Вирус [Решен]

3 октомври 200916 г.

Здравейте,

Първото което ми направи впечатление е това съобщение:

16 bit MS-DOS Susystem

C:\WINDOWS\Sysvxd.exe

TheNTVDM CPU has encountered an illegal instruction.

CS:0000 IP:0325 OP:00 00 00 00 00 Choose 'Close' to terminate the applicaton.

с два възможни бутона 'Close' и 'Ignore' - виж прикачения файл

След което забелязах shortcut на Desktop-a "Adobe Gamma Loader"

следва лога от Malwarebytes, преди да стигна до темата във форума:

Malwarebytes' Anti-Malware 1.41

Версия на базата от данни: 2887

Windows 5.1.2600 Service Pack 3

02.10.2009 г. 00:11:36

mbam-log-2009-10-02 (00-11-36).txt

Тип сканиране: Бързо сканиране

Сканирани обекти: 39346

Изминало време: 1 hour(s), 1 minute(s), 4 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 1

Заразени процеси в паметта:

(Не бяха открити заплахи)

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

Заразени папки:

(Не бяха открити заплахи)

Заразени файлове:

c:\WINDOWS\system32\drivers\oreans32.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Това са след премахване на някой програми и след като прочетох темата за зловредния софтуер:

Malwarebytes' Anti-Malware 1.41

Версия на базата от данни: 2900

Windows 5.1.2600 Service Pack 3

03.10.2009 г. 21:07:20

mbam-log-2009-10-03 (21-07-20).txt

Тип сканиране: Пълно сканиране (C:\|)

Сканирани обекти: 119654

Изминало време: 16 minute(s), 25 second(s)

Заразени процеси в паметта: 1

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 1

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 3

Заразени процеси в паметта:

C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Downloader) -> Unloaded process successfully.

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

Заразени стойности в регистратурата:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

Заразени папки:

(Не бяха открити заплахи)

Заразени файлове:

C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Downloader) -> Delete on reboot.

C:\Documents and Settings\po\Local Settings\Temp\ie.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Sysvxd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Malwarebytes' Anti-Malware 1.41

Версия на базата от данни: 2900

Windows 5.1.2600 Service Pack 3

03.10.2009 г. 21:42:50

mbam-log-2009-10-03 (21-42-50).txt

Тип сканиране: Пълно сканиране (C:\|)

Сканирани обекти: 119694

Изминало време: 16 minute(s), 26 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 0

Заразени процеси в паметта:

(Не бяха открити заплахи)

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

Заразени папки:

(Не бяха открити заплахи)

Заразени файлове:

(Не бяха открити заплахи)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:06:31, on 03.10.2009 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Dell\AccessDirect\dadapp.exe

C:\WINDOWS\MMKeybd.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe

C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Netropa\OSD.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\WINDOWS\Nhksrv.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\HijackThis\Kaldata.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip

R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\po\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\po\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe

O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\MMKeybd.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Program Files\QIP\qip.exe (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220874234458

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Win32Sl - Unknown owner - C:\dmi\win32\bin\Win32sl.exe (file missing)

--

End of file - 6962 bytes

Цитирай

3 октомври 200916 г.

Здравейте popopa!

Аз съм Maniac и ще Ви помагам да почистите вашата система от зловреден софтуер. Анализа на логовете, както и премахването на зловредния софтуер, може да отнеме време, затова моля бъдете търпеливи. Моля, имайте предвид следното:

Аз ще Ви помагам само за почистването на вашата система от зловреден софтуер. За всякакви други проблеми, моля създайте нова тема в съответния форум и опишете детайлно проблема Ви.
Решението се отнася само за този проблем и само на този компютър.
Задължително трябва да разполагате с администраторски привилегии, за да получим възможността успешно да почистим вашата системата.
Следвайте инструкциите ми стриктно, докато не Ви кажа, че системата Ви е напълно чиста. Това, че симптомите са изчезнали, не значи че всичко е наред.
Ако не разбирате нещо, моля Ви попитайте ме, а не рискувайте. По-добре е малко да се позабавим, отколкото да усложним нещата.
При наличие на руткит, аз не гарантирам 100% почистване.
Проявете търпение, защото процедурата по почистването на вашата система може да отнеме известно време, в зависимост от вида на зловредния софтуер.
Цялата кореспонденция минава през тази тема, не създавайте нова тема и не използвайте друга тема за тази цел.

Стъпка 1:

Моля, отворете HijackThis, и изберете Do a system scan only.

Сложете отметки на следните редове:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip

R3 - URLSearchHook: (no name) - - (no file)

O23 - Service: Win32Sl - Unknown owner - C:\dmi\win32\bin\Win32sl.exe (file missing)

След това, затворете всички отворени прозорци, освен този на HiJackThis, и изберете Fix checked.

