Ах, този <iframe> таг, колко главоболия на уеб-разработчиците създава...

http://www.techyshell.com/internet/how-to-...-iframe-trojan/

Ах, този <iframe> таг, колко главоболия на уеб-разработчиците създава...

http://www.techyshell.com/internet/how-to-...-iframe-trojan/

Не ми отваря сайта ,ще ми обясниш ли какво да направя?

Не ми отваря сайта ,ще ми обясниш ли какво да направя?

Пробвай да го отваряш с Mozilla Firefox с инсталирана добавка NoScript.

Там вече за съответния сайт забрани iFrame-a.

Би трябвало avast! да се е справил със задачата и да не е допуснал заразата да стигне до компютъра.

Ако се усетят някакви симптоми изпълни препоръките от тази тема и пусни лог от Hijackthis в нея.

Това е така, но описаното от B-Boy[styLe] е решение на проблема на локално ниво, т.е. предполага се, че ти няма да се заразиш с този вирус, но ако е в сайта, всеки посетител се заразява, разбира се този, който не е защитен. Цитирам написаното в сайта:

Removal of IFrame Malware

Removing that IFrame malware was not easy by any means. I searched over internet and many things were tried. I found another good article regarding IFrame removal written by Fields Marshall. But everything went in vain, everytime I remove that IFrame tag and upload the modified file, it gets inserted after a while. Now I will list the steps which I did and finally got rid of that malware, incase your site is infected by IFrame malware, you follow the same steps and I hope that eventually you will get rid of it as well.

1. Make sure that you have AVAST installed on your system with the latest virus database files.

2. Scan your PC for infections.

3. Change your ftp account password and also the cpanel password.

4. Upload and overwrite a fresh copy of all wordpress files after making necessary changes in wp-config.php file.

5. Download and install TextCrawler, a free utility to find required text in files on your hard drive. Its a freeware and very easy to use. Text Crawler is a fantastic tool for anyone who works with text files. It enables you to instantly find and replace words and phrases across multiple files and folders. It utilises a powerful Regular Expression engine to enable you to create sophisticated searches, perform batch operations, extract text from files and more. It is fast and easy to use, moreover TextCrawler is Freeware!.

6. You might have all files of your theme on your hard drive, if not, then download all files of the theme and search within those files for an iframe tag using Text Crawler. If you find any file containg the iframe tag then remove those lines which resembles like the ones discussed above.

7. Similarly download all plugin files that you are using at the moment and scan them for an iframe tag, if found then just remove those lines.

8. Remove all unwanted themes and plugins that you are not using. Do not use poor themes or less popular plugins. People are spreading free themes and plugins for purpose.

9. After making sure that all your theme files and plugin files are clean upload them.

10. Browse to your site and wait for any AVAST warning to appear, if done exactly as described, chances are that you will not face any trouble again.

11. Enjoy and if you found this article helpful, please consider linking to it or sharing it with someone else.

12. All comments and suggestions are appreciated.

За твое успокоение ще ти кажа, че сайта на НоваТВ миналата седмица беше заразен от тази гад, и сайта не падна веднъж, атаките бяха няколко, за сега уж положението е под контрол. Не съм пробвал, де.

Редактирано 19 юни 200916 г. от krisku (преглед на промените)

Неприятното е, че така се лепват и новите варианти на Virut и Sality.AO, Scribble и т.н.

W32/Scribble-A injects a malicious iframe into files whose extensions start with HTM, PHP or ASP, with affected files detected as Troj/Fujif-Gen. At the time of writing the iframe points to a site that hosts more malware.

Не само сайта на нова бе обект на атака:

http://www.kaldata.com/forums/index.php?s=...t&p=1414594

http://www.kaldata.com/forums/index.php?s=...t&p=1418625

http://www.kaldata.com/forums/index.php?sh...p;#entry1387284

и т.н. но 99% от сайтовете са базирани на това:

http://www.kaldata.com/forums/index.php?s=...t&p=1372327

Сайтът internetcountercheck.com не е активен,само ти остава да си оправиш изходния код.

