google-analytics.pbtgr.ru/pdf.php?id=48462

http://4storing.com/93thk/9663d774c720b123a4dbd0a43315663d.html

стартирах го, бял лист. Комодо и НОД32 не реагираха. Заразен ли съм?

Според мен може да не си заразен, това е експлоит. Не винаги е толкова опасно, зависи от много обстоятелства.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:09:16, on 24.1.2009 a.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Office Mouse\moffice.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

C:\Program Files\Office Mouse\MOUSE32A.DAT

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

E:\Programs\sc\sc\scrnstcr.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\diksan\Desktop\програми\HiJackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Office Mouse\moffice.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [KillCopy] "C:\WINDOWS\system32\killcopy.exe" /kcresume /startup

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - S-1-5-18 Startup: Orbit.lnk = C:\Program Files\Orbitdownloader\orbitdm.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: Orbit.lnk = C:\Program Files\Orbitdownloader\orbitdm.exe (User 'Default user')

O4 - .DEFAULT User Startup: Orbit.lnk = C:\Program Files\Orbitdownloader\orbitdm.exe (User 'Default user')

O4 - Startup: Пряк път до ntosboot1.lnk = C:\ntosboot1.bat

O4 - Startup: Пряк път до optisprint.lnk = ?

O4 - Startup: Пряк път до VCool.lnk = C:\Program Files\vc\VCool.exe

O4 - Global Startup: Bluetooth.lnk = ?

O4 - Global Startup: EPSON Status Monitor 3 Environment Check(4).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV04.EXE

O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202

O17 - HKLM\System\CCS\Services\Tcpip\..\{FA20E8C3-1189-4DE0-97AA-B41D82E3E566}: NameServer = 10.0.0.10

O17 - HKLM\System\CCS\Services\Tcpip\..\{FFBD3ACD-3F31-46DD-BFBC-7DAEFA5D14EC}: NameServer = 10.0.0.10,10.10.0.100

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: McAfee Application Installer Cleanup (0212041229777598) (0212041229777598mcinstcleanup) - Unknown owner - C:\DOCUME~1\diksan\LOCALS~1\Temp\021204~1.EXE (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe


--

End of file - 6870 bytes

Не виждам да има нещо опасно.

King_Of_Kings, отвори HiJackThis, избери Do a system scan only и сложи отметки на следните редове:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O23 - Service: McAfee Application Installer Cleanup (0212041229777598) (0212041229777598mcinstcleanup) - Unknown owner - C:\DOCUME~1\diksan\LOCALS~1\Temp\021204~1.EXE (file missing)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

Предлагам ти да деинсталираш и Adobe Acrobat, защото е стара версия, а някои продукти на Adobe са доста уязвими, като Reader/Acrobat, затова е хубаво да си с актуална версия.

Притеснява ме това:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

Ако желаеш на ЛС ще ти пиша какви логове да дадеш да видим дали няма нещо.

http://safeweb.norton.com/ тази американска публична възможност за информиране не винаги съдържа последните актуални данни. В случая резултатите "впечатляват" http://www.virustotal.com/analisis/5049118...39ed13c07f97f09 http://www.virscan.net/report/769924931e54...9565026fa9.html http://scanner.virus.org/scan/AhjW2HIxg/58...334c082122453d1 Поздрави

Редактирано 24 януари 200917 г. от TNN (преглед на промените)

Nikssi, тази американска публична възможност за информиране не винаги съдържа последните актуални данни. В случая резултатите "впечатляват" http://www.virustotal.com/analisis/5049118...39ed13c07f97f09 http://www.virscan.net/report/769924931e54...9565026fa9.html http://scanner.virus.org/scan/AhjW2HIxg/58...334c082122453d1 Поздрави

Диксън с 2 антивирусни ли си?или се бъркам.Сега ще прегледам лога ти от HJT

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet

Nikssi, тази американска публична възможност за информиране не винаги съдържа последните актуални данни. В случая резултатите "впечатляват" http://www.virustotal.com/analisis/5049118...39ed13c07f97f09 http://www.virscan.net/report/769924931e54...9565026fa9.html http://scanner.virus.org/scan/AhjW2HIxg/58...334c082122453d1 Поздрави

Защо ли виждам проблем със стартирането на опасният файл

Диксън с 2 антивирусни ли си?или се бъркам.Сега ще прегледам лога ти от HJT

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet

Остави мисленето за мен!

Тъй като си много запознат с Comodo би трябвало да знаеш, че вече и CIS (Comodo Internet Security), и CF (Comodo Firewall) са под това име - Comodo Internet Security. Странно е, но така стоят нещата.

Случаят на King of Kings е разрешен, почистихме някои работи и сега вече е наистина чист, а виновника за неговото положение е бронирания CIS. Ще разочарован феновете му, че защитата без дефиниции, не е никаква защита.

Trojan/Worm------>>>>E:\Programs\sc\sc\scrnstcr.exe

Това е от мен друго нямаш...

П.П. Fixer <НЕ ПИТАМ ТЕБ> Пак ли се бараш за разбирач не не съм запознат с Комодо и нямам намерение да се запознавам.

Редактирано 24 януари 200917 г. от [Mpower] (преглед на промените)

Trojan/Worm------>>>>E:\Programs\sc\sc\scrnstcr.exe

Това е от мен друго нямаш...

Това е и най-добрите се дънят и това ако не е съвпадение май ще си сменям подписа и защитата.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:41:44, on 24.1.2009 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

Running processes:

C:\WINDOWS\scrnstcr.exe

Това от къде се взе нямам представа признавам си.

http://www.virustotal.com/analisis/2b205f8...7fe7cd2d6f58bd9

Редактирано 24 януари 200917 г. от tanganika (преглед на промените)

Не се подлъгвайте от "знанията" на Mpower, файлът е легитимен. Това, че ThreatExperts го намират в 50% от случаите, като Worm/Trojan не значи, че всички са такива.

П.П.: Просто не си намерил човека, с който да си сравняваш "знанията". Не подлъгвай хората така. Иначе да те оставя да заблуждаваш хората - няма да стане.

Редактирано 24 януари 200917 г. от Fixer (преглед на промените)

Ти по голям Експерт ли си от хората в ThreatExperts?Тенекиена главо.

Виж сега злетако: По принцип файлът е легитимен. Има вируси/заплахи, които го подменят или инжектират зловреден код в него, тогава файлът наистина е опасен. За да определиш дали наистина е опасен или не трябва да го провериш? Ти провери ли файла на King of Kings - не, аз проверих ли файла - да. Нямам нищо против ThreatExperts, наистина имат висококвалифицирани специалисти.

По твоята логика, всеки който има файла е заразен. Чакай малко......

Диксън с 2 антивирусни ли си?или се бъркам.Сега ще прегледам лога ти от HJT

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet

Не познавам този човек и не ползвам този метод - поради наличие на по-бързи решения, за които не бих спорил дали са по-добри... Вероятно не са - като всяка бърза работа... Поздрави

Отново си изключително прост и не ме изненадваш. Аз съм бета тестър на една такава програма:

http://uhash.mivanov.org/

Изтегли си програмата и отвори readme файла.

И какво, като съм чувал за тях? Много добре ти обясних как стоят нещата, защо се правиш на интересен не мога да разбера? Показах ти на какво ниско ниво са твоите жалка имитация на знания.

http://4storing.com/ykiwh/c9cfed209af4a542...c2c2e75549.html

http://www.freesoft.ru/file.html?id=670464&url=rep/670464/CFP_Setup_English_Russian_2.4.16.174.exe

открит: вирус Net-Worm.Win32.CodeRed.h	URL: hxxp://s14l1.4storing.com/-/23JLPEADGBSA7EN753NVSXZKWLKNHMZMJINWG2V25WSCYXKA3L5MLRGPQVH2S4PXUTODPO2PO2RBKXDI

YREXYUW4TH342MMSBOWPW2Q64AQE5C3WP63HPKESJE2YJHX7CE24V2BN3RI2OJYOXBDGG6UXTPUHJDR2

A

6QYLQISJGA4PN6YSEM5EYOWKCAFE3LNLUBIJXVAZEEJA7QTZ5HGNOC6JQTQCG7S6YCP3LP373EGZ2WDN

Z

YXBQWLLANOOAPLQ3R4AIPJNW5KIPHS3ENT5EP4QDN3YLJWN36FPUC4HTJI37XV2F5KJOTDOV2QE3OKFY

7

CCAYXE7AXC/CFP_Setup_English_Russian_2.4.16.174.exe

VIRUSTOTAL

Редактирано 24 януари 200917 г. от mihnev_sz (преглед на промените)

[Mpower] - не ти ли писна да се заяждаш?

[Mpower] - не ти ли писна да се заяждаш?

На него май не,ама на много други -да.

Показвам ти, че участвам в такъв проект и съм запознат. Знам и други, просто не са ми влизали в употреба. Това, което съм научил и прилагам дава добри резултати, така че не виждам какъв е проблема. И какво като съм казал да сканират в Safe Mode? Ето ти режим Safe Mode With Networking:

http://img228.imageshack.us/img228/1292/safemode1zc1.jpg

http://img132.imageshack.us/img132/9766/safemode2uw0.jpg

Програмата си работи чудесно, очаквам да потънеш в земята, но като се замисля ти до сега от тъпотиите, които написа не потъна в земята от срам, а сега ще потънеш....

Пратих го - да. Kaspersky го засича, затова смятам за редно да ги уведомя. А и затова е вирусната лаборатория. Жалко, че и ти не го правиш....

На него май не,ама на много други -да.

Да правилно а,сега да видиме отговора от Касперски Лаб

Здравствуйте.

Это было ошибочное срабатывание.

Оно будет исправлено.

Бих желал да видя и отговора от Есет.И ако и той е отрицателен какво остава за най ловящите от темата Икарус и Квадрат

[Mpower] спри СПАМА ако обичаш.Не е бит базар а форум и по леко с изразите.

a-squared Free - Версия 4.0

Последно обновяване: 24.1.2009 г. 17:58:30

Настройки на проверката:

Обекти: Памет, Следи, Бисквитки, C:\, D:\

Проверка на архиви: Включено

Евристика: Включено

ADS Проверка: Включено

Начало на проверката: 24.1.2009 г. 17:58:40

D:\My Virtual Machines\Windows XP SP3\Windows XP SP3 Hard Disk.vhd Открити: Trojan-PWS.Win32.LdPinch!IK

D:\nikssi\Windows XP SP3 Hard Disk.vhd Открити: Trojan-PWS.Win32.LdPinch!IK

Какъв е този троянец http://www.microsoft.com/windows/products/...c/overview.mspx

Затова казвам,че тази програма дава много фалшиви аларми Сега ще кажете,че е проверил вътре и файловете

Моля спестете си го

Преди ми намери nLite за троянец,сега пък и това Внимателно с нея.

Някой ще ме светне ли какво е това,че пак зациклих

Редактирано 24 януари 200917 г. от nikssi (преглед на промените)

.................

Какъв е този троянец http://www.microsoft.com/windows/products/...c/overview.mspx

Затова казвам,че тази програма дава много фалшиви аларми Сега ще кажете,че е проверил вътре и файловете

Моля спестете си го

Преди ми намери nLite за троянец,сега пък и това Внимателно с нея.

Някой ще ме светне ли какво е това,че пак зациклих

Странно, при сканиране на същия файл при мен такъв троянец няма. Снимка:

Изключи System Restore на виртуалната машина, направи Disk Cleanup с разширено почистване (Мore Options ->System Restore). Ако това няма ефект, може да деинсталираш и отново да инсталираш Vitual PC.

Пращането на файлове е отживелица за Симантек,те си имат роботи подобни на GOOGLE които сканират сайтовете всичко е автоматика,а също си има и форум в който до минути след като си дал адрес се сканира целия сайт.

Пращането на файлове е за юсерите на Нод и сие.

Аве образ.Ти нали инсталира Касперски не видя ли лицензионното спорозумение?При Есет е подобен начина на действие

Странно, при сканиране на същия файл при мен такъв троянец няма. Снимка:

Изключи System Restore на виртуалната машина, направи Disk Cleanup с разширено почистване (Мore Options ->System Restore). Ако това няма ефект, може да деинсталираш и отново да инсталираш Vitual PC.

NOLOGO не аз имам проблем а квадратурата...Файла е чист и не е виждал нито нет,нито някакъв файл Четворката нещо изпушва

http://www.virscan.net/report/cdcb8edfb9d5...14c1657cdf.html Случаен случай - за да разгледате в коя група се намират австрийските програми и къде е ползвания засега и от мен Касперски... Това много често се повтаря и мога да посоча още много подобни случаи. Не упреквайте отличници заради слепотата на незрящите - ако има желаещи - започваме съвместно "доизясняване"... Поздрави

http://www.virscan.net/report/cdcb8edfb9d5...14c1657cdf.html Случаен случай - за да разгледате в коя група се намират австрийските програми и къде е ползвания засега и от мен Касперски... Това много често се повтаря и мога да посоча още много подобни случаи. Не упреквайте отличници заради слепотата на незрящите - ако има желаещи - започваме съвместно "доизясняване"... Поздрави

Какво става сега? Вярваме на Вирус Тотал и подобните му сайтове ли? С настройките ли имаш проблем?

Редактирано 24 януари 200917 г. от nikssi (преглед на промените)

Нещо Nikssi не усети - не съм посочил мястото от къде съм го изтеглил -има различни файлове - но те вече наваксват - нали ползвам програмата им... Няма лошо. Поздрави

CWSandbox Version: 2.0.42

Analysis Summary

CWSandbox Version: 2.0.42

Time: 5/8/2008 1:36:00 PM

MD5: 1d979f47c65ba2b4b84404ef8412b8ac

SHA1: f5f49c2a778d57bd7c1b2b94de19054f3a311872

IP Locator 2008.exe

Нещо Nikssi не усети - не съм посочил мястото от къде съм го изтеглил -има различни файлове - но те вече наваксват - нали ползвам програмата им... Няма лошо. Поздрави

Ами говориш празни приказки. Дай линк към файла стига извърта така