Къде е лога от HiJackThis?

Logfile of HijackThis v1.99.1

Scan saved at 19:00:16, on 04.6.2009 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\Program Files\FileZilla Server\FileZilla Server.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\fgtv\Desktop\scan.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files\FileZilla Server\FileZilla Server Interface.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/...can8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1239783620133

O17 - HKLM\System\CCS\Services\Tcpip\..\{E39B228F-7CF5-4F0D-8CE9-8E24163A6B0A}: NameServer = 91.191.216.34,91.191.216.35

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe

TNN, препращаш потребителите към опасна уеб страница. И освен това, аз вече съм се заел да помогна на потребителя, просто не се меси.

http://hosts-file.net/?s=scanforfree.com

http://www.mywot.com/en/scorecard/scanforfree.com

тц тц тц

тц тц тц

Какво? Дело ли ще завеждаш срещу мен?

Моля те, отвори HijackThis, и избери Do a system scan only.

Сложи отметки на следните редове:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

След това, затвори всички отворени прозорци, освен този на HiJackThis, и избери Fix checked.

Системата ти е чиста! Трябва да търсиш проблема си другаде.

Fixer, би ли пояснил маневрата с браузърите?

Мерси, утре ще пусна логове от друг комп дето е най-проблемен, че работнот време свърши

За нищо! Няма проблем, утре ще ги погледна. Лека вечер!

Fixer, би ли пояснил маневрата с браузърите?

Нещо конкретно? Според потребителски мнения, сайтът е опасен. Това са уважавани американски източници, сега според руснаците, може положението да е различно, но мен не ме интересува.

Нещо конкретно? Според потребителски мнения, сайтът е опасен. Това са уважавани американски източници, сега според руснаците, може положението да е различно, но мен не ме интересува.

Според уважавани американски и всякакви други сериозни източници нищо опасно няма - заради теб лично също проверявах. Просто някои пак се престарават и грешат ! Не те упреквам. Поздрави

Според уважавани американски и всякакви други сериозни източници нищо опасно няма - заради теб лично също проверявах. Просто някои пак се престарават и грешат ! Не те упреквам. Поздрави

Защо е добавен в hpHosts Online? Оо, я виж:

MPORTANT: Many of the sites listed in this database WILL INFECT your computer. DO NOT visit them if you do not know what you are doing.

Ако беше обърнал внимание на класифицирането на сайта щеше да е супер. Той е класифициран, като FSA:

FSA - sites engaged in the selling or distribution of bogus or fraudulent applications

На български език:

FSA - Сайтове участващи в продажбата или разпространението на фалшиви или мошенически приложения

Освен това, можеш да видиш тук:

http://spywarewarrior.com/viewtopic.php?t=...fcb83c991567e76

Иначе да, всичко е наред, сайтът е ОК, няма проблеми.... ориентираш добре хората.

http://www.kaldata.com/comments.php?catid=1&id=18431 Не е лошо да се пробва - същото е... Човек сам трябва да си се ориентира.

Такаам и мене ме хванаха болестите...

Някакъв SecurityHijack се е вмъкнал в компютъра ми и ме тормози доста.Malwarebytes уж ги изтрива след сканиране, но след рестарт отново се появяват.

Компютъра се държи супер неадекватно, програмите забиват, излизат стотици прозорци с грешки в системата и разни кодове в тях.В таск мениджъра има един процес .exe, който също прави бели с разни съобщения за грешки...В интерес на истината, дори не ми дава да пусна System Restore, или каквито и да било системни настройки...

Прилагам лог файл от Malwarebytes.

mbam_log_2009_06_04__20_04_31_.txt

Редактирано 4 юни 200917 г. от electric (преглед на промените)

Нещо конкретно? ...

Ами помислих, че предлагаш почистването на браузърите във връзка с конкретния проблем - въпросния троянец, та затова и зададох въпроса по този начин, останах с погрешното впечатление, че е част от терапията. Както и да е.

Що се отнася до линка към сайта на ParetoLogic, и по-точно към XoftSpySE във вариант на онлайн скенер - не съм ползвал този скенер, той и подобните му от доста време (лично мнение) вече не са актуални. Можем само да им отдадем заслуженото, защото в недалечното минало са спасявали многократно всеки от нас. XoftSpySE, за разлика от предшественика си XoftSpy не е в списъка на опасните приложения, помагала ми е в почистването на не един заразен компютър. Не знам какво пишат разните "уважавани американски и всякакви други сериозни източници", но KIS .506 и Avira Premium не реагират по никакъв начин на линка.

За съжаление, нерядко е факт обратното.

electric, сега, изтеглете ATF Cleaner

Запазете го на вашия десктоп.

• Кликнете два пъти върху ATF-Cleaner.exe , за да стартирате програмата.
  
• Кликнете на Select All, който се намира в най-долната част на списъка.
  
• Кликнете на бутона Empty Selected.
  

Ако използвате браузъра Mozilla Firefox, направете следното:

• Кликнете върху Firefox, който се намира в началото и изберете Select All от списъка.
  
• Кликнете на бутона Empty Selected.
  
• Бележка: Ако искате да съхраните запазените пароли, моля кликнете на No от новопоявилия се прозорец.
  

Ако използвате браузъра Opera, направете следното:

• Кликнете върху Opera който се намира в началото и изберете Select All от списъка.
  
• Кликнете на бутона Empty Selected.
  
• Бележка: Ако искате да съхраните запазените пароли, моля кликнете на No от новопоявилия се прозорец.
  

Кликнете на бутона Exit, който се намира в главното меню, за да затворите програмата.

1) Изтеглете ComboFix от: тук

2) Запазете го на работния си плот (десктоп).

3) Кликнете два пъти върху combofix.exe

4) ComboFix ще започне да сканира вашата система, докато трае сканирането не барайте нищо. Накрая ще се рестартира компютъра Ви.

5) След рестарта изчакайте да завърши сканирането на ComboFix и да генерира лог файл. Когато сканирането завърши ще Ви изскочи Notepad, копирайте съдържанието му и го публикувайте в следващия си пост тук. Ако не Ви изскочи, влезте в C:\ и намерете файл с името combofix.txt . Отворете го, копирайте съдържанието му и го публикувайте тук.

За XoftSpySE никоя от 40-те програми при Вирустотал не реагира и всеки също може да провери. Google също си е критерий и Fixer вместо да го подценява може да съпоставя с каквото се сети. Например с http://safeweb.norton.com/report/show?url=...p;.x=7&.y=8 Поздрави

Ето го и лог файла...

Мисля, че се поизчистиха нещата, но доста настройки по системата и програмите са тотално объркани...даже ми изчезна фонетиката в windows.

ComboFix.txt

Редактирано 4 юни 200917 г. от electric (преглед на промените)

@electric,

Малко късно се включвам, но сега се прибирам и не бях видял съобщението от колегата !

Да, изчезна фонетиката, защото Combofix не я "тачи" много.

Инсталирай си нова или си върни файла (c:\windows\system32\kbdbph.dll) от папка C:\Qoobox (ще се наложи да бъде преименуван преди това, като се премахне разширението *.vir => не съм тествал този метод и не гарантирам, че ще се получи).

http://dankov.hit.bg/phonetic/

Съветвам те да деинсталираш, всички тулбари (Ask Toolbar, Daemon Toolbar) и Ad-Aware, защото в последно време не върши кой знае колко работа.

По-добре си карай с Malwarebytes' Anti-Malware, SUPERAntispyware и по-желание Spybot S & D (най-вече заради имунизацията).

Нямаш антивирусна програма (или поне не видях TrendMicro да се стартира заедно с Операционната Система) ?

Тази игра се приема като adware от emsisoft: PopCap Games

Обнови версията на Java

http://www.kaldata.com/comments.php?id=456...;highlight=java

Обнови Bonjour

http://support.apple.com/downloads/Bonjour_for_Windows

Временно замени WinAmp с AIMP2 или друг плеър по-избор.