Сайтът internetcountercheck.com не е активен,само ти остава да си оправиш изходния код.

Kак?!

Kак?!

Предполагам са ти сменили паролата,виж в този форум на последък гледам се занимават все със случаи като твоя.Успех

http://www.malwaredomainlist.com/forums/in...=recent;start=0

Редактирано 20 юни 200916 г. от PowerMC (преглед на промените)

Предполагам са ти сменили паролата,виж в този форум на последък гледам се занимават все със случаи като твоя.Успех

http://www.malwaredomainlist.com/forums/in...=recent;start=0

Не само ми показва,че има вирус и на други който се опитват да влезнат става така

Исках да скенирам за вируси и изтеглих Avira. След инсталирането компютъра почна яко да пищи 4-5 пъти рестартирах, докъто накрая не я изключих и деинсталирах... Проблема е, че сега не ми дава да извършвам никакви системни опций.. в run не мога да изпълнявам команди като msconfig, а като вляза в C:\Program Files\Common Fires и след това напиша в адрес скритата папка System пак ме изхвърля...

Е... какъв вирус съм хванал и ще се размина ли без преинсталация ?

пробвай със систем рестор (System Restore)

Това беше първото нещо което се сетих... Не го отваря

Мисля, че е от 2 процеса които немогат да се прекратят

единия е hpskigg.exe, а другия htetnoh.exe ... Когато ги няма отворени влизам в msconfig

Това беше първото нещо което се сетих... Не го отваря

Мисля, че е от 2 процеса които немогат да се прекратят

единия е hpskigg.exe, а другия htetnoh.exe ... Когато ги няма отворени влизам в msconfig

1. Спри временно защитата в реално време на антивирусната си програма (ако имаш такава).

2. Изтегли ComboFix и я запази на десктопа.

3. Сега Start Menu => Run => въведи командата:

"%userprofile%\desktop\combofix.exe" /killall

4. Публикувай съдържанието на лог файла в следващия си пост.

Аз преинсталирах windows, и след това гадните процеси пак се появиха, но след като стартирах тая програма се махнаха..

Все пак ето лога:

ComboFix 09-06-23.01 - CityLife 06.2009 г. 5:18.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1251.359.1033.18.255.129 [GMT -7:00]

Running from: c:\documents and settings\CityLife\desktop\combofix.exe

Command switches used :: /killall

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

c:\program files\Common Files\Microsoft Shared\hpskpgg.exe

c:\program files\Common Files\System\htetnoh.exe

c:\program files\meex.exe

D:\Autorun.inf

E:\Autorun.inf

.

((((((((((((((((((((((((( Files Created from 2009-05-24 to 2009-06-24 )))))))))))))))))))))))))))))))

.

No new files created in this timespan

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-06-24 21:54 . 2009-06-24 21:54 -------- d-----w- c:\program files\microsoft frontpage

2009-06-24 21:52 . 2009-06-24 21:52 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-06-24 21:49 . 2009-06-24 21:49 21640 ----a-w- c:\windows\system32\emptyregdb.dat

2009-06-24 21:48 . 2009-06-24 21:48 -------- d-----w- c:\program files\Windows Media Connect 2

2009-06-24 12:07 . 2009-06-24 12:07 -------- d-----w- c:\program files\Common Files\InstallShield

2009-06-24 12:05 . 2009-06-24 12:05 8992 ----a-w- c:\windows\system32\kbdbph.dll

2009-06-24 12:01 . 2009-06-24 12:01 0 ----a-w- c:\windows\nsreg.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"ShowDeskFix"="shell32" [X]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

.

- - - - ORPHANS REMOVED - - - -

HKLM-Run-vneglcx - c:\program files\Common Files\System\htetnoh.exe

HKLM-Run-aewsbmh - c:\program files\Common Files\Microsoft Shared\hpskpgg.exe

.

------- Supplementary Scan -------

.

FF - ProfilePath -

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-06-24 05:21

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(724)

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

c:\windows\system32\browselc.dll

c:\windows\system32\wpdshext.dll

.

------------------------ Other Running Processes ------------------------

.

