Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Препоръчан отговор


mswsivs.exe ми се стартира почти всеки път когато рестаритам Windows Xp SP3 даже и след като сам го махнал от стартъп и още един странен проблем дропва ми се VPN-a след известно време и не иска да се свърже, и таскбара ми се сменя от XP- тема на Класик. След рестарт се оправя за изввстно време но проблема се появява пак след около 15- 20 мин

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Прочети тази тема: http://www.kaldata.com/forums/index.php?showtopic=102469 и дай да видим лог-а от HiJackThis.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:45:01, on 02.3.2009 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\mswsivs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Vypress Chat\VyChat.exe

C:\WINDOWS\system32\mswsivs.exe

C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system\svhost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mswsivs.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [d80f904d] rundll32.exe "C:\WINDOWS\system32\iasbfncx.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Vypress Chat StartUp.lnk = ?

O8 - Extra context menu item: Е&кспортирай в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{354DBD9E-E8B2-4A7D-BEA9-1F3B531DFA19}: NameServer = 192.168.111.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{354DBD9E-E8B2-4A7D-BEA9-1F3B531DFA19}: NameServer = 192.168.111.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{354DBD9E-E8B2-4A7D-BEA9-1F3B531DFA19}: NameServer = 192.168.111.1

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Network Monitor service (MSNETDED) - Unknown owner - C:\WINDOWS\system\svhost.exe

O23 - Service: Microsoft Windows Server IP Verification Service (MSWSIVS) - Tune - C:\WINDOWS\system32\mswsivs.exe

--

End of file - 3318 bytes

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Стъпка 1:

Определено е паразит :yanim:

Стартирай HijackThis и избери Do a system scan only !

Маркирай следните редове и избери Fix Checked:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mswsivs.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [d80f904d] rundll32.exe "C:\WINDOWS\system32\iasbfncx.dll",b

O23 - Service: Microsoft Windows Server IP Verification Service (MSWSIVS) - Tune - C:\WINDOWS\system32\mswsivs.exe

Стъпка 2:

1. Спри временно защитата в реално време на антивирусната си програма (ако имаш такава)!

2. Изтегли ComboFix

3. Отвори Notepad и въведи:

Killall::


Driver::

MSWSIVS


File::

C:\WINDOWS\system\svhost.exe

C:\WINDOWS\system32\mswsivs.exe

C:\WINDOWS\system32\prx.log 


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Windows Server IP Verification Service"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Windows Server IP Verification Service"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"44634:TCP"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\mswsivs.exe"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSWSIVS]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSWSIVS]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWSIVS]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWSIVS]

Запази файла с име CFScript и го провлачи в иконата на Combofix.

cfscriptyr1.gif

Публикувай лог файла.

Стъпка 3:

Провери с Malwarebytes Anti-Malware 1.34 и SUPERAntiSpyware 4.25.0.1014 Beta и публикувай логовете.

PS: логовете на SUPERAntispyware се намират в Preferences => Statistics/Logs.

За финал изтегли HostsXpert.

Разархивирай програмата и стартирай файла HostsXpert.exe и натисни Make Hosts Writable

Сега натисни Restore MS Hosts File и потвърди с YES.

Затвори приложението.

Редактирано от B-boy[StyLe] (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Стъпка 1:

Определено е паразит :nono:

Стартирай HijackThis и избери Do a system scan only !

Маркирай следните редове и избери Fix Checked:

Стъпка 2:

1. Спри временно защитата в реално време на антивирусната си програма (ако имаш такава)!

2. Изтегли ComboFix

3. Отвори Notepad и въведи:

Killall::


Driver::

MSWSIVS


File::

C:\WINDOWS\system\svhost.exe

C:\WINDOWS\system32\mswsivs.exe

C:\WINDOWS\system32\prx.log 


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Windows Server IP Verification Service"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Windows Server IP Verification Service"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"44634:TCP"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\mswsivs.exe"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSWSIVS]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSWSIVS]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWSIVS]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWSIVS]

Запази файла с име CFScript и го провлачи в иконата на Combofix.

cfscriptyr1.gif

Публикувай лог файла.