Стъпка 2:

Изтеглете Security Check от screen317 от тук или тук и го запаметете на вашия десктоп.

Кликнете два пъти върху SecurityCheck.exe и следвайте инструкциите.
Накрая, автоматично ще се отвори текстов документ, наречен checkup.txt, моля поставете съдържанието му в следващия Ви коментар в тази тема.

Стъпка 3:

Изтеглете RootRepeal от тук и го запазете на вашия десктоп. След това, разархивирайте го на вашия десктоп, отново.

Кликнете два пъти върху RootRepeal.exe , за да стартирате програмата
Кликнете на таба Report в долната част на прозореца
Кликнете на бутона Scan
Сложете отметки пред следното:

Drivers
Processes
SSDT
Hidden Services

Кликнете на бутона OK
На следващия диалогов прозорец, сложете отметки преди всички дялове (C:\ , D:\ ....)
Кликнете на OK, за да започне процеса на сканиране

Бележка: Процеса на сканиране може да отнеме време. Моля,

не стартирайте

никакви програми, докато програмата сканира.

Когато сканирането завърши успешно ще се появи бутона Save Report
Кликнете върху Save Report и запишете лог файла на вашия десктоп, с име RootRepeal.txt
Отворете File, след което Exit , за да затворите програмата.

Копирайте и поставете съдържанието на RootRepeal.txt в следващия си пост.

Цитирай

1

3 октомври 200916 г.

Автор

Цитирай

3 октомври 200916 г.

Всичко е по ноти! :cool:

Изтеглете ComboFix от някой от следните линкове:

Линк 1

Линк 2

* ВАЖНО !!! Запазете ComboFix.exe на вашия десктоп

Изключете вашата антивирусна и антишпионска програма, обикновено това става чрез натискане на десния бутон на мишката върху иконата на програма в системния трей.

Бележка: Ако не можете я спрете или не сте сигурни коя програма да изключите, моля прегледайте информацията от този линк: How to Disable your Security Programs

Преименувайте ComboFix.exe на Tool.exe

Стартирайте Tool.exe и следвайте инструкциите.

Бележка: ComboFix ще се стартира без инсталирана Recovery Console.

Като част от неговата работа, ComboFix ще провери дали Microsoft Windows Recovery Console е инсталирана. Предвид бързо развиващия се зловреден софтуер е силно препоръчително да бъде инсталирана преди премахването на зловредния софтуер. Това ще Ви позволи да влезете в специален recovery/repair режим, който ще ни позволи по-лесно да решите проблем, който би могъл да възникне при премахване на зловредния софтуер.

Следвайте инструкциите, за да позволите на ComboFix да изтегли и инсталира Microsoft Windows Recovery Console. В един момент ще бъдете попитани дали сте съгласни с лицензното споразумение. Необходимо е да потвърдите, че сте съгласни, за да инсталирате Microsoft Windows Recovery Console.

** Забележете: Ако Microsoft Windows Recovery Console е вече инсталирана, ComboFix ще продължи към процеса по премахване на зловредния софтуер.

След като Microsoft Windows Recovery Console е инсталирана, използвайки ComboFix, Вие ще видите следното съобщение:

Изберете Yes, за да продължи сканирането за зловреден софтуер.

Когато процесът приключи успешно, инструментът ще създаде лог файл. Моля, включете съдържанието на C:\ComboFix.txt в следващия Ви коментар в тази тема.

Бележка:

Моля, не движете мишката, докато ComboFix работи. Това може да наруши процеса на работа.
ComboFix ще нулира всички настройки на Microsoft Internet Explorer, включително да направи IE браузър по подразбиране.
ComboFix ще изключи autorun функцията на ВСИЧКИ CD, Floppy и USB устройства, за да помогне при премахването на зловредния софтуер и Ви защити от бъдещи вируси/заплахи, които поразяват чрез autorun. Ако това е проблем за вас - моля, уведомете ме.
ComboFix ще изключи вашата интернет връзка. Интернет връзката ще се възстанови автоматично, преди ComboFix да завърши процеса на работа. При проблем, той ще прекрати интернет връзката. За да възстановите интернет връзката си, рестартирайте компютъра си.
В случай на проблем с ComboFix, той може да създаде лог файл. Моля, включете съдържанието на C:\BUG.txt в следващия Ви коментар в тази тема.

Работата на ComboFix, може да отнеме до 20-30 минути, за да завърши, моля имайте търпение.

Моля, не прикачвайте лог файла/овете от програмата, а го/ги копирайте и поставете в следващия Ви коментар в тази тема.

Цитирай

1

3 октомври 200916 г.

Автор

Maniac,

Наложