днес започна да ми се рестартира лаптопа http://www.snimka.bg/photo.php?photo_id=10250011...я и файла , който направих за всеки случай, ако на линка не се вижда добре.благодаря предварително !ако имате и някакви идеи за справяне с проблема сте златнида не забравя...антивирусна програма нямам!

ми върни си уиндоуза няколко дена назад да видиш дали няма да се оправи, после си слажи това

http://www.free-av.de/en/index.html

без пари е.

Някой се опитва да ме хакне! Аваста от вчера вечер ми показва ето тези неща: Някой се опитва дам е хакне. Днес от сутринта до сега 5 пъти поне ми излезе съобщението от различни айпита. Кажете какво да предприема? sad.gif http://support.microsoft.com/?kbid=824146 го имам инсталирано Не ми се сменя антивируса, тъй като е оригинален и ъпдейтнат на макс. Първото айпи, което всъщност не е първото, с което се е опитал да влезе, първото не го снимах. Но първото айпи на картинката е от моя интернет доставчик. Моето е почти същото. Какво да направя? Да го блокирам някакси, да си сменя айпито? Дайте ми идея, че много ме притеснява тая работа!

Сканирай с MalwareBytes' Anti-Malware:

1. Изтеглете: MalwareBytes' Anti-Malware

2. Инсталирайте го.

3. Кликвате на иконата “Malwarebytes’ Anti-Malware“.Първото и най-важно нещо е да отидете в категорията “Update” и да изберете бутончето “Check For Updates“.

4. След това се насочете към секцията “Scanner” и изберете опцията “Perform quick scan” (особено ако за първи път стартирате приложението.Щраквате на бутончето “Scan“, посочвате кои дялове ма компютъра да бъдат проверени.Можете да маркирате и само дяла на който е инсталирана Операционната Система и натискате “Start Scan“.

5. След края на проверката ще получите или съобщение, че вредители не са намерени или ще получите възможност да ги маркирате и изтриете.

6. Най-накрая ще получите лог файл с извършените процедури. Моля, копирайте го и го поставете тук, за да видим какво е станало.

След, като приключиш с MalwareBytes' Anti-Malware:

Изтеглете ESET SysInspector

http://www.eset.bg/download/sysinspector.html

- Стартирайте програмата чрез SysInspector.exe

Програмата ще започне да събира информация за ситуацията на машината Ви.

- Когато "Инспекторът" е готов и log файлът - генериран , изберете File > Save Log

- Потвърдете желанието си

Изберете да запазите файла някъде и след това го прикрепете към поста си.

Malwarebytes' Anti-Malware казва:

Malwarebytes' Anti-Malware 1.33

Database version: 1705

Windows 5.1.2600 Service Pack 3

29.1.2009 г. 17:43:44

mbam-log-2009-01-29 (17-43-42).txt

Scan type: Quick Scan

Objects scanned: 45550

Time elapsed: 2 minute(s), 5 second(s)

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 1

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0

Memory Processes Infected:

(No malicious items detected)

Memory Modules Infected:

(No malicious items detected)

Registry Keys Infected:

(No malicious items detected)

Registry Values Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Media Player (Backdoor.Bot) -> No action taken.

Registry Data Items Infected:

(No malicious items detected)

Folders Infected:

(No malicious items detected)

Files Infected:

(No malicious items detected)

А ЕСЕТ- а ми го сейва в хикс ем ел формат, и не знам как да го отворя... Ами сега?

Редактирано 29 януари 200917 г. от boko14 (преглед на промените)

След, като save лога, той ти се записва като архив. Този архив го прикачи в 4storing.com и дай линк, за да го изтегля. Не ти трябва да отваряш xml, той се отваря с помощта на SysInspector.

Здравейте! Преди малко сканирах със SUPERAntiSpyware и откри Adware.Vundo/Variant-MSFake намира се в C:\INSTALL\DOTNET2.EXE . Та въпросът ми е да го премахна ли или да го оставям, защото ме съмнява и реших да се допитам до Вас

Здравейте! Преди малко сканирах със SUPERAntiSpyware и откри Adware.Vundo/Variant-MSFake намира се в C:\INSTALL\DOTNET2.EXE . Та въпросът ми е да го премахна ли или да го оставям, защото ме съмнява и реших да се допитам до Вас

Премахни го незабавно!

След което почисти временните файлове:

1. Изтеглете програмата от http://www.atribune.org/ccount/click.php?id=1

2. Запишете я на произволно място.

3. Стартирайте файла с администраторски права (не е нужна инсталация) .

4. Сложете отметки на всички без на Prefetch.

5. Изберете Empty Selected

Рестартирай и направи отново пълно сканиране,но преди това спри System Restore, сканирай с антивирусната и със SUPERAntiSpyware ,пиши ако открият нещо.

Редактирано 30 януари 200917 г. от mihnev_sz (преглед на промените)

Премахнах го и почистих временните файлове след което рестартирах и при излючено System Restore сканирах отново със SUPERAntiSpyware и Авира. Не откриха нищо...всичко е ОК По-късно ще сканирам и с MalwareBytes и ще пиша ако открие нещо.

Премахнах го и почистих временните файлове след което рестартирах и при излючено System Restore сканирах отново със SUPERAntiSpyware и Авира. Не откриха нищо...всичко е ОК По-късно ще сканирам и с MalwareBytes и ще пиша ако открие нещо.

Това е добра идея за МБАМ,след като приключи със сканирането дай един лог там от HiJackThis просто профилактично да видим процесите.

Редактирано 30 януари 200917 г. от mihnev_sz (преглед на промените)

Не. Извинявай. Ето лог-а от ComboFix:

ComboFix 09-01-21.04 - User4e 2009-01-30 22:15:37.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1251.1.1033.18.2047.1622 [GMT 2:00]

Running from: c:\documents and settings\User4e\desktop\combofix.exe

Command switches used :: /killall

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

- REDUCED FUNCTIONALITY MODE -

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\i

.

((((((((((((((((((((((((( Files Created from 2008-12-28 to 2009-01-30 )))))))))))))))))))))))))))))))

.

2008-12-21 12:04 . 2008-12-21 12:04 <DIR> d-------- c:\documents and settings\User4e\Application Data\dvdcss

2008-12-13 01:05 . 2008-12-13 01:05 <DIR> d-------- c:\documents and settings\User4e\Application Data\vlc

2008-12-02 22:58 . 2009-01-30 21:40 <DIR> d-------- C:\Hello444

2008-12-02 00:48 . 2008-12-02 01:01 <DIR> d-------- c:\program files\SUPERAntiSpyware

2008-12-02 00:48 . 2008-12-02 00:48 <DIR> d-------- c:\documents and settings\User4e\Application Data\SUPERAntiSpyware.com

2008-12-02 00:47 . 2008-12-02 00:47 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-30 19:21 --------- d-----w c:\documents and settings\User4e\Application Data\Any Video Converter

2009-01-30 19:15 --------- d-----w c:\program files\FlashGet

2009-01-29 22:15 --------- d-----w c:\documents and settings\User4e\Application Data\Skype

2009-01-29 21:17 --------- d-----w c:\documents and settings\User4e\Application Data\skypePM

2009-01-27 18:06 --------- d-----w c:\program files\CCleaner

2009-01-22 13:13 --------- d-----w c:\program files\Any Video Converter

2009-01-15 22:19 --------- d-----w c:\program files\Defraggler

2009-01-15 20:56 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-01-14 14:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-14 14:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2008-11-30 14:29 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2008-11-30 12:19 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2008-11-29 12:55 --------- d-----w c:\documents and settings\User4e\Application Data\Malwarebytes

2008-11-29 11:52 --------- d-----w c:\documents and settings\All Users\Application Data\Grisoft

2008-11-08 16:28 4,716 ----a-w c:\windows\gdrv.sys

2008-08-21 11:29 1,722,880 ----a-w c:\program files\ZuneDesktopTheme.msi

2008-07-16 15:39 1,495,112 ----a-w c:\program files\install_flash_player.exe

2008-07-28 14:51 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat

2008-07-16 14:41 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat

2008-07-28 14:51 16,384 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat

2008-07-28 14:51 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

.

------- Sigcheck -------

2008-06-09 15:11 361344 accf5a9a1ffaa490f33dba1c632b95e1 c:\windows\system32\drivers\tcpip.sys

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-11-17 1805552]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe]

"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 c:\windows\RTHDCPL.exe]

"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Start Menu\Programs\Startup\

Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2005-10-09 610365]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-07-23 15:28 352256 c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3fhg"= mp3fhg.acm

"msacm.divxa32"= msaud32_divx.acm

"VIDC.X264"= x264vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\FlashGet\\flashget.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2008-11-17 8944]

R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2008-11-17 55024]

R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2008-11-17 7408]

S4 SVCHOSTS32;Windows Host Services ;"c:\windows\system\svchost.exe" --> c:\windows\system\svchost.exe [?]

S4 WinSpoolSvc;Windows Spool Services;"c:\windows\system32\csrsc.exe" --> c:\windows\system32\csrsc.exe [?]

S4 WTDSS;Windows TCP/IP Data Synchronization Service;c:\windows\system32\wtdss.exe --> c:\windows\system32\wtdss.exe [?]

.

Contents of the 'Scheduled Tasks' folder

2008-11-29 c:\windows\Tasks\upogffrn.job

- c:\windows\system32\geBroLCr.dll []

.

- - - - ORPHANS REMOVED - - - -

HKU-Default-Run-WTDSS - c:\windows\system32\wtdss.exe

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.topnovini.com/

IE: &Download All with FlashGet - c:\program files\FlashGet\jc_all.htm

IE: &Download with FlashGet - c:\program files\FlashGet\jc_link.htm

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

FF - ProfilePath - c:\documents and settings\User4e\Application Data\Mozilla\Firefox\Profiles\64yxghj9.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.bg/firefox

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-30 22:16:56

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]

"ImagePath"="\??\c:\windows\TEMP\ASFWHide"

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(700)

c:\program files\SUPERAntiSpyware\SASWINLO.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\rundll32.exe

c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

.

**************************************************************************

.

Completion time: 2009-01-30 22:17:46 - machine was rebooted [user4e]

ComboFix-quarantined-files.txt 2009-01-30 20:17:43

Pre-Run: 98,315,919,360 bytes free

Post-Run: 98,310,402,048 bytes free

149

След, като save лога, той ти се записва като архив. Този архив го прикачи в 4storing.com и дай линк, за да го изтегля. Не ти трябва да отваряш xml, той се отваря с помощта на SysInspector.

Братле, нямам вируси, ползвам оригнален антивирус, всичко е ок. Единствения проблем е че някой се опитва да ме хакне. Правя проверки нон стоп, всеки еидн процес се проверява от антивируса. Програмите които ми каза не намериха нищо. Днес не ми е излизало съобщението че някой се опитва да ме хакне. Явно вече се е отказал, или вече е успял! Шегата настрана, благодаря ти за помощта братле, много интересни програмки научих от теб! Успехи във изпитанията ти! Мерси!

Хора, пак се нуждая от помощта ви!

Сканирах с MBAM и ми откри два тройанеца. Не посмях да пипам, а реших отново да се обърна към вас за помощ. Ето и log-а:

Malwarebytes' Anti-Malware 1.33

Версия на базата от данни: 1709

Windows 5.1.2600 Service Pack 2

1/30/2009 10:20:01 PM

mbam-log-2009-01-30 (22-19-45).txt

Тип сканиране: Пълно сканиране (C:\|D:\|E:\|)

Сканирани обекти: 100727

Изминало време: 1 hour(s), 21 minute(s), 30 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 2

Заразени процеси в паметта:

(Нямаше открити заплахи)

Заразени модули в паметта:

(Нямаше открити заплахи)

Заразени ключове в регистратурата:

(Нямаше открити заплахи)

Заразени стойности в регистратурата:

(Нямаше открити заплахи)

Заразени информационни обекти в регистратурата:

(Нямаше открити заплахи)

Заразени папки:

(Нямаше открити заплахи)

Заразени файлове:

C:\WINDOWS\system32\drivers\beep.sys (Trojan.Patched) -> No action taken.

C:\WINDOWS\system32\dllcache\beep.sys (Trojan.Patched) -> No action taken.

Редактирано 30 януари 200917 г. от petinka90 (преглед на промените)

Много добре си решила Петя! Това е FP (false positive) или погрешно засичане. Virus Researcher-ите на MBAM са уведомени и отговориха, че в следващото обновление тази грешка ще бъде коригирана. Не предприемай никакви действия, просто проверявай за нови обновления.

П.П.: Грешката е коригирана, актуализирай програма.

Редактирано 30 януари 200917 г. от Fixer (преглед на промените)

Много добре си решила Петя! Това е FP (false positive) или погрешно засичане. Virus Researcher-ите на MBAM са уведомени и отговориха, че в следващото обновление тази грешка ще бъде коригирана. Не предприемай никакви действия, просто проверявай за нови обновления.

П.П.: Грешката е коригирана, актуализирай програма.

Програмата е вече актуализирана!

Благодаря ти! Тези "спасителни" думи ми подействаха като балсам за очите...Рекох си "Не отново тройанец!".

Все пак утре ще направя един скан, за да се подсигуря => "Сигурността преди всичко!"

Браво! За нищо! Добре направи, че не го премахна. Направи, няма да ти навреди. Ако има нещо, не се притеснявай да пишеш отново тук.

@goplay89 => Деинсталирай Ashampoo Firewall и си качи някоя стена, която наистина пази и прави по-малко магарии...

Отвори Notepad и въведи:

Killall::


File::

c:\windows\system\svchost.exe

c:\windows\system32\csrsc.exe

c:\windows\system32\wtdss.exe

c:\windows\Tasks\upogffrn.job

c:\windows\system32\geBroLCr.dll


Driver::

WTDSS


Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]


sysrst::

Запази файла с име CFScript и го провлачи в иконата на ComboFix.

Да това е вирус! Появи се по коледните празници и при нас доидоха много клиенти със същия проблем.След много четене по форумите успяхме да разберем как да се премахне напълно.Първо за да си пуснеш нета поне временно влизаш в msconfig на startup забраняваш да се стартира Netstat , което е самия вирус които ти спира нета на браузарите.После си дърпаш единствената антивирусна програма (поне засега),която засича и изтрива този вирус-Avira antivir.Ъпдейтваш после пускаш scan,като самия скан го правиш с махнат лан кабел.След скана трябва да затвориш 2 порта,през които вируса пак ще се навре на компа ти о6те на пурвата секунда когато си пуснеш лан кабела.Това става като стартираш regedit.От там HKEY_LOCAL_MASHINE>SYSTEM>CurrentControlSet>Services>NetBT>Parameters>От дясно има надпис TransportBindName-Цъкаш два пъти на него и изтриваш /Device/ . Втория порт... HKEY_LOCAL_MASHINE>SOFWARE>Microsoft>Ole>От Дясно двоен клик на EnableDCOM параметъра Y го махаш и го правиш на N. Един рестарт и вече можеш да си сложиш лан кабела.Най-добре си остави Авирата да си стои,преди смятах че е доста тъпа антивирусна , но след като чрез нея съм изчистил поне 50 компа от тоя вирус ми се издигна в очите

Да това е вирус! Появи се по коледните празници и при нас доидоха много клиенти със същия проблем.След много четене по форумите успяхме да разберем как да се премахне напълно.Първо за да си пуснеш нета поне временно влизаш в msconfig на startup забраняваш да се стартира Netstat , което е самия вирус които ти спира нета на браузарите.После си дърпаш единствената антивирусна програма (поне засега),която засича и изтрива този вирус-Avira antivir.Ъпдейтваш после пускаш scan,като самия скан го правиш с махнат лан кабел.След скана трябва да затвориш 2 порта,през които вируса пак ще се навре на компа ти о6те на пурвата секунда когато си пуснеш лан кабела.Това става като стартираш regedit.От там HKEY_LOCAL_MASHINE>SYSTEM>CurrentControlSet>Services>NetBT>Parameters>От дясно има надпис TransportBindName-Цъкаш два пъти на него и изтриваш /Device/ . Втория порт... HKEY_LOCAL_MASHINE>SOFWARE>Microsoft>Ole>От Дясно двоен клик на EnableDCOM параметъра Y го махаш и го правиш на N. Един рестарт и вече можеш да си сложиш лан кабела.Най-добре си остави Авирата да си стои,преди смятах че е доста тъпа антивирусна , но след като чрез нея съм изчистил поне 50 компа от тоя вирус ми се издигна в очите

Хахах, още ли има заразени компютри. Този вирус се чисти прекалено лесно с Microsoft Malicious Software Removal Tool и дори не трябва да се спират портовете. Слага се защитна стена, става и вградената в Уиндоус, една АВ програма и работата заспива

ComboFix 09-01-31.01 - Ronksi 2009-01-31 23:25:36.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1251.1.1033.18.1023.538 [GMT -8:00]

Running from: c:\documents and settings\Ronksi\desktop\combofix.exe

Command switches used :: /killall

AV: ESET NOD32 Antivirus 3.0 *On-access scanning enabled* (Updated)

* Created a new restore point

* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\program files\IEToolbar

c:\program files\IEToolbar\Lubimi toolbar\534750-3-a.jpg

c:\program files\IEToolbar\Lubimi toolbar\basis.xml

c:\program files\IEToolbar\Lubimi toolbar\clearhist.exe

c:\program files\IEToolbar\Lubimi toolbar\icons.bmp

c:\program files\IEToolbar\Lubimi toolbar\info.txt

c:\program files\IEToolbar\Lubimi toolbar\logo.gif

c:\program files\IEToolbar\Lubimi toolbar\logotoolbar.gif

c:\program files\IEToolbar\Lubimi toolbar\Lubimitoolbar_v2.0.exe

c:\program files\IEToolbar\Lubimi toolbar\new toolbar.bat

c:\program files\IEToolbar\Lubimi toolbar\newtoolbar.bat

c:\program files\IEToolbar\Lubimi toolbar\tbhelper.dll

c:\program files\IEToolbar\Lubimi toolbar\tbs_include_script_008582.js

c:\program files\IEToolbar\Lubimi toolbar\tbs_include_script_014629.js

c:\program files\IEToolbar\Lubimi toolbar\tbs_include_script_025256.js

c:\program files\IEToolbar\Lubimi toolbar\tbs_include_script_031343.js

c:\program files\IEToolbar\Lubimi toolbar\toolbar.crc

c:\program files\IEToolbar\Lubimi toolbar\toolbar.dll

c:\program files\IEToolbar\Lubimi toolbar\toplogo.gif

c:\program files\IEToolbar\Lubimi toolbar\uninstall.exe

c:\program files\IEToolbar\Lubimi toolbar\update.exe

c:\program files\IEToolbar\Lubimi toolbar\version.txt

c:\program files\IEToolbar\Lubimi toolbar\your_logo.png

c:\windows\IE4 Error Log.txt

c:\windows\system\smsc32.exe

c:\windows\system32\drivers\sysdrv32.sys

c:\windows\system32\hellfire.exe

c:\windows\system32\i

c:\windows\system32\push.exe

c:\windows\system32\quicktime.exe

c:\windows\system32\wt.exe

c:\windows\system32\y.exe

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_SYSDRV32

-------\Service_sysdrv32

((((((((((((((((((((((((( Files Created from 2009-01-01 to 2009-02-01 )))))))))))))))))))))))))))))))

.

2009-01-28 20:02 . 2009-01-28 20:02 <DIR> d-------- c:\program files\Sagasoft

2009-01-27 18:26 . 2009-01-27 20:03 <DIR> d-------- c:\program files\MSN Messenger

2009-01-27 17:17 . 2009-01-27 17:30 <DIR> d-------- c:\documents and settings\Ronksi\Contacts

2009-01-27 16:31 . 2009-01-27 16:32 <DIR> d-------- c:\documents and settings\Ronksi\Application Data\MSNInstaller

2009-01-27 15:52 . 2009-01-27 15:52 <DIR> d-------- c:\program files\Common Files\Windows Live

2009-01-27 13:35 . 2009-01-27 13:35 <DIR> d--hs---- C:\found.000

2009-01-27 13:30 . 2009-01-27 13:30 <DIR> d-------- c:\program files\Adobe Media Player

2009-01-22 15:37 . 2009-01-31 22:34 <DIR> d-------- c:\documents and settings\multiskype.RONKSI\Application Data\Skype

2009-01-22 15:37 . 2009-01-27 13:32 <DIR> d-------- c:\documents and settings\multiskype.RONKSI

2009-01-22 12:43 . 2008-10-16 12:38 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll

2009-01-22 12:43 . 2008-10-16 12:38 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll

2009-01-22 12:43 . 2008-10-16 12:38 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll

2009-01-22 12:43 . 2008-10-16 12:38 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll

2009-01-22 12:43 . 2008-10-16 12:38 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll

2009-01-22 12:43 . 2008-10-16 05:11 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe

2009-01-22 12:42 . 2008-10-16 12:38 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll

2009-01-22 12:42 . 2007-04-17 01:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat

2009-01-22 12:42 . 2007-03-07 21:10 991,232 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui

2009-01-22 12:25 . 2009-01-22 12:24 410,984 --a------ c:\windows\system32\deploytk.dll

2009-01-17 17:41 . 2009-01-17 17:41 <DIR> d-------- c:\program files\Webteh

2009-01-17 17:41 . 2009-01-17 17:43 <DIR> d-------- c:\program files\BS.Player ControlBar

2009-01-17 17:41 . 2009-01-17 17:41 <DIR> d-------- c:\documents and settings\Ronksi\Application Data\BSplayer Pro

2009-01-17 17:41 . 2009-01-17 20:23 <DIR> d-------- c:\documents and settings\Ronksi\Application Data\BSplayer

2009-01-16 11:41 . 2009-01-16 11:41 323,584 --a------ c:\windows\system32\AUDIOGENIE2.DLL

2009-01-16 11:40 . 2009-01-16 11:40 <DIR> d-------- c:\windows\Freecorder Toolbar

2009-01-16 11:39 . 2009-01-16 11:39 <DIR> d-------- c:\windows\Replay Media Catcher

2009-01-16 11:39 . 2009-01-16 11:42 <DIR> d-------- c:\program files\Replay Media Catcher

2009-01-16 11:38 . 2009-01-16 11:38 <DIR> d-------- c:\windows\Applian FLV Player

2009-01-16 11:38 . 2009-01-16 11:43 <DIR> d-------- c:\program files\FLV Player

2009-01-14 16:56 . 2008-08-19 18:08 1,435,272 --a------ c:\windows\system32\Flash8.ocx

2009-01-12 13:24 . 2009-01-12 13:25 <DIR> d-------- c:\documents and settings\Ronksi\Application Data\Super-Cow

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-01 07:34 --------- d-----w c:\documents and settings\Ronksi\Application Data\skypePM

2009-02-01 07:34 --------- d-----w c:\documents and settings\Ronksi\Application Data\Skype

2009-02-01 07:32 --------- d-----w c:\documents and settings\Ronksi\Application Data\VoozieMaker

2009-02-01 05:57 --------- d-----w c:\program files\a-squared Anti-Malware

2009-01-30 01:06 --------- d-----w c:\documents and settings\Ronksi\Application Data\ICQ

2009-01-29 10:33 --------- d-----w c:\documents and settings\Ronksi\Application Data\Any Video Converter

2009-01-28 23:39 --------- d-----w c:\program files\multiskype

2009-01-28 04:51 --------- d-----w c:\program files\Common Files\Skype

2009-01-28 04:51 --------- d-----w c:\documents and settings\All Users\Application Data\Skype

2009-01-28 04:51 --------- d-----r c:\program files\Skype

2009-01-28 00:12 --------- d-----w c:\documents and settings\All Users\Application Data\Make A Voozie

2009-01-27 20:45 --------- d-----w c:\program files\IncrediGames

2009-01-27 20:36 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-01-23 02:35 --------- d-----w c:\program files\Winamp

2009-01-22 20:24 --------- d-----w c:\program files\Java

2009-01-19 01:10 --------- d-----w c:\program files\Favorite-Games

2009-01-15 01:37 --------- d--h--w c:\program files\InstallShield Installation Information

2009-01-13 07:00 --------- d-----w c:\program files\SA Dictionary 2004 Datacenter

2009-01-12 21:56 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-01-12 21:23 --------- d-----w c:\program files\Oberon Media

2009-01-12 02:56 --------- d-----w c:\documents and settings\Ronksi\Application Data\Flood Light Games

2009-01-12 02:56 --------- d-----w c:\documents and settings\All Users\Application Data\Flood Light Games

2009-01-09 21:45 --------- d-----w c:\documents and settings\Ronksi\Application Data\Winamp

2008-12-28 02:30 --------- d-----w c:\program files\Common Files\BOONTY Shared

2008-12-16 01:56 --------- d-----w c:\program files\ESET

2008-12-12 02:41 --------- d-----w c:\documents and settings\Ronksi\Application Data\Nokia

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 1961984]

"Magentic"="c:\progra~1\Magentic\bin\Magentic.exe" [2008-05-19 832824]

"BitComet"="c:\program files\BitComet\BitComet.exe" [2005-09-07 2600960]

"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PCSync2.exe" [2008-03-26 1232896]

"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe" [2008-04-16 1079808]

"ICQ"="c:\program files\ICQ6\ICQ.exe" [2008-09-01 173304]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"msnmsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-07 21633320]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-13 7323648]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-13 86016]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]

"Make A Voozie"="c:\documents and settings\All Users\Application Data\Make A Voozie\VoozieMaker.exe" [2008-02-20 64000]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"VMSnap3"="c:\windows\VMSnap3.EXE" [2006-08-30 49152]

"Domino"="c:\windows\Domino.EXE" [2006-06-28 49152]

"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 1443072]

"a-squared"="c:\program files\a-squared Anti-Malware\a2guard.exe" [2009-01-27 2784912]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-04-01 36352]

"nwiz"="nwiz.exe" [2005-12-13 c:\windows\system32\nwiz.exe]

"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

"RTHDCPL"="RTHDCPL.EXE" [2006-06-27 c:\windows\RTHDCPL.exe]

c:\documents and settings\All Users\Start Menu\Programs\Startup\

Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [12/13/2004 5:44:06 PM 29696]

FlexType 2K.lnk - c:\windows\Datecs\Flex2K.exe [8/8/2008 10:32:40 PM 145920]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]

2001-12-20 22:34 24576 c:\program files\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinSpooler32]

@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\BitComet\\BitComet.exe"=

"c:\\Program Files\\ICQ6\\ICQ.exe"=

"c:\\Program Files\\Magentic\\bin\\magentic_install.exe"=

"c:\\Program Files\\Magentic\\bin\\Magentic.exe"=

"c:\\Program Files\\Magentic\\bin\\MgImp.exe"=

"c:\\Program Files\\Magentic\\bin\\MgApp.exe"=

"c:\\WINDOWS\\ServicePackFiles\\i386\\tcptest.exe"=

"c:\\WINDOWS\\system32\\mmc.exe"=

"c:\\Program Files\\SopCast\\SopCast.exe"=

"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [12/21/2007 7:21:56 AM 33800]

R3 vmfilter303;vmfilter303;c:\windows\system32\drivers\vmfilter303.sys [6/9/2008 9:33:20 PM 428160]

R4 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [12/21/2007 7:21:16 AM 468224]

R4 NwSapAgent;SAP Agent;c:\windows\system32\svchost.exe -k netsvcs [8/3/2004 3:56:58 PM 14336]

S4 WinSpooler32;Windows System Memory Manager;"c:\windows\system\smsc32.exe" --> c:\windows\system\smsc32.exe [?]

.

Contents of the 'Scheduled Tasks' folder

2009-01-31 c:\windows\Tasks\User_Feed_Synchronization-{1A65FC88-7467-47E1-B9DD-5D27F270F940}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 18:36]

.

- - - - ORPHANS REMOVED - - - -

BHO-{5B191525-F44B-4D90-AE51-B4A77BEF55E7} - c:\program files\IEToolbar\Lubimi toolbar\toolbar.dll

Toolbar-{3E96C5E8-6726-4FFE-BA3D-DF8285C39B7D} - c:\program files\IEToolbar\Lubimi toolbar\toolbar.dll

WebBrowser-{F5513F84-F2CE-4B1F-9BA7-799EE30E86C7} - (no file)

WebBrowser-{3E96C5E8-6726-4FFE-BA3D-DF8285C39B7D} - c:\program files\IEToolbar\Lubimi toolbar\toolbar.dll

HKCU-Run-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exe

HKCU-Run-SightSpeed - c:\program files\SightSpeed\SightSpeed.exe

HKCU-Run-Orb - c:\program files\Winamp Remote\bin\OrbTray.exe

HKCU-Run-SMS by Jeko Ianev - c:\program files\sms\sms.exe

HKCU-Run-brastk - c:\windows\system32\brastk.exe

HKLM-Run-PCSuiteTrayApplication - c:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

HKLM-Run-BigDog303 - c:\windows\VM303_STI.EXE

.

------- Supplementary Scan -------

.

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {22A2CADE-1F4B-4E19-BC3F-24888EE7672D} = 84.238.220.1

DPF: {6CE31B8D-8340-4DBD-B78E-BF59620924DC} - hxxp://www.quest3d.com/webplugin/download/quest3dactivex2.cab

DPF: {EAC139A9-D22D-4C29-8D1C-252BE63750F9} - hxxp://piclens.com/shared/plinstll.cab

FF - ProfilePath - c:\documents and settings\Ronksi\Application Data\Mozilla\Firefox\Profiles\tb3x7mbd.default\

FF - prefs.js: browser.search.selectedEngine - Google.bg

FF - prefs.js: browser.startup.homepage - hxxp://mystart.magentic.com/

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-31 23:33:00

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

BigDog303 = c:\windows\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)????????????????0?????????@??????????????

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1343024091-261903793-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]

@Denied: (Full) (LocalSystem)

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(692)

c:\program files\AlienGUIse\fastload.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\a-squared Anti-Malware\a2service.exe

c:\windows\ATKKBService.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wscntfy.exe

c:\program files\Magentic\bin\MgApp.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe

c:\program files\AlienGUIse\AlienwareDock\ObjectDock.exe

c:\program files\PC Connectivity Solution\Transports\NclIrSrv.exe

c:\program files\Common Files\Nokia\MPAPI\MPAPI3s.exe

c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe

c:\program files\Skype\Plugin Manager\skypePM.exe

c:\program files\MSN Messenger\usnsvc.exe

.

**************************************************************************

.

Completion time: 2009-01-31 23:36:48 - machine was rebooted

ComboFix-quarantined-files.txt 2009-02-01 07:36:30

Pre-Run: 502 272 000 bytes free

Post-Run: 5,461,676,032 bytes free

249 --- E O F --- 2008-06-08 10:07:01

Извинявай за забавянето. Направи следното:

1. Отвори Notepad и чрез copy/paste постави следното:

File::

C:\found.000

c:\windows\system\smsc32.exe


Driver::

WinSpooler32


Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinSpooler32]


RegLock::

[HKEY_USERS\S-1-5-21-1343024091-261903793-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]


RegNull::

[HKEY_USERS\S-1-5-21-1343024091-261903793-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]


sysrst::

Запази файла с името CFScript.txt и го постави върху ComboFix.

След, като програмата приключи ще ти изведе лог файла. Чрез Copy/Paste постави информацията тук.

Редактирано 1 февруари 200917 г. от Fixer (преглед на промените)

ComboFix 09-01-31.01 - Ronksi 2009-02-01 12:56:23.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1251.1.1033.18.1023.520 [GMT -8:00]

Running from: c:\documents and settings\Ronksi\Desktop\ComboFix.exe

Command switches used :: c:\documents and settings\Ronksi\Desktop\CFScript.txt

AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::

C:\found.000

c:\windows\system\smsc32.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system\smsc32.exe

c:\windows\system32\drivers\sysdrv32.sys

c:\windows\system32\sysmgr.exe

c:\windows\temp\50.exe

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_SYSDRV32

-------\Legacy_WINSPOOLER32

-------\Service_sysdrv32

-------\Service_WinSpooler32

((((((((((((((((((((((((( Files Created from 2009-01-01 to 2009-02-01 )))))))))))))))))))))))))))))))

.

2009-02-01 06:30 . 2009-02-01 06:30 102,632 --a------ c:\windows\system32\msvcrt2.dll

2009-01-28 20:02 . 2009-01-28 20:02 <DIR> d-------- c:\program files\Sagasoft

2009-01-27 18:26 . 2009-01-27 20:03 <DIR> d-------- c:\program files\MSN Messenger

2009-01-27 17:17 . 2009-01-27 17:30 <DIR> d-------- c:\documents and settings\Ronksi\Contacts

2009-01-27 16:31 . 2009-01-27 16:32 <DIR> d-------- c:\documents and settings\Ronksi\Application Data\MSNInstaller

2009-01-27 15:52 . 2009-01-27 15:52 <DIR> d-------- c:\program files\Common Files\Windows Live

2009-01-27 13:35 . 2009-01-27 13:35 <DIR> d--hs---- C:\found.000

2009-01-27 13:30 . 2009-01-27 13:30 <DIR> d-------- c:\program files\Adobe Media Player

2009-01-22 15:37 . 2009-02-01 12:54 <DIR> d-------- c:\documents and settings\multiskype.RONKSI\Application Data\Skype

2009-01-22 15:37 . 2009-01-27 13:32 <DIR> d-------- c:\documents and settings\multiskype.RONKSI

2009-01-22 12:43 . 2008-10-16 12:38 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll

2009-01-22 12:43 . 2008-10-16 12:38 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll

2009-01-22 12:43 . 2008-10-16 12:38 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll

2009-01-22 12:43 . 2008-10-16 12:38 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll

2009-01-22 12:43 . 2008-10-16 12:38 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll

2009-01-22 12:43 . 2008-10-16 05:11 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe

2009-01-22 12:42 . 2008-10-16 12:38 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll

2009-01-22 12:42 . 2007-04-17 01:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat

2009-01-22 12:42 . 2007-03-07 21:10 991,232 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui

2009-01-22 12:25 . 2009-01-22 12:24 410,984 --a------ c:\windows\system32\deploytk.dll

2009-01-17 17:41 . 2009-01-17 17:41 <DIR> d-------- c:\program files\Webteh

2009-01-17 17:41 . 2009-01-17 17:43 <DIR> d-------- c:\program files\BS.Player ControlBar

2009-01-17 17:41 . 2009-01-17 17:41 <DIR> d-------- c:\documents and settings\Ronksi\Application Data\BSplayer Pro

2009-01-17 17:41 . 2009-01-17 20:23 <DIR> d-------- c:\documents and settings\Ronksi\Application Data\BSplayer

2009-01-16 11:41 . 2009-01-16 11:41 323,584 --a------ c:\windows\system32\AUDIOGENIE2.DLL

2009-01-16 11:40 . 2009-01-16 11:40 <DIR> d-------- c:\windows\Freecorder Toolbar

2009-01-16 11:39 . 2009-01-16 11:39 <DIR> d-------- c:\windows\Replay Media Catcher

2009-01-16 11:39 . 2009-01-16 11:42 <DIR> d-------- c:\program files\Replay Media Catcher

2009-01-16 11:38 . 2009-01-16 11:38 <DIR> d-------- c:\windows\Applian FLV Player

2009-01-16 11:38 . 2009-01-16 11:43 <DIR> d-------- c:\program files\FLV Player

2009-01-14 16:56 . 2008-08-19 18:08 1,435,272 --a------ c:\windows\system32\Flash8.ocx

2009-01-12 13:24 . 2009-01-12 13:25 <DIR> d-------- c:\documents and settings\Ronksi\Application Data\Super-Cow

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-01 21:03 --------- d-----w c:\documents and settings\Ronksi\Application Data\skypePM

2009-02-01 21:03 --------- d-----w c:\documents and settings\Ronksi\Application Data\Skype

2009-02-01 21:02 --------- d-----w c:\documents and settings\Ronksi\Application Data\VoozieMaker

2009-02-01 05:57 --------- d-----w c:\program files\a-squared Anti-Malware

2009-01-30 01:06 --------- d-----w c:\documents and settings\Ronksi\Application Data\ICQ

2009-01-29 10:33 --------- d-----w c:\documents and settings\Ronksi\Application Data\Any Video Converter

2009-01-28 23:39 --------- d-----w c:\program files\multiskype

2009-01-28 04:51 --------- d-----w c:\program files\Common Files\Skype

2009-01-28 04:51 --------- d-----w c:\documents and settings\All Users\Application Data\Skype

2009-01-28 04:51 --------- d-----r c:\program files\Skype

2009-01-28 00:12 --------- d-----w c:\documents and settings\All Users\Application Data\Make A Voozie

2009-01-27 20:45 --------- d-----w c:\program files\IncrediGames

2009-01-27 20:36 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-01-23 02:35 --------- d-----w c:\program files\Winamp

2009-01-22 20:24 --------- d-----w c:\program files\Java

2009-01-19 01:10 --------- d-----w c:\program files\Favorite-Games

2009-01-15 01:37 --------- d--h--w c:\program files\InstallShield Installation Information

2009-01-13 07:00 --------- d-----w c:\program files\SA Dictionary 2004 Datacenter

2009-01-12 21:56 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-01-12 21:23 --------- d-----w c:\program files\Oberon Media

2009-01-12 02:56 --------- d-----w c:\documents and settings\Ronksi\Application Data\Flood Light Games

2009-01-12 02:56 --------- d-----w c:\documents and settings\All Users\Application Data\Flood Light Games

2009-01-09 21:45 --------- d-----w c:\documents and settings\Ronksi\Application Data\Winamp

2008-12-28 02:30 --------- d-----w c:\program files\Common Files\BOONTY Shared

2008-12-16 01:56 --------- d-----w c:\program files\ESET

2008-12-12 02:41 --------- d-----w c:\documents and settings\Ronksi\Application Data\Nokia

.

((((((((((((((((((((((((((((((((((((((( System Restore )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\program files\IEToolbar\Lubimi toolbar\clearhist.exe

2007-09-19 03:50 53248 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149654.exe

c:\program files\IEToolbar\Lubimi toolbar\Lubimitoolbar_v2.0.exe

2009-01-22 16:25 937826 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149656.exe

c:\program files\IEToolbar\Lubimi toolbar\new toolbar.bat

2009-01-12 17:40 408 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149657.bat

c:\program files\IEToolbar\Lubimi toolbar\newtoolbar.bat

2009-01-13 09:58 421 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149658.bat

c:\program files\IEToolbar\Lubimi toolbar\tbhelper.dll

2007-10-18 05:51 339968 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149659.dll

c:\program files\IEToolbar\Lubimi toolbar\toolbar.dll

2007-10-18 05:51 2265088 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149660.dll

c:\program files\IEToolbar\Lubimi toolbar\uninstall.exe

2007-09-19 03:50 49152 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149661.exe

c:\program files\IEToolbar\Lubimi toolbar\update.exe

2007-09-28 06:20 77824 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149662.exe

c:\windows\system\smsc32.exe

2009-01-30 23:03 25600 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149663.exe

2009-02-01 06:30 25600 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP288\A0150733.exe

c:\windows\system32\drivers\sysdrv32.sys

2009-01-30 23:03 11656 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149655.sys

2009-02-01 06:30 11656 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP288\A0150734.sys

c:\windows\system32\hellfire.exe

2008-12-07 20:15 0 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149665.exe

c:\windows\system32\push.exe

2009-01-03 18:45 0 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149666.exe

c:\windows\system32\quicktime.exe

2008-12-09 23:01 0 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149667.exe

c:\windows\system32\sysmgr.exe

2009-02-01 06:30 65015 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP288\A0150735.exe

c:\windows\system32\wt.exe

2008-12-01 20:42 0 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149668.exe

c:\windows\system32\y.exe

2008-11-23 10:19 0 {2832C248-D63B-46EC-9930-4AC49DF0F0E3}\RP287\A0149669.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 1961984]

"Magentic"="c:\progra~1\Magentic\bin\Magentic.exe" [2008-05-19 832824]

"BitComet"="c:\program files\BitComet\BitComet.exe" [2005-09-07 2600960]

"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PCSync2.exe" [2008-03-26 1232896]

"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe" [2008-04-16 1079808]

"ICQ"="c:\program files\ICQ6\ICQ.exe" [2008-09-01 173304]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"msnmsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-07 21633320]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-13 7323648]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-13 86016]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]

"Make A Voozie"="c:\documents and settings\All Users\Application Data\Make A Voozie\VoozieMaker.exe" [2008-02-20 64000]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"VMSnap3"="c:\windows\VMSnap3.EXE" [2006-08-30 49152]

"Domino"="c:\windows\Domino.EXE" [2006-06-28 49152]

"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 1443072]

"a-squared"="c:\program files\a-squared Anti-Malware\a2guard.exe" [2009-01-27 2784912]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-04-01 36352]

"nwiz"="nwiz.exe" [2005-12-13 c:\windows\system32\nwiz.exe]

"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

"RTHDCPL"="RTHDCPL.EXE" [2006-06-27 c:\windows\RTHDCPL.exe]

c:\documents and settings\All Users\Start Menu\Programs\Startup\

Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [12/13/2004 5:44:06 PM 29696]

FlexType 2K.lnk - c:\windows\Datecs\Flex2K.exe [8/8/2008 10:32:40 PM 145920]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]

2001-12-20 22:34 24576 c:\program files\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\BitComet\\BitComet.exe"=

"c:\\Program Files\\ICQ6\\ICQ.exe"=

"c:\\Program Files\\Magentic\\bin\\magentic_install.exe"=

"c:\\Program Files\\Magentic\\bin\\Magentic.exe"=

"c:\\Program Files\\Magentic\\bin\\MgImp.exe"=

"c:\\Program Files\\Magentic\\bin\\MgApp.exe"=

"c:\\WINDOWS\\ServicePackFiles\\i386\\tcptest.exe"=

"c:\\WINDOWS\\system32\\mmc.exe"=

"c:\\Program Files\\SopCast\\SopCast.exe"=

"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [12/21/2007 7:21:56 AM 33800]

R3 vmfilter303;vmfilter303;c:\windows\system32\drivers\vmfilter303.sys [6/9/2008 9:33:20 PM 428160]

R4 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [12/21/2007 7:21:16 AM 468224]

R4 NwSapAgent;SAP Agent;c:\windows\system32\svchost.exe -k netsvcs [8/3/2004 3:56:58 PM 14336]

.

Contents of the 'Scheduled Tasks' folder

2009-02-01 c:\windows\Tasks\User_Feed_Synchronization-{1A65FC88-7467-47E1-B9DD-5D27F270F940}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 18:36]

.

- - - - ORPHANS REMOVED - - - -

HKLM-Run-Microsoft® System Manager - c:\windows\system32\sysmgr.exe

.

------- Supplementary Scan -------

.

uStart Page = hxxp://mystart.magentic.com/english/

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {22A2CADE-1F4B-4E19-BC3F-24888EE7672D} = 84.238.220.1

DPF: {6CE31B8D-8340-4DBD-B78E-BF59620924DC} - hxxp://www.quest3d.com/webplugin/download/quest3dactivex2.cab

DPF: {EAC139A9-D22D-4C29-8D1C-252BE63750F9} - hxxp://piclens.com/shared/plinstll.cab

FF - ProfilePath - c:\documents and settings\Ronksi\Application Data\Mozilla\Firefox\Profiles\tb3x7mbd.default\

FF - prefs.js: browser.search.selectedEngine - Google.bg

FF - prefs.js: browser.startup.homepage - hxxp://mystart.magentic.com/

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-01 13:03:02

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

c:\windows\TEMP\HTT50.tmp 2141 bytes

scan completed successfully

hidden files: 1

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(700)

c:\program files\AlienGUIse\fastload.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\a-squared Anti-Malware\a2service.exe

c:\windows\ATKKBService.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wscntfy.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe

c:\program files\PC Connectivity Solution\Transports\NclIrSrv.exe

c:\program files\Common Files\Nokia\MPAPI\MPAPI3s.exe

c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe

c:\program files\MSN Messenger\usnsvc.exe

.

**************************************************************************

.

Completion time: 2009-02-01 13:06:14 - machine was rebooted

ComboFix-quarantined-files.txt 2009-02-01 21:05:58

Pre-Run: 5,371,645,952 bytes free

Post-Run: 5,541,007,360 bytes free

243 --- E O F --- 2008-06-08 10:07:01

ок направих го и това обаче пак иконата на експлорера както ти бях написала се смени с друга и като цукна на старата ми излиза това което излиза като цукнеш пропъртис не знам защо така става и пак прозорците и старт лентата ми се прецакаха и станаха обикновенни .... хмм а и преди малко гледах филм и НОД-а пак показа тфа с цифрите което първоначално бях пуснала което наподобява ИП явно с това което правиме проблема не се отстранява И ако може да ми обясниш какво ми трие секи път ще съм ти благодарна щото малко ме притеснява така като не знам какво става

Редактирано 1 февруари 200917 г. от ronksi (преглед на промените)

Лошо, лошо.... прозорците и лентата ще ги оправим накрая това е най-малкият ти проблем.

Направи отново, същото което ти обясних с разликата, че този път в Notepad ще поставиш:

KillAll::


File::

C:\WINDOWS\system32\msvcrt2.dll


Rootkit::

c:\windows\TEMP\HTT50.tmp

След, като приключиш с това, отново ще поставиш лог файла тук, за да го прегледаме.

След ComboFix:

1. Спри System Restore:

Дясно кликване на MyComputer -> Properties -> "System Restore" tab. Сложете отметка на Turn off system restore и потвърдете с Apply. Сега махнете отметката от Turn off system restore и потвърдете с ОК.

2. Влез в MalwareBytes' Anti-Malware, отиди на Update и кликни Check for updates.

3. Отново в MalwareBytes' Anti-Malware, отиди на Scanner и сложи отметка на Perform a quick scan и избери Scan. Накрая избери Remove Selected. Ще ти отвори и Notepad, копирай съдържанието му и го постави в следващия си пост, заедно с лога от ComboFix.

Лошо, лошо.... прозорците и лентата ще ги оправим накрая това е най-малкият ти проблем.

Направи отново, същото което ти обясних с разликата, че този път в Notepad ще поставиш:

KillAll::


File::

C:\WINDOWS\system32\msvcrt2.dll


Rootkit::

c:\windows\TEMP\HTT50.tmp

След, като приключиш с това, отново ще поставиш лог файла тук, за да го прегледаме.

След ComboFix:

1. Спри System Restore:

2. Влез в MalwareBytes' Anti-Malware, отиди на Update и кликни Check for updates.

3. Отново в MalwareBytes' Anti-Malware, отиди на Scanner и сложи отметка на Perform a quick scan и избери Scan. Накрая избери Remove Selected. Ще ти отвори и Notepad, копирай съдържанието му и го постави в следващия си пост, заедно с лога от ComboFix.

ок до тук вси1ко ми е ясно само не мога да намеря това MalwareBytes къде се намира а на мене malware-a ми е на бг ако е от самата програма да вляза ок ама иначе не мога да зацепя къде да търся тфа MalwareBytes нали съм индианец и малко бавно става с мене .... ако ти се занимава ако искаш пиши на скайп че май там по-бързичко ще стане работата още веднъж благодаря че ми помагаш

Редактирано 1 февруари 200917 г. от ronksi (преглед на промените)

Говоря ти за тази програма?

Аз за нея ти обяснявам.

ами сладур аз тая програма я нямам аз имам a-squared Anti-Malware и нямам представа от къде да го намеря това което ти ми пускаш ако знаеш от къде да я сваля ок ама аз даже не съм я виждала до сега