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Completion time: 2009-06-24 5:22 - machine was rebooted

ComboFix-quarantined-files.txt 2009-06-24 12:22

Pre-Run: 13 556 518 912 bytes free

Post-Run: 13 542 170 624 bytes free

79

Отвори Notepad и с copy/paste въведи:

Windows Registry Editor Version 5.00

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"ShowDeskFix"=-

Запази файла с име fix.reg и го стартирай.

Файла ще изглежда така -

Избери Yes за да влезнат промените в сила.

Свали и провери с програмата от подписа ми.

За Malwarebytes' Anti-Malware:

* стартирайте програмата

* придвижете до секцията Update и натисни Check for Updates

* след това отидете до категорията Scanner и избери Perform quick scan и кликни бутона Scan

* като приключи сканирането кликнете върху бутон Remove Selected (или ако е на български премахни избраните)

* ще се появи текстов файл,ако се наложи копирайте съдържанието му.

Време е да деинсталираш ComboFix.

Отвори Start menu => Run и въведи командата:

combofix /u

Има празно място между x и /.

Това ще стартира Combofix още веднъж и ще го деинсталира.

Здравейте, дано можете да ми помогнете. След сканиране със Spybot - Search & Destroy открих това. Някой знае ли какво е, защото не мога да го премахна със спайбот-а. Сканирах го във вирус тотал, само една от програмите каза, че е кодиран архив, другите - няма вирус. Видях къде е файлчето, всъщност са 3 броя, но не смея да ги махна /ако въобще е възможно да се изтрият ръчно/, като не съм наясно какво са . Не знам какви данни още са ви необходими. Малко се притеснявам, защото от 2-3 дни защитната стена на уиндоус не ми разпознава антивирусната - с Аваст съм. Имам и Malwarebytes' Anti-Malware, което вчера ми откри вирусче и го изчисти. Въобще ми се навързаха разни подозрителни събития , дето може да нямат връзка помежду си, ама страх лозе пази. Защо пък изведнъж защитната стена на уина не харесва Аваста? Да не би този файл да има нещо общо?

Редактирано 4 юли 200916 г. от tdkr (преглед на промените)

Споко пич, газираш се напразно. Това не е вирус, а сигнал, че е изключено сигнализирането от операционната система за липсваща или необновена антивирусна. Ако антивирусната ти е наред му дай FIX.

Редактирано 4 юли 200916 г. от masterakalin (преглед на промените)

Здравей!

Както Ви е маркиран този ред, кликнете върху двете сини стрелки отдясно и ще Ви се появи обяснение за засечения обект.

Възможно е Spybot S&D да има фалшиви показания за Windows/ Microsoft Security Center. Справка: Why does Spybot-S&D flag changes in the Windows Security Center?.

Страшно съм благодарна за бързия отговор . Значи ще спинкам спокойно. На всички лека нощ.

Страшно съм благодарна за бързия отговор . Значи ще спинкам спокойно. На всички лека нощ.

Не съм сигурен дали всичко е наред. Затова написах по-горе, че в възможно да има фалшиво засичане от Spybot S&D. Също така Fixer написа нещо за обяснение на ситуацията.

Може ли да пуснеш лога на Malwarebytes' Anti-Malware, когато е засякъл вирус? Намира се в менюто на програмата в текстов формат - "Дневници" или "Logs".

Първо се извинявам ,че ви пиша преди да съм чел (може да го има обяснено),но като гледам накъде е тръгнало и след 5 дни мъки и преинсталаций...

Начи аз съм с авира антивирусна след последния преинстал ,имах проблем с някъв ерор - "Generic host process win32..", но в последстие се справих с него (точно с помоща на този саит). Работата е там ,че сега ми се появява нов ерор : Когато сканирах системата с авирата чрез Сафе моде и с изключен систем рестор открих 7 вируса 6 отях се истриха само 1, които все още ме тормози - остана. А ето какво откри антивирусната след сканирането във нормален mode на windowsа : .Въпросния вирус които беше останал го няма(system32/drivers/sysdr32.sys(нещо от рода), но няма зн. Работата е там ,че дори да не ми вредят по някъв начин тези вируси ме дразни това че съществуват.Та ако може някои да сподели как да изчистя въпросния ерор и евентуално ако може и вирусите

Сега, изтеглете ATF Cleaner

Запазете го на вашия десктоп.