Според Secunia има уязвимост в WinAmp, но засега няма пач за продукта...

Ако не използваш Messenger направи следното => Start => Run => напиши services.msc => Enter => намери услугата Messenger => стартирай я с двукратен клик на мишката и от падащото меню я сложи на Disabled.

Отвори Notepad и въведи:

KILLALL::


File::

c:\windows\popcinfot.dat

c:\PA207.DAT

c:\program files\iopu.txt

c:\program files\.inf

c:\windows\ativpsrm.bin

c:\windows\system32\ezsidmv.dat

c:\windows\nsreg.dat


Folder::

c:\program files\AskBarDis

c:\program files\DAEMON Tools Toolbar


DirLook::

c:\windows\usgwmt

c:\man

c:\windows\ShellNew

c:\windows\Downloaded Installations

c:\documents and settings\danail\Local Settings\Application Data\Downloaded Installations

Запази файла с име CFScript и го провлачи в ComboFix.

Публикувай лог файла в следващия си пост.

Здравейте,

Направих всичко, което беше предложено. Беше прмахнато всичко, което беше маркирано. Драйверите на вградената на дъното LAN карта обаче бяха така омазани, че всякакви опити за оправянето им бяха неуспешни. Тъй като РС- то си ми трябва направих формат С: и преинстал на Уиндоуса и сега всичко е ОК! Благодаря за помощта.

Сега, изтеглете ATF Cleaner

Запазете го на вашия десктоп.

• Кликнете два пъти върху ATF-Cleaner.exe , за да стартирате програмата.
  
• Кликнете на Select All, който се намира в най-долната част на списъка.
  
• Кликнете на бутона Empty Selected.
  

Ако използвате браузъра Mozilla Firefox, направете следното:

• Кликнете върху Firefox, който се намира в началото и изберете Select All от списъка.
  
• Кликнете на бутона Empty Selected.
  
• Бележка: Ако искате да съхраните запазените пароли, моля кликнете на No от новопоявилия се прозорец.
  

Ако използвате браузъра Opera, направете следното:

• Кликнете върху Opera който се намира в началото и изберете Select All от списъка.
  
• Кликнете на бутона Empty Selected.
  
• Бележка: Ако искате да съхраните запазените пароли, моля кликнете на No от новопоявилия се прозорец.
  

Кликнете на бутона Exit, който се намира в главното меню, за да затворите програмата.

Изтеглете Malwarebytes' Anti-Malware от тук

Кликнете два пъти върху mbam-setup.exe за да инсталирате програмата.

• * Уверете се, че има отметки на Update Malwarebytes' Anti-Malware и Launch Malwarebytes' Anti-Malware, след това кликнете на Finish.
  * Ако има намерени по-нови обновления, тя ще ги изтегли и инсталира.
  * Стартирайте програмата и изберете "Perform Full Scan", след това кликнете на Scan.
  * Сканирането ще отнеме малко време, затова моля бъдете търпеливи.
  * Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата.
  * Уверете се, че на всички редове има отметки, и кликнете Remove Selected.
  * Когато всичко бъде премахнато, логът ще бъде отворен в Notepad. Копирайте лога и го публикувайте в следващия си коментар в темата.
  

Бележка: Ако MalwareBytes' Anti-Malware се затрудни в премахването на откритите вируси/заплахи, той ще поиска да рестартира компютъра Ви и по време на рестартирането да премахне проблемите вируси/заплахи. Ако бъдете попитани, потвърдете че желаете вашия компютър да бъде рестартиран.

Здравейте , заразих се с NetBus , как да го изтрия ръчно без Антивирусна и по точно това Patch.Exe как се трие ?

Здравейте , заразих се с NetBus , как да го изтрия ръчно без Антивирусна и по точно това Patch.Exe как се трие ?

Здравей!

1) Изтеглете ComboFix от: тук

2) Запазете го на работния си плот (десктоп).

3) Изключете Real-Time защитата на антивирусната Ви програмата.