Стъпка 3:

Провери с Malwarebytes Anti-Malware 1.34 и SUPERAntiSpyware 4.25.0.1014 Beta и публикувай логовете.

PS: логовете на SUPERAntispyware се намират в Preferences => Statistics/Logs.

За финал изтегли HostsXpert.

Разархивирай програмата и стартирай файла HostsXpert.exe и натисни Make Hosts Writable

Сега натисни Restore MS Hosts File и потвърди с YES.

Затвори приложението.

ComboFix 09-03-01.01 - lutfi 2009-03-02 18:39:38.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1251.1.1033.18.511.238 [GMT 2:00]

Running from: c:\documents and settings\lutfi\Desktop\ComboFix.exe

Command switches used :: c:\documents and settings\lutfi\Desktop\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::

c:\windows\system\svhost.exe

c:\windows\system32\mswsivs.exe

c:\windows\system32\prx.log

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\mswsivs.exe

c:\windows\system32\prx.log

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_MSWSIVS

((((((((((((((((((((((((( Files Created from 2009-02-02 to 2009-03-02 )))))))))))))))))))))))))))))))

.

2009-03-02 18:28 . 2009-03-02 18:28 548,864 --a------ c:\windows\system32\24.scr

2009-03-02 18:28 . 2009-03-02 18:28 61,523 --a------ c:\windows\system32\77.scr

2009-03-02 18:11 . 2009-03-02 18:11 61,523 --a------ c:\windows\system32\73.scr

2009-03-02 17:49 . 2009-03-02 17:50 548,864 --a------ c:\windows\system32\65.scr

2009-03-02 17:44 . 2009-03-02 17:44 <DIR> d-------- c:\program files\Trend Micro

2009-03-02 17:28 . 2009-01-18 23:30 64,160 --a------ c:\windows\system32\drivers\Lbd.sys

2009-03-02 17:27 . 2009-03-02 17:27 <DIR> d-------- c:\program files\Lavasoft

2009-03-02 17:27 . 2009-03-02 17:27 <DIR> d-------- c:\documents and settings\All Users\Application Data\Lavasoft

2009-03-02 17:27 . 2009-03-02 17:27 <DIR> d--h-c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-03-02 17:26 . 2009-03-02 17:27 548,864 --a------ c:\windows\system32\16.scr

2009-03-02 15:35 . 2009-03-02 15:35 <DIR> d-------- c:\documents and settings\lutfi\Application Data\uTorrent

2009-03-02 15:26 . 2009-03-02 15:26 <DIR> d-------- c:\documents and settings\lutfi\Application Data\VyPRESS

2009-03-02 15:24 . 2009-03-02 15:24 <DIR> d-------- c:\documents and settings\lutfi\Application Data\GRETECH

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-02 13:38 --------- d-----w c:\program files\Common Files\Adobe

2009-03-02 13:37 --------- d-----w c:\program files\MSN Messenger

2009-03-02 13:36 --------- d-----w c:\program files\Winamp

2009-03-02 13:35 --------- d-----w c:\program files\uTorrent

2009-03-02 13:34 94,636 ----a-w c:\windows\dropcpyr.dll

2009-03-02 13:34 73,728 ----a-w c:\windows\copyfstq.exe

2009-03-02 13:34 --------- d-----w c:\program files\Unlocker

2009-03-02 13:34 --------- d-----w c:\program files\Skype

2009-03-02 13:34 --------- d-----w c:\documents and settings\All Users\Application Data\Skype

2009-03-02 13:32 --------- d-----w c:\program files\MozBackup

2009-03-02 13:26 --------- d-----w c:\program files\Vypress Chat

2009-03-02 13:24 --------- d-----w c:\program files\K-Lite Codec Pack

2009-03-02 13:24 --------- d-----w c:\program files\GRETECH

2009-03-02 13:24 --------- d-----w c:\documents and settings\All Users\Application Data\GRETECH

2009-03-02 13:21 --------- d-----w c:\program files\Common Files\Ahead

2009-03-02 13:21 --------- d-----w c:\program files\Ahead

2009-03-02 13:18 --------- d-----w c:\program files\MSBuild

2009-03-02 13:15 --------- d-----w c:\program files\Reference Assemblies

2009-03-02 12:58 --------- d-----w c:\program files\Realtek

2009-03-02 12:56 --------- d-----w c:\program files\DIFX

2009-03-02 12:52 4,501 ----a-w c:\windows\gdrv.sys

2009-03-02 12:52 --------- d-----w c:\program files\Common Files\InstallShield

2009-03-02 12:50 --------- d-----w c:\documents and settings\lutfi\Application Data\ATI

2009-03-02 12:45 --------- d-----w c:\program files\Common Files\ATI Technologies

2009-03-02 12:44 --------- d-----w c:\program files\ATI Technologies

2009-03-02 12:26 --------- d-----w c:\program files\microsoft frontpage

2007-11-28 19:20 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll

2007-11-28 19:20 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll

2007-11-28 19:20 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll

2007-11-28 19:20 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll

2007-11-28 19:20 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Start Menu\Programs\Startup\

Vypress Chat StartUp.lnk - c:\windows\Installer\{32230531-F971-468F-9BD4-7C3369F3468B}\iconVCAdvertised.exe [2009-03-02 12390]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=dxmdhy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.divxa32"= msaud32_divx.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]

@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]

--a------ 2009-03-02 17:48 509784 c:\program files\Lavasoft\Ad-Aware\AAWTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2007-05-11 03:06 40048 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

--a------ 2006-01-02 17:41 45056 c:\program files\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

--a------ 2005-05-03 18:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Resume copy]

--a------ 2009-03-02 15:34 73728 c:\windows\copyfstq.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

--a------ 2006-08-14 14:00 16050176 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

--a------ 2006-05-16 18:04 2879488 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wuauserv"=2 (0x2)

"usnjsvc"=3 (0x3)

"Dot3svc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\uTorrent\\utorrent.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-03-02 64160]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]

S2 MSNETDED;Network Monitor service;"c:\windows\system\svhost.exe" --> c:\windows\system\svhost.exe [?]

.

Contents of the 'Scheduled Tasks' folder

2009-03-02 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-02 17:49]

.

- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-Microsoft Windows Server IP Verification Service - c:\windows\system32\mswsivs.exe

.

------- Supplementary Scan -------

.

uStart Page = about:blank

IE: Е&кспортирай в Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\lutfi\Application Data\Mozilla\Firefox\Profiles\s4fx1b60.default\

FF - prefs.js: browser.startup.homepage - hxxp://192.168.111.77

FF - component: c:\documents and settings\lutfi\Application Data\Mozilla\Firefox\Profiles\s4fx1b60.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll

FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-02 18:41:59

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(732)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Other Running Processes ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\system32\ati2evxx.exe

c:\program files\Vypress Chat\VyChat.exe

c:\windows\system32\wbem\unsecapp.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Completion time: 2009-03-02 18:43:31 - machine was rebooted

ComboFix-quarantined-files.txt 2009-03-02 16:43:21

ComboFix2.txt 2009-03-02 16:35:54

Pre-Run: 9 542 967 296 bytes free

Post-Run: 9,508,323,328 bytes free

172


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Повтори стъпките, но сега в Notepad въведи това:

Killall::


Driver::

MSNETDED


Rootkit::

c:\windows\system\svhost.exe 


File::

c:\windows\system32\24.scr

c:\windows\system32\77.scr

c:\windows\system32\73.scr

c:\windows\system32\65.scr

c:\windows\system32\16.scr


DirLooK::

c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}


Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]

Запази файла с име CFScript и го провлачи в Combofix.

Публикувай новия лог.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

@ludfen и си инсталирай антивирусна програма.Разгледай раздела има много писано, както за безплатни, така и платени решения.

Lavasoft\Ad-Aware,която имаш инсталирана е anti-spyware програма.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
@ludfen и си инсталирай антивирусна програма.Разгледай раздела има много писано, както за безплатни, така и платени решения.

Lavasoft\Ad-Aware,която имаш инсталирана е anti-spyware програма.

ами това в след инсталирам Windows XP SP3 20 мин. след като преинсралирах сам пуснал темата

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
ами това в след инсталирам Windows XP SP3 20 мин. след като преинсралирах сам пуснал темата

Не си го споменал в първия си коментар,ами време е да инсталираш!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)
ами това в след инсталирам Windows XP SP3 20 мин. след като преинсралирах сам пуснал темата

Я пак, но на разбираем БЪЛГАРСКИ. Къде, кога какво си инсталирал преинсталирал - SP3 или целия Windows ?

Искаш да кажеш, че сме правили излишни "гимнастики" ли ?

И ако не, къде е новия лог от Combofix от по-горния ми пост ?

Редактирано от B-boy[StyLe] (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Я пак, но на разбираем БЪЛГАРСКИ. Къде, кога какво си инсталирал преинсталирал - SP3 или целия Windows ?

Искаш да кажеш, че сме правили излишни "гимнастики" ли ?

И ако не, къде е новия лог от Combofix от по-горния ми пост ?

Да ПРЕИНСТАЛИРАХ SP3 и след като бях инсталирал половината софтуер започна да прави мизерии компютъра, а колкото до 2-я лог от ComboFix ще го дам утре понеже компютъра не е мой и сега немам достът до него

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Повтори стъпките, но сега в Notepad въведи това:

Killall::


Driver::

MSNETDED


Rootkit::

c:\windows\system\svhost.exe 


File::

c:\windows\system32\24.scr

c:\windows\system32\77.scr

c:\windows\system32\73.scr

c:\windows\system32\65.scr

c:\windows\system32\16.scr


DirLooK::

c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}


Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]

Запази файла с име CFScript и го провлачи в Combofix.

Публикувай новия лог.

ComboFix 09-03-01.01 - lutfi 2009-03-03 9:05:42.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1251.1.1033.18.511.262 [GMT 2:00]

Running from: c:\documents and settings\lutfi\Desktop\ComboFix.exe

Command switches used :: c:\documents and settings\lutfi\Desktop\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::

c:\windows\system32\16.scr

c:\windows\system32\24.scr

c:\windows\system32\65.scr

c:\windows\system32\73.scr

c:\windows\system32\77.scr

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system\svhost.exe

c:\windows\system32\16.scr

c:\windows\system32\24.scr

c:\windows\system32\65.scr

c:\windows\system32\73.scr

c:\windows\system32\77.scr

c:\windows\system32\drivers\sysdrv32.sys

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_MSNETDED

-------\Legacy_SYSDRV32

-------\Service_MSNETDED

-------\Service_sysdrv32

((((((((((((((((((((((((( Files Created from 2009-02-03 to 2009-03-03 )))))))))))))))))))))))))))))))

.

2009-03-02 18:46 . 2009-03-02 18:46 61,523 --a------ c:\windows\system32\63.scr

2009-03-02 17:44 . 2009-03-02 17:44 <DIR> d-------- c:\program files\Trend Micro

2009-03-02 17:28 . 2009-01-18 23:30 64,160 --a------ c:\windows\system32\drivers\Lbd.sys

2009-03-02 17:27 . 2009-03-02 17:27 <DIR> d-------- c:\program files\Lavasoft

2009-03-02 17:27 . 2009-03-02 17:27 <DIR> d-------- c:\documents and settings\All Users\Application Data\Lavasoft

2009-03-02 17:27 . 2009-03-02 17:27 <DIR> d--h-c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-03-02 15:35 . 2009-03-02 15:35 <DIR> d-------- c:\documents and settings\lutfi\Application Data\uTorrent

2009-03-02 15:26 . 2009-03-02 15:26 <DIR> d-------- c:\documents and settings\lutfi\Application Data\VyPRESS

2009-03-02 15:24 . 2009-03-02 15:24 <DIR> d-------- c:\documents and settings\lutfi\Application Data\GRETECH

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-02 13:38 --------- d-----w c:\program files\Common Files\Adobe