• Кликнете два пъти върху ATF-Cleaner.exe , за да стартирате програмата.
  
• Кликнете на Select All, който се намира в най-долната част на списъка.
  
• Кликнете на бутона Empty Selected.
  

Ако използвате браузъра Mozilla Firefox, направете следното:

• Кликнете върху Firefox, който се намира в началото и изберете Select All от списъка.
  
• Кликнете на бутона Empty Selected.
  
• Бележка: Ако искате да съхраните запазените пароли, моля кликнете на No от новопоявилия се прозорец.
  

Ако използвате браузъра Opera, направете следното:

• Кликнете върху Opera който се намира в началото и изберете Select All от списъка.
  
• Кликнете на бутона Empty Selected.
  
• Бележка: Ако искате да съхраните запазените пароли, моля кликнете на No от новопоявилия се прозорец.
  

Кликнете на бутона Exit, който се намира в главното меню, за да затворите програмата.

1) Изтеглете ComboFix от: тук

2) Запазете го на работния си плот (десктоп).

3) Изключете Real-Time защитата на Avira AntiVir

4) Кликнете два пъти върху combofix.exe

5) ComboFix ще започне да сканира вашата система, докато трае сканирането не барайте нищо. Накрая ще се рестартира компютъра Ви.

6) След рестарта изчакайте да завърши сканирането на ComboFix и да генерира лог файл. Когато сканирането завърши ще Ви изскочи Notepad, копирайте съдържанието му и го публикувайте в следващия си пост тук. Ако не Ви изскочи, влезте в C:\ и намерете файл с името combofix.txt . Отворете го, копирайте съдържанието му и го публикувайте тук.

ComboFix 09-07-06.02 - MAILO'' 07.2009 г. 14:24.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1251.359.1033.18.2047.1550 [GMT 2:00]

Running from: c:\documents and settings\MAILO''\Desktop\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\windows\kb913800.exe

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_ACPI32

-------\Legacy_NICSK32

-------\Legacy_PORT135SIK

-------\Legacy_SYSDRV32

-------\Legacy_WS2_32SIK

-------\Service_acpi32

-------\Service_i386si

-------\Service_nicsk32

-------\Service_port135sik

-------\Service_securentm

-------\Service_sysdrv32

-------\Service_systemntmi

-------\Service_ws2_32sik

((((((((((((((((((((((((( Files Created from 2009-06-07 to 2009-07-07 )))))))))))))))))))))))))))))))

.

2009-07-07 11:11 . 2009-07-07 11:11 -------- d-----w- C:\downloads

2009-07-07 10:54 . 2009-07-07 10:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Blizzard

2009-07-07 09:45 . 2009-07-07 09:48 8992 ----a-w- c:\windows\system32\kbdbph.dll

2009-07-07 09:27 . 2009-07-07 09:27 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment

2009-07-06 11:57 . 2009-07-07 12:29 -------- d-----w- c:\program files\Steam

2009-07-06 11:33 . 2009-07-06 11:33 -------- d-----w- c:\program files\StrongDC++

2009-07-05 23:22 . 2009-07-05 23:22 -------- d-----w- c:\documents and settings\MAILO''\Application Data\Media Player Classic

2009-07-05 23:03 . 2008-12-03 15:40 81408 ----a-w- c:\windows\system32\devcon_x64.exe

2009-07-05 23:03 . 2002-11-14 20:32 55808 ----a-w- c:\windows\system32\devcon.exe

2009-07-05 23:03 . 2009-07-05 23:04 -------- d-----w- c:\program files\Driver Checker

2009-07-05 22:26 . 2009-07-05 22:26 -------- d-----w- c:\documents and settings\All Users\Application Data\{66E2F539-12B6-4870-A500-7689CDE75C5E}