4) Кликнете два пъти върху combofix.exe

5) ComboFix ще започне да сканира вашата система, докато трае сканирането не барайте нищо. Накрая ще се рестартира компютъра Ви.

6) След рестарта изчакайте да завърши сканирането на ComboFix и да генерира лог файл. Когато сканирането завърши ще Ви изскочи Notepad, копирайте съдържанието му и го публикувайте в следващия си пост тук. Ако не Ви изскочи, влезте в C:\ и намерете файл с името combofix.txt . Отворете го, копирайте съдържанието му и го публикувайте тук.

Здравейте , заразих се с NetBus , как да го изтрия ръчно без Антивирусна и по точно това Patch.Exe как се трие ?

Деинсталирай програмата.

http://www.kaldata.com/forums/index.php?showtopic=61336

Айде FIXER другото PC:

ComboFix 09-06-03.04 - fgtv3 06.2009 г. 17:40.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1251.359.1033.18.128.49 [GMT 3:00]

Running from: c:\documents and settings\fgtv3\Desktop\ComboFix.exe

AV: Panda Cloud Antivirus *On-access scanning disabled* (Updated) {5AD27692-540A-464E-B625-78275FA38393}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Previous Run -------

.

c:\windows\system32\kbdbd.dll

c:\windows\system32\kbdBF.dll

c:\windows\system32\msvcrt2.dll

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_MSUPDATE

-------\Legacy_SYSDRV32

((((((((((((((((((((((((( Files Created from 2009-05-05 to 2009-06-05 )))))))))))))))))))))))))))))))

.

2009-06-05 12:37 . 2009-06-05 12:37 -------- d-----w- c:\documents and settings\fgtv3\Local Settings\Application Data\Identities

2009-06-04 12:21 . 2009-06-04 12:21 -------- d-----w- c:\program files\FileZilla Server

2009-05-26 11:10 . 2009-05-26 11:10 -------- d-----w- c:\program files\ESET

2009-05-20 15:49 . 2009-05-20 15:49 -------- d-----w- c:\documents and settings\Administrator\Application Data\TrojanHunter

2009-05-20 09:06 . 2009-05-20 09:06 -------- d-----w- c:\documents and settings\fgtv3\Application Data\TrojanHunter

2009-05-20 07:14 . 2009-05-20 15:54 -------- d-----w- c:\program files\TrojanHunter 5.1

2009-05-19 15:49 . 2009-05-19 15:49 -------- d-----w- c:\program files\Innovative Solutions

2009-05-19 15:20 . 2009-05-19 15:20 -------- d-----w- c:\documents and settings\fgtv3\Application Data\Panda Security

2009-05-19 14:56 . 2009-05-19 14:56 245 ----a-w- c:\windows\system32\PSUNCpl.dat

2009-05-19 14:55 . 2009-05-19 14:55 -------- d-----w- c:\program files\Panda Security

2009-05-19 14:55 . 2009-05-19 14:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Panda Security

2009-05-19 14:46 . 2009-04-16 10:06 6966528 ----a-w- c:\program files\Foxit Reader.exe

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-06-05 10:58 . 2009-05-05 05:49 -------- d-----w- c:\documents and settings\fgtv3\Application Data\Skype

2009-06-05 10:22 . 2009-05-05 05:50 -------- d-----w- c:\documents and settings\fgtv3\Application Data\skypePM

2009-05-26 11:04 . 2009-04-29 16:34 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2009-05-07 08:05 . 2009-04-29 16:11 18240 ----a-w- c:\documents and settings\fgtv3\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-05-05 05:50 . 2009-05-05 05:50 56 ---ha-w- c:\windows\system32\ezsidmv.dat

2009-05-05 05:48 . 2009-05-05 05:48 -------- d-----r- c:\program files\Skype

2009-05-05 05:48 . 2009-05-05 05:48 -------- d-----w- c:\program files\Common Files\Skype

2009-05-05 05:48 . 2009-05-05 05:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype

2009-04-30 14:06 . 2009-04-29 15:38 89783 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-04-30 06:30 . 2009-04-30 06:30 -------- d-----w- c:\documents and settings\fgtv3\Application Data\Malwarebytes

2009-04-30 06:30 . 2009-04-30 06:29 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PSUNMain"="c:\program files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" [2009-04-23 353536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"msmacro32"="c:\windows\msmacro64.exe" [bU]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 PSINKNC;PSINKNC;c:\windows\system32\drivers\PSINKNC.sys [23.4.2009 г. 20:15 113928]

R2 NanoServiceMain;NanoServiceMain;c:\program files\Panda Security\Panda Cloud Antivirus\PSANHost.exe [23.4.2009 г. 20:14 95488]

R2 PSINAflt;PSINAflt;c:\windows\system32\drivers\PSINAflt.sys [23.4.2009 г. 20:15 136968]

R2 PSINFile;PSINFile;c:\windows\system32\drivers\PSINFile.sys [23.4.2009 г. 20:15 92552]

R2 PSINProc;PSINProc;c:\windows\system32\drivers\PSINProc.sys [23.4.2009 г. 20:15 98056]

R3 es1969;ESS 1969 Audio Driver (WDM);c:\windows\system32\drivers\es1969.sys [29.4.2009 г. 21:17 72192]

R3 NtApm;NT Apm/Legacy Interface Driver;c:\windows\system32\drivers\NtApm.sys [29.4.2009 г. 21:18 9344]

R3 S3Inc;S3Inc;c:\windows\system32\drivers\s3mt3d.sys [29.4.2009 г. 21:17 41216]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.bg/

IE: Е&кспортирай в Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {3283B1CD-3154-4919-A06E-FC8EC8653A55} = 91.191.216.34,91.191.216.35

DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab

FF - ProfilePath - c:\documents and settings\fgtv3\Application Data\Mozilla\Firefox\Profiles\bac2j927.default\

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-06-05 17:48

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2009-06-05 17:52

ComboFix-quarantined-files.txt 2009-06-05 14:52

Pre-Run: 3 602 247 680 bytes free

Post-Run: 3 594 129 408 bytes free

100

Malwarebytes' Anti-Malware 1.37

Database version: 2233

Windows 5.1.2600 Service Pack 3

05.6.2009 г. 18:48:16

mbam-log-2009-06-05 (18-48-07).txt

Scan type: Full Scan (C:\|D:\|)

Objects scanned: 96361

Time elapsed: 37 minute(s), 34 second(s)

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0

Memory Processes Infected:

(No malicious items detected)

Memory Modules Infected:

(No malicious items detected)

Registry Keys Infected:

(No malicious items detected)

Registry Values Infected:

(No malicious items detected)

Registry Data Items Infected:

(No malicious items detected)

Folders Infected:

(No malicious items detected)

Files Infected:

(No malicious items detected)

Logfile of HijackThis v1.99.1

Scan saved at 18:48:46, on 05.6.2009 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Documents and Settings\fgtv3\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.bg/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O4 - HKLM\..\Run: [PSUNMain] "C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Е&кспортирай в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Изследване - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1241074542635

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3283B1CD-3154-4919-A06E-FC8EC8653A55}: NameServer = 91.191.216.34,91.191.216.35

O17 - HKLM\System\CS1\Services\Tcpip\..\{3283B1CD-3154-4919-A06E-FC8EC8653A55}: NameServer = 91.191.216.34,91.191.216.35

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe

O23 - Service: NanoServiceMain - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe

Отворете Notepad и чрез copy/paste поставете следното:

KillAll::


Folder::

c:\program files\ESET


File::

c:\windows\msmacro64.exe


Registry::

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"msmacro32"=-

Запазете файла с името CFScript.txt и го поставете върху ComboFix.

След, като програмата приключи ще Ви изведе лог файла. Чрез Copy/Paste поставете информацията тук.

Даде грешка 32788R22fwjfw\n.com is not a valid win32 aplication i pandata izpi6tq za virus