 14:46 -------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-05-29 11:34 . 2009-04-02 17:14 -------- d-----w c:\documents and settings\Borko\Application Data\DMCache

2009-05-29 11:26 . 2009-04-02 17:17 -------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-05-29 11:22 . 2009-04-02 17:05 -------- d-----w c:\documents and settings\Borko\Application Data\uTorrent

2009-05-27 09:02 . 2009-04-07 08:53 3371383 ----a-w c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

2009-05-26 21:26 . 2009-04-02 15:09 75344 ----a-w c:\documents and settings\Borko\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-05-26 10:20 . 2009-04-02 17:09 40160 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-05-26 10:19 . 2009-04-02 17:09 19096 ----a-w c:\windows\system32\drivers\mbam.sys

2009-05-22 12:15 . 2009-04-12 19:48 1 ----a-w c:\documents and settings\Borko\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2009-05-16 12:30 . 2009-04-11 12:01 -------- d-----w c:\documents and settings\Borko\Application Data\FileZilla

2009-05-07 17:13 . 2009-04-02 17:14 -------- d-----w c:\documents and settings\Borko\Application Data\IDM

2009-05-06 16:37 . 2009-04-02 17:23 -------- d-----w c:\documents and settings\Borko\Application Data\IObit

2009-04-30 18:08 . 2009-04-02 15:05 -------- d-----w c:\program files\Common Files\Wise Installation Wizard

2009-04-30 14:46 . 2009-04-02 18:02 604416 ----a-w c:\windows\system32\TUProgSt.exe

2009-04-30 14:45 . 2009-04-02 18:02 -------- d-sh--w c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}

2009-04-30 14:44 . 2009-04-02 18:02 -------- d-----w c:\program files\TuneUp Utilities 2009

2009-04-29 03:08 . 2009-04-02 15:05 457248 ----a-w c:\windows\system32\nvudisp.exe

2009-04-28 19:06 . 2009-04-28 19:06 1194528 ----a-w c:\windows\system32\nvcplui.exe

2009-04-27 09:47 . 2009-04-02 16:20 96104 ----a-w c:\windows\system32\drivers\avipbb.sys

2009-04-27 09:47 . 2009-04-02 16:20 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys

2009-04-26 21:42 . 2009-04-02 15:05 457248 ----a-w c:\windows\system32\NVUNINST.EXE

2009-04-26 11:50 . 2009-04-26 11:50 -------- d-----w c:\program files\Ventrilo

2009-04-22 19:05 . 2009-04-22 19:05 -------- d-----w c:\program files\Bonjour

2009-04-22 19:05 . 2009-04-02 17:29 -------- d-----w c:\program files\Common Files\Adobe

2009-04-22 14:19 . 2009-04-22 09:54 -------- d-----w c:\program files\HyCam2

2009-04-22 09:38 . 2009-04-22 09:38 356352 ----a-w c:\windows\eSellerateEngine.dll

2009-04-22 06:44 . 2009-04-22 06:43 -------- d-----w c:\program files\Office Project 2007

2009-04-21 15:21 . 2009-04-21 15:21 -------- d-----w c:\program files\FDRLab

2009-04-20 19:08 . 2009-04-20 19:08 -------- d-----w c:\documents and settings\Borko\Application Data\MAGIX

2009-04-20 08:50 . 2009-04-20 08:50 -------- d-----w c:\documents and settings\All Users\Application Data\Raxco

2009-04-19 08:39 . 2009-04-19 08:38 -------- d-----w c:\program files\Java

2009-04-19 08:38 . 2009-04-19 08:38 -------- d-----w c:\program files\Common Files\Java

2009-04-14 14:30 . 2009-04-02 17:36 -------- d-----w c:\documents and settings\Borko\Application Data\BSplayer PRO

2009-04-12 19:47 . 2009-04-12 19:47 -------- d-----w c:\documents and settings\Borko\Application Data\OpenOffice.org

2009-04-11 12:00 . 2009-04-06 20:59 -------- d-----w c:\documents and settings\Borko\Application Data\Pandion

2009-04-09 18:45 . 2009-04-09 18:45 -------- d-----w c:\documents and settings\Borko\Application Data\Avira

2009-04-09 06:47 . 2009-04-02 16:50 53248 ----a-w c:\windows\system32\CSVer.dll

2009-04-08 20:50 . 2009-04-08 20:50 -------- d-----w c:\program files\seoadministrator

2009-04-08 15:59 . 2009-04-08 15:58 -------- d-----w c:\program files\SopCast

2009-04-08 10:46 . 2009-04-08 10:46 -------- d-----w c:\documents and settings\Borko\Application Data\Foxit

2009-04-08 10:46 . 2009-04-08 10:46 -------- d-----w c:\program files\Foxit Software

2009-04-07 20:36 . 2009-04-07 20:35 -------- d-----w c:\program files\Budget Planner V4E

2009-04-07 20:35 . 2009-04-07 20:35 17408 ----a-w C:\psapi.dll

2009-04-07 07:47 . 2009-04-07 07:47 -------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet

2009-04-07 07:44 . 2009-04-07 07:44 -------- d-----w c:\program files\Adobe Media Player

2009-04-07 07:43 . 2009-04-07 07:43 -------- d-----w c:\program files\Common Files\Adobe AIR

2009-04-07 07:40 . 2009-04-07 07:40 -------- d-----w c:\program files\Common Files\Macrovision Shared

2009-04-06 20:59 . 2009-04-06 20:59 -------- d-----w c:\program files\Pandion

2009-04-05 21:08 . 2009-04-05 21:08 -------- d-----w c:\documents and settings\Borko\Application Data\Media Player Classic

2009-04-02 18:31 . 2009-04-02 18:31 -------- d-----w c:\program files\IrfanView

2009-04-02 18:07 . 2009-04-02 18:06 -------- d-----w c:\documents and settings\Borko\Application Data\Ventrilo

2009-04-02 18:02 . 2009-04-02 18:02 -------- d-----w c:\documents and settings\Borko\Application Data\TuneUp Software

2009-04-02 18:02 . 2009-04-02 18:02 -------- d-----w c:\documents and settings\All Users\Application Data\TuneUp Software

2009-04-02 17:44 . 2009-04-02 17:44 -------- d-----w c:\program files\Common Files\Ahead

2009-04-02 17:34 . 2009-04-02 17:34 -------- d-----w c:\documents and settings\Borko\Application Data\URSoft

2009-04-02 17:27 . 2009-04-02 17:27 -------- d-----w c:\program files\Microsoft IntelliPoint

2009-04-02 17:14 . 2009-04-02 17:14 198064 ----a-w c:\documents and settings\Borko\Application Data\IDM\idmmzcc02\components\idmmzcc.dll

2009-04-02 17:12 . 2009-04-02 17:12 56 ---ha-w c:\windows\system32\ezsidmv.dat

2009-04-02 17:09 . 2009-04-02 17:09 -------- d-----w c:\documents and settings\Borko\Application Data\Malwarebytes

2009-04-02 17:09 . 2009-04-02 17:09 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2009-04-02 17:06 . 2009-04-02 17:06 0 ----a-w c:\windows\nsreg.dat

2009-04-02 17:05 . 2009-04-02 17:05 -------- d-----w c:\program files\uTorrent

2009-04-02 16:55 . 2009-04-02 16:41 -------- d-----w c:\program files\Google

2009-04-02 16:53 . 2009-04-02 16:53 -------- d-----w c:\program files\Realtek AC97

2009-04-02 16:53 . 2009-04-02 16:51 -------- d--h--w c:\program files\InstallShield Installation Information

2009-04-02 16:52 . 2009-04-02 16:51 -------- d-----w c:\program files\Realtek

2009-04-02 16:52 . 2009-04-02 16:52 319488 ----a-w c:\windows\HideWin.exe

2009-04-02 16:52 . 2009-04-02 16:52 -------- d-----w c:\program files\Common Files\InstallShield

2009-04-02 16:51 . 2009-04-02 16:51 -------- d-----w c:\documents and settings\Borko\Application Data\InstallShield

2009-04-02 16:50 . 2009-04-02 16:50 -------- d-----w c:\program files\Intel

2009-04-02 16:42 . 2009-04-02 16:42 -------- d-----w c:\program files\Datecs

2009-04-02 16:41 . 2009-04-02 16:41 -------- d-----w c:\program files\Skype

2009-04-02 16:41 . 2009-04-02 16:40 -------- d-----w c:\documents and settings\All Users\Application Data\Skype

2009-04-02 16:41 . 2009-04-02 16:41 -------- d-----w c:\program files\Common Files\Skype

2009-04-02 16:21 . 2009-04-02 16:20 -------- d-----w c:\documents and settings\All Users\Application Data\Avira

2009-04-02 16:20 . 2009-04-02 16:20 -------- d-----w c:\program files\Avira

2009-04-02 15:09 . 2009-04-02 15:09 664 ----a-w c:\windows\system32\d3d9caps.dat

2009-04-02 15:06 . 2009-04-02 15:06 -------- d-----w c:\program files\AGEIA Technologies

2009-04-02 15:01 . 2009-04-02 14:41 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-04-02 14:49 . 2009-04-02 14:49 -------- d-----w c:\program files\Microsoft Works

2009-04-02 14:49 . 2009-04-02 14:49 -------- d-----w c:\program files\MSBuild

2009-04-02 14:39 . 2009-04-02 14:39 21640 ----a-w c:\windows\system32\emptyregdb.dat

2009-04-02 14:39 . 2009-04-02 14:38 -------- d-----w c:\program files\Windows Media Connect 2

2009-04-01 11:34 . 2009-04-01 11:34 231176 ----a-w c:\windows\system32\PDBoot.exe

2009-03-27 03:33 . 2009-04-02 16:51 130816 ----a-w c:\windows\system32\drivers\Rtenicxp.sys

2009-03-24 11:43 . 2009-04-03 10:50 43008 ----a-w c:\documents and settings\Borko\Application Data\Mozilla\Firefox\Profiles\7q6twdf9.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metricsloader.dll

2009-03-24 11:43 . 2009-04-03 10:50 43008 ----a-w c:\documents and settings\Borko\Application Data\Mozilla\Firefox\Profiles\7q6twdf9.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll

2009-03-24 11:43 . 2009-04-03 10:50 235520 ----a-w c:\documents and settings\Borko\Application Data\Mozilla\Firefox\Profiles\7q6twdf9.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\metrics-ff2.dll

2009-03-24 11:43 . 2009-04-03 10:50 338432 ----a-w c:\documents and settings\Borko\Application Data\Mozilla\Firefox\Profiles\7q6twdf9.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll

2009-03-24 11:42 . 2009-04-03 10:50 235008 ----a-w c:\documents and settings\Borko\Application Data\Mozilla\Firefox\Profiles\7q6twdf9.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\metrics-ff3.dll

2009-03-24 11:42 . 2009-04-03 10:50 345088 ----a-w c:\documents and settings\Borko\Application Data\Mozilla\Firefox\Profiles\7q6twdf9.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll

2009-03-06 13:49 . 2008-04-14 04:42 284160 ----a-w c:\windows\system32\pdh.dll

2009-03-03 09:18 . 2009-04-02 16:51 73728 ----a-w c:\windows\system32\RtNicProp32.dll

2009-03-03 00:18 . 2008-10-16 19:38 826368 ----a-w c:\windows\system32\wininet.dll

.

------- Sigcheck -------

[-] 2009-01-08 20:12 361600 5AE1C2695F6523AD98B948F2887D8C5E c:\windows\system32\drivers\tcpip.sys

[-] 2009-01-08 19:41 1614848 362BC5AF8EAF712832C58CC13AE05750 c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]

"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2007-02-05 849280]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 86016]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Malwarebytes' Anti-Malware"="d:\my programs\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-05-26 414480]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2007-04-16 577536]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-03-27 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"_nltide_2"="shell32" [X]

c:\documents and settings\All Users\Start Menu\Programs\Startup\

FlexType 2K.lnk - c:\program files\Datecs\FlexType 2K\FType2K.exe [2009-4-2 95232]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"d:\\games\\Vavle\\Counter-Strike 1.6 + Half-Life\\hl.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Common Files\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"d:\\My Programs\\mIRC\\mirc.exe"=

"c:\\Program Files\\Pandion\\Pandion.exe"=

"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

"c:\\Program Files\\SopCast\\SopCast.exe"=

"d:\\My Programs\\Steam\\steamapps\\scopibg\\counter-strike\\hl.exe"=

"d:\\My Programs\\SoulseekNS\\slsk.exe"=

"d:\\My Programs\\Steam\\steamapps\\scopibg\\counter-strike beta\\hl.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"d:\\games\\Revolt\\revolt.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5353:TCP"= 5353:TCP:Adobe CSI CS4

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\Avira\AntiVir Desktop\avmailc.exe [02.4.2009 і. 19:20 194817]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [02.4.2009 і. 19:20 108289]

R2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\Avira\AntiVir Desktop\avwebgrd.exe [02.4.2009 і. 19:20 432897]

R2 MBAMService;MBAMService;d:\my programs\Malwarebytes' Anti-Malware\mbamservice.exe [02.4.2009 і. 20:09 194832]

R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [02.4.2009 і. 21:02 604416]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [02.4.2009 і. 20:09 19096]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Contents of the 'Scheduled Tasks' folder

2009-05-29 c:\windows\Tasks\1-Click Maintenance.job

- d:\my programs\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 12:37]

.

- - - - ORPHANS REMOVED - - - -

SafeBoot-procexp90.Sys

.

------- Supplementary Scan -------

.

uInternet Settings,ProxyOverride = *.local

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000

IE: Свали видео съдържанието на FLV с IDM - d:\my programs\Internet Download Manager\IEGetVL.htm

IE: Свали всички линкове с IDM - d:\my programs\Internet Download Manager\IEGetAll.htm

IE: Свали с IDM - d:\my programs\Internet Download Manager\IEExt.htm

LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll

Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\program files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

FF - ProfilePath - c:\documents and settings\Borko\Application Data\Mozilla\Firefox\Profiles\7q6twdf9.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: keyword.URL - hxxp://yandex.ru/yandsearch?stype=first&clid=43912&yasoft=barff&text=

FF - component: c:\documents and settings\Borko\Application Data\IDM\idmmzcc3\components\idmmzcc.dll

FF - plugin: d:\my programs\Adobe\Reader 8.0\Reader\browser\nppdf32.dll

FF - plugin: d:\my programs\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: d:\my programs\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-29 20:10

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]

@Denied: (Full) (Everyone)

"scansk"=hex(0):bb,f0,32,86,5f,e9,8b,e9,a2,82,7b,34,d1,0d,9f,52,4b,ef,7b,3b,83,

e0,f5,63,b3,2e,d2,62,10,a9,76,ff,b7,bd,e4,dd,0d,e8,0c,0a,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{623703d2-486f-4a0d-94fe-bf0d7458da2d}]

@Denied: (Full) (Everyone)

"Model"=dword:00000074

"Therad"=dword:0000001a

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]

@Denied: (Full) (Everyone)

"scansk"=hex(0):1c,dc,a2,88,68,ad,88,75,ed,3c,f7,4e,00,74,ad,18,a0,dd,5b,d1,cc,

f6,33,ec,7c,32,7a,23,b1,4f,ab,57,a1,ad,d6,41,14,1e,da,4b,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{ff0bd71c-cf68-4d32-af35-95e8ba665230}]

@Denied: (Full) (Everyone)

"Model"=dword:00000093

"Therad"=dword:00000001

"MData"=hex(0):73,d5,cf,b8,a4,07,89,80,31,e4,35,6b,2a,ca,fe,43,98,07,ff,fc,5d,

df,1c,2f,3b,8a,0a,32,11,89,01,b5,ca,31,3f,fd,89,fd,e6,be,82,bb,1a,55,38,e5,\

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(1140)

c:\windows\system32\newdll.dll

c:\windows\system32\msi.dll

c:\program files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

d:\my programs\Internet Download Manager\IDMIECC.dll

c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

c:\program files\Microsoft Office\Office12\1033\GrooveIntlResource.dll

d:\my programs\Internet Download Manager\idmmkb.dll

c:\program files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

c:\program files\Common Files\Adobe\Adobe Drive CS4\ADFSMenu.dll

c:\program files\Common Files\Adobe\Adobe Drive CS4\BIB.dll

c:\windows\system32\nvcpl.dll

c:\windows\system32\nvshell.dll

.

Completion time: 2009-05-29 20:11

ComboFix-quarantined-files.txt 2009-05-29 17:11

Pre-Run: 8 766 529 536 bytes free

Post-Run: 8 790 130 688 bytes free

283 --- E O F --- 2009-05-29 12:56

29 май 200917 г.

Лог файла изглежда наред. Имаш някои ненужни неща, но друго не намирам.

Отвори Notepad и въведи:

KILLALL::


Registry::

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"_nltide_2"=-


RegLock::

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{623703d2-486f-4a0d-94fe-bf0d7458da2d}]

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{ff0bd71c-cf68-4d32-af35-95e8ba665230}]


sysrst::


Extra::

Запази файла с име CFScript и го провлачи в ComboFix.

Публикувай новия лог файл.

Изтегли Secunia Personal Inspector и провери за потенциално уязвими приложения.

Редактирано 29 май 200917 г. от B-boy[StyLe] (преглед на промените)

30 май 200917 г.

Новият лог:

ComboFix 09-05-28.07 - Borko 05.2009 г. 15:11.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1251.359.1033.18.2046.1312 [GMT 3:00]

Running from: d:\downloads\Install\ComboFix.exe

Command switches used :: c:\documents and settings\Borko\Desktop\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((( Files Created from 2009-04-28 to 2009-05-30 )))))))))))))))))))))))))))))))

.

2009-05-30 08:08 . 2009-05-30 08:08 410984 ----a-w c:\windows\system32\deploytk.dll

2009-05-30 08:06 . 2009-05-30 08:06 152576 ----a-w c:\documents and settings\Borko\Application Data\Sun\Java\jre1.6.0_13\lzma.dll

2009-05-30 07:36 . 2009-05-30 07:36 -------- d-----w c:\windows\system32\xircom

2009-05-30 07:36 . 2009-05-30 07:36 -------- d-----w c:\program files\microsoft frontpage

2009-05-29 22:47 . 2009-05-29 22:47 -------- d-----w c:\program files\Trend Micro