2009-07-05 21:55 . 2009-07-05 21:55 -------- d-----w- c:\documents and settings\MAILO''\temp

2009-07-05 21:42 . 2009-07-06 11:14 -------- d-----w- c:\documents and settings\MAILO''\Application Data\DC++

2009-07-05 21:42 . 2009-07-05 21:42 -------- d-----w- c:\documents and settings\MAILO''\Local Settings\Application Data\DC++

2009-07-05 05:15 . 2009-07-05 16:47 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-07-05 05:15 . 2009-07-05 16:47 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-07-05 05:15 . 2009-07-05 05:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2009-07-05 05:15 . 2009-02-13 09:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2009-07-05 05:15 . 2009-02-13 09:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2009-07-05 05:15 . 2009-07-05 05:15 -------- d-----w- c:\program files\Avira

2009-07-05 05:02 . 2009-07-05 05:02 -------- d-----w- c:\program files\D-Tools

2009-07-05 04:44 . 2009-07-07 07:53 -------- d-----w- c:\documents and settings\MAILO''\Application Data\skypePM

2009-07-05 04:44 . 2009-07-05 04:44 56 ---ha-w- c:\windows\system32\ezsidmv.dat

2009-07-05 04:38 . 2009-07-07 12:25 -------- d-----w- c:\documents and settings\MAILO''\Application Data\Skype

2009-07-05 04:38 . 2009-07-05 04:38 -------- d-----w- c:\program files\Skype

2009-07-05 04:38 . 2009-07-05 04:38 -------- d-----w- c:\program files\Common Files\Skype

2009-07-05 04:38 . 2009-07-05 04:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype

2009-07-05 04:16 . 2009-07-05 04:16 -------- d-----w- c:\windows\system32\AGEIA

2009-07-05 04:16 . 2009-07-05 04:16 -------- d-----w- c:\program files\AGEIA Technologies

2009-07-05 04:16 . 2009-07-05 04:16 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard

2009-07-05 04:11 . 2004-08-04 00:56 37888 -c--a-w- c:\windows\system32\dllcache\md5filt.dll

2009-07-05 04:10 . 2001-08-23 13:00 45568 -c--a-w- c:\windows\system32\dllcache\browscap.dll

2009-07-05 04:02 . 2001-08-23 13:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll

2009-07-05 04:02 . 2001-08-23 13:00 24661 ----a-w- c:\windows\system32\spxcoins.dll

2009-07-05 04:02 . 2001-08-23 13:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll

2009-07-05 04:02 . 2001-08-23 13:00 13312 ----a-w- c:\windows\system32\irclass.dll

2009-07-05 03:49 . 2009-07-05 03:49 -------- d-----w- c:\documents and settings\MAILO''\Local Settings\Application Data\Opera

2009-07-05 03:48 . 2009-07-05 03:48 -------- d-----w- c:\program files\Opera

2009-07-05 03:38 . 2009-07-05 04:17 -------- d-----w- c:\windows\nview

2009-07-05 03:38 . 2008-12-02 21:11 453152 ----a-w- c:\windows\system32\nvudisp.exe

2009-07-05 03:38 . 2009-07-05 03:38 -------- d-----w- C:\NVIDIA

2009-07-05 02:46 . 2009-07-05 02:46 10752 ----a-w- c:\windows\system32\aamd532.dll

2009-07-05 02:26 . 2009-07-05 02:50 -------- d--h--w- c:\windows\$hf_mig$

2009-07-05 02:12 . 2004-08-04 00:56 25600 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-07-07 09:10 . 2009-07-05 00:52 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2009-07-06 12:37 . 2009-07-05 00:02 12328 ----a-w- c:\documents and settings\MAILO''\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-07-06 10:28 . 2009-07-06 11:17 170734 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1033.dat

2009-07-06 10:27 . 2009-07-04 23:56 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-07-05 23:20 . 2009-07-05 00:05 77824 ----a-w- c:\windows\SOUNDMAN.EXE

2009-07-05 23:20 . 2009-07-05 00:05 1206816 ----a-w- c:\windows\RtlUpd.exe

2009-07-05 23:20 . 2009-07-05 00:05 9715200 ----a-w- c:\windows\RTLCPL.EXE

2009-07-05 23:20 . 2009-07-05 00:05 5028352 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys

2009-07-05 23:20 . 2009-07-05 00:05 17508864 ----a-w- c:\windows\RTHDCPL.EXE

2009-07-05 23:20 . 2009-07-05 00:05 2168320 ----a-w- c:\windows\MicCal.exe

2009-07-05 23:20 . 2009-07-05 00:05 57344 ----a-w- c:\windows\ALCMTR.EXE

2009-07-05 23:20 . 2009-07-05 00:05 2808832 ----a-w- c:\windows\ALCWZRD.EXE

2009-07-05 22:00 . 2009-07-05 21:59 -------- d-----w- c:\documents and settings\MAILO''\Application Data\Winamp

2009-07-05 21:59 . 2009-07-05 21:59 -------- d-----w- c:\program files\Winamp

2009-04-28 20:20 . 2009-07-05 21:59 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys

2009-04-28 20:20 . 2009-07-05 21:59 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys

2009-04-28 20:20 . 2009-07-05 21:59 44944 ------w- c:\windows\system32\drivers\PxHelp20.sys

2009-04-28 20:20 . 2009-07-05 21:59 129520 ------w- c:\windows\system32\pxafs.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-07 21633320]

"Steam"="c:\program files\Steam\Steam.exe" [2009-07-06 1217784]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-02 13680640]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-02 86016]

"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2002-05-10 73728]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-12-02 1657376]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2009-07-05 17508864]

c:\documents and settings\MAILO''\Start Menu\Programs\Startup\

StrongDC.lnk - c:\program files\StrongDC++\StrongDC.exe [2009-7-6 3116544]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WM System Decode Application]

@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Opera\\opera.exe"=

"c:\\Program Files\\StrongDC++\\StrongDC.exe"=

"c:\\Program Files\\Steam\\steamapps\\mailo4ever\\counter-strike\\hl.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 Stealth;Stealth;c:\windows\system32\drivers\stealth.sys [13.5.2002 г. 10:14 77920]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [05.7.2009 г. 07:15 108289]

S2 WM System Decode Application;WM System Decode Application;"c:\windows\system\msdct.exe" --> c:\windows\system\msdct.exe [?]

.

- - - - ORPHANS REMOVED - - - -

HKLM-Run-netmon - c:\windows\system\netmon.exe

SafeBoot-netmon32

.

------- Supplementary Scan -------

.

TCP: {440D54F5-4F49-4FA0-B514-6AA6673683CE} = 192.168.0.6,87.120.104.193

TCP: {B51CCB5E-34C4-4F78-81FF-406AAB743741} = 87.120.104.193 212.73.154.2

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-07-07 14:29

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(2888)

c:\windows\system32\msi.dll

c:\windows\system32\audiodev.dll

c:\windows\system32\WMVCore.DLL

c:\windows\system32\WMASF.DLL

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Skype\Plugin Manager\skypePM.exe

c:\windows\system32\imapi.exe

.

**************************************************************************

.

Completion time: 2009-07-07 14:30 - machine was rebooted

ComboFix-quarantined-files.txt 2009-07-07 12:30

Pre-Run: 36 329 971 712 bytes free

Post-Run: 36 458 627 072 bytes free

168

ммм само да отбележа че по време на рестарта ми излезе некъв син прозорец (тоест то преди ми излизаше) че НТФС диска ми е повреден и ако натисна некво копче ще го скипне обаче аз реших да го оставя и там некви филове се ресторнаха... нз дали е било проблем и странно че погледнах сканирането на скритите филове на лога ... пише че са 0 а ако го сканирам с авирата ми показва 17 скрити... (нз дали е от значение..аз да отбележа )

Редактирано 7 юли 200916 г. от mailo4ever (преглед на промените)

Моля, прикачете файла:

c:\windows\system\msdct.exe

в 4storing.com и пуснете линка за изтегляне в следващия си пост.