2009-03-02 13:37 --------- d-----w c:\program files\MSN Messenger

2009-03-02 13:36 --------- d-----w c:\program files\Winamp

2009-03-02 13:35 --------- d-----w c:\program files\uTorrent

2009-03-02 13:34 94,636 ----a-w c:\windows\dropcpyr.dll

2009-03-02 13:34 73,728 ----a-w c:\windows\copyfstq.exe

2009-03-02 13:34 --------- d-----w c:\program files\Unlocker

2009-03-02 13:34 --------- d-----w c:\program files\Skype

2009-03-02 13:34 --------- d-----w c:\documents and settings\All Users\Application Data\Skype

2009-03-02 13:32 --------- d-----w c:\program files\MozBackup

2009-03-02 13:26 --------- d-----w c:\program files\Vypress Chat

2009-03-02 13:24 --------- d-----w c:\program files\K-Lite Codec Pack

2009-03-02 13:24 --------- d-----w c:\program files\GRETECH

2009-03-02 13:24 --------- d-----w c:\documents and settings\All Users\Application Data\GRETECH

2009-03-02 13:21 --------- d-----w c:\program files\Common Files\Ahead

2009-03-02 13:21 --------- d-----w c:\program files\Ahead

2009-03-02 13:18 --------- d-----w c:\program files\MSBuild

2009-03-02 13:15 --------- d-----w c:\program files\Reference Assemblies

2009-03-02 12:58 --------- d-----w c:\program files\Realtek

2009-03-02 12:56 --------- d-----w c:\program files\DIFX

2009-03-02 12:52 4,501 ----a-w c:\windows\gdrv.sys

2009-03-02 12:52 --------- d-----w c:\program files\Common Files\InstallShield

2009-03-02 12:50 --------- d-----w c:\documents and settings\lutfi\Application Data\ATI

2009-03-02 12:45 --------- d-----w c:\program files\Common Files\ATI Technologies

2009-03-02 12:44 --------- d-----w c:\program files\ATI Technologies

2009-03-02 12:26 --------- d-----w c:\program files\microsoft frontpage

2007-11-28 19:20 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll

2007-11-28 19:20 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll

2007-11-28 19:20 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll

2007-11-28 19:20 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll

2007-11-28 19:20 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll

.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

---- Directory of c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800} ----

2009-03-02 17:28 494 --a--c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.dat

2009-03-02 17:27 9020 --a--c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.par

2009-03-02 17:27 90 --a--c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\instance.dat

2009-03-02 17:27 9 --a--c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.lan

2009-01-18 23:43 578782 --a--c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\mia.lib

2009-01-18 23:43 569856 --a--c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.msi

2009-01-18 23:43 5113482 --a--c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.res

2009-01-18 23:43 2892112 --a--c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Start Menu\Programs\Startup\

Vypress Chat StartUp.lnk - c:\windows\Installer\{32230531-F971-468F-9BD4-7C3369F3468B}\iconVCAdvertised.exe [2009-03-02 12390]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.divxa32"= msaud32_divx.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]

--a------ 2009-03-02 17:48 509784 c:\program files\Lavasoft\Ad-Aware\AAWTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2007-05-11 03:06 40048 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

--a------ 2006-01-02 17:41 45056 c:\program files\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

--a------ 2005-05-03 18:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Resume copy]

--a------ 2009-03-02 15:34 73728 c:\windows\copyfstq.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

--a------ 2006-08-14 14:00 16050176 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

--a------ 2006-05-16 18:04 2879488 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wuauserv"=2 (0x2)

"usnjsvc"=3 (0x3)

"Dot3svc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\uTorrent\\utorrent.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-03-02 64160]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]

.

Contents of the 'Scheduled Tasks' folder

2009-03-02 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-02 17:49]

.

.

------- Supplementary Scan -------

.

uStart Page = about:blank

IE: Е&кспортирай в Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\lutfi\Application Data\Mozilla\Firefox\Profiles\s4fx1b60.default\

FF - prefs.js: browser.startup.homepage - hxxp://192.168.111.77

FF - component: c:\documents and settings\lutfi\Application Data\Mozilla\Firefox\Profiles\s4fx1b60.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll

FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-03 09:07:50

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(736)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Other Running Processes ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\system32\ati2evxx.exe

c:\program files\Vypress Chat\VyChat.exe

c:\windows\system32\wbem\unsecapp.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Completion time: 2009-03-03 9:09:12 - machine was rebooted

ComboFix-quarantined-files.txt 2009-03-03 07:09:09

ComboFix2.txt 2009-03-02 16:43:33

ComboFix3.txt 2009-03-02 16:35:54

Pre-Run: 9 501 343 744 bytes free

Post-Run: 9,511,800,832 bytes free

183

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

За да вървят по-бързо нещата и аз ще се включа, докато B-Boy[styLe] дойде на линия.

Този път съдържанието на CFScript.txt трябва да е:

Killall::


File::

c:\windows\system32\63.scr

и накрая CFScript.txt го слагаш върху ComboFix. След това, очакваме лог файл.

За щастие е останало само това.

Редактирано от Fixer (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
За да вървят по-бързо нещата и аз ще се включа, докато B-Boy[styLe] дойде на линия.

Този път съдържанието на CFScript.txt трябва да е:

Killall::


File::

c:\windows\system32\63.scr

и накрая CFScript.txt го слагаш върху ComboFix. След това, очакваме лог файл.

За щастие е останало само това.

благодаря за оказаната помощ ( Преинсталирали са Windows-a и за сега нямало проблеми)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)
благодаря за оказаната помощ ( Преинсталирали са Windows-a и за сега нямало проблеми)

Можеше да дадеш все пак информация за състоянието на операционната система преди преинсталция. Преинсталирането (а не инсталиране с триене на дялове и създаването им наново) понякога е доста погрешно действие, когато е направено след наличието на rootkit или някоя по-специфична зараза. Избързали сте, много жалко...

Редактирано от nologo (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Странното е, че логът в коментар #12 беше дал удовлетворителен резултат.

Наистина нямаше да е лошо да кажеш какви са били остатъчните поражение и дали се е налагало да преинсталирате.

PS: Отделно се точих и за папката ти Qoobox biggrin.gif

Здраве да е !

Редактирано от B-boy[StyLe] (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Странното е, че логът в коментар #12 беше дал удовлетворителен резултат.

Наистина нямаше да е лошо да кажеш какви са били остатъчните поражение и дали се е налагало да преинсталирате.

PS: Отделно се точих и за папката ти Qoobox biggrin.gif

Здраве да е !

За съжаление се бърза. Само не знам за къде. При толкова сериозни проблеми като този се прибягва към така наречената "преинсталация" на Windows. Само заради мързел, нямам друго обяснение. Разбира се, този термин "преинсталация" на Windows e най-често срещан, когато става дума за проблеми с тази операционна система. Странно защо не видях (може би съм пропуснал) мнение, препоръка или каквото и да е свързано с чиста инсталация. Тоест премахване на дялове и създаването им, после знаем...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не беше зле да ги изтестваш тия файлчета в VirusTotal или VirScan... Или пък да ги пратиш ... щех да кажа на антивирусната си програма на съпорта ... ама ти пък нямаш :speak:

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)
Не беше зле да ги изтестваш тия файлчета в VirusTotal или VirScan... Или пък да ги пратиш ... щех да кажа на антивирусната си програма на съпорта ... ама ти пък нямаш :)

Те хората са го направили : :)

mswsivs.exe

http://www.threatexpert.com/report.aspx?md...b78d7d454261a45

MSNETDED

W32/Rbot-GXO is a worm and backdoor Trojan for the Windows platform.

When run W32/Rbot-GXO copies itself to <System>\svhost.exe and creates the file <System>\drivers\sysdrv32.sys (detected as W32/Rbot-GXM):

Registry entries are created under:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED\

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED\

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSNETDED\

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSDRV32\

HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\

http://www.sophos.com/security/analyses/vi...w32rbotgxo.html

@nologo не си видял такава препоръка, защото не бе нужна. В случая заразата беше изкоренена. Виж ако беше поразила области като MBR като rootkit-a (c:\windows\system32\drivers\ati8bhxx.sys) щеше да е друга бира...

The malware in question here (as far as I know) cant be fixed without a boot disk . I have been testing it for months and between the rooters , MRB rooter and patched MS files it is as bad as bad gets

there are compromised Microsoft files involved as well as an MBR infection.

we are suggesting reloading . This malware is not worth fixing in 99% of cases .

Тук и Combofix даже не пожела да стартира по никкаъв начин, а експертите затвориха темата на потребителя заради наличието на нелецензиран софтуер.

http://img530.imageshack.us/img530/9822/cfixbyz4.jpg

http://www.malwarebytes.org/forums/index.p...amp;#entry43561

Аз и помогнах на PM (personal messages) и го изкоренихме едва едва...с доста инструменти. Тук се справи The_Avenger-a:

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com


Platform: Windows XP


*******************


Script file opened successfully.

Script file read successfully.


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


Rootkit scan active.

No rootkits found!


File "C:\WINDOWS\system32\drivers\ati4bixx.sys" deleted successfully.

Driver "ati4bixx" deleted successfully.


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\ati4bixx.sys" not found!

Deletion of driver "ati4bixx.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist


Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati4bixx" deleted successfully.


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati4bixx.sys" not found!

Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati4bixx.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist



Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ati4bixx" not found!

Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ati4bixx" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist



Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ati4bixx.sys" not found!

Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ati4bixx.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist


Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ati4bixx" deleted successfully.


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ati4bixx.sys" not found!

Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ati4bixx.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist



Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati4bixx" not found!

Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati4bixx" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist



Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati4bixx.sys" not found!

Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati4bixx.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist



Completed script processing.


*******************


Finished! Terminate.
Както се вижда в темата на потребителя MBAM всеки път намираше руткита, но не и сега:
Malwarebytes' Anti-Malware 1.32

Database version: 1620

Windows 5.1.2600 Service Pack 3


1/5/2009 4:02:33 PM

mbam-log-2009-01-05 (16-02-33).txt


Scan type: Full Scan (C:\|)

Objects scanned: 108739

Time elapsed: 31 minute(s), 47 second(s)


Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 1


Memory Processes Infected:

(No malicious items detected)


Memory Modules Infected:

(No malicious items detected)


Registry Keys Infected:

(No malicious items detected)


Registry Values Infected:

(No malicious items detected)


Registry Data Items Infected:

(No malicious items detected)


Folders Infected:

(No malicious items detected)


Files Infected:

C:\Program Files\COMODO\COMODO Internet Security\Quarantine\152[1].net (Trojan.Agent) -> Delete on reboot.

Все пак това винаги си остава добра идея при ТЕЖКИ разази - rootkits, VIRUT и т.н, но си мисля, че можеше да се избегне на този етап.

Преинсталацията трябва и си остава крайна мярка, но както ти сам сподели тук всеки го прави и за най-леките дреболии...

Редактирано от B-boy[StyLe] (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Те хората са го направили : :rolleyes:

..................

@nologo не си видял такава препоръка, защото не бе нужна. В случая заразата беше изкоренена. Виж ако беше поразила области като MBR като rootkit-a (c:\windows\system32\drivers\ati8bhxx.sys) щеше да е друга бира...

...............

Все пак това винаги си остава добра идея при ТЕЖКИ разази - rootkits, VIRUT и т.н, но си мисля, че можеше да се избегне на този етап.

Преинсталацията трябва и си остава крайна мярка, но както ти сам сподели тук всеки го прави и за най-леките дреболии...

Да, съгласен съм. В тази тема аха да се получат някакви резултати с пълно почистване, както казваш без поражения в MBR и - преинсталация. Според мен не бива да се бърза, това е...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Пич аз мисля да пазищ компа си независимо дали тва е вирус или не, по добре не отваряй такива опасни фаилчета

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Пич аз мисля да пазищ компа си независимо дали тва е вирус или не, по добре не отваряй такива опасни фаилчета

:) Ти си гений !

Темата е от на пра баба ми клетвата, последният пост е от началото на тази година а ние сега сме в края ! :);)

Редактирано от Burkoff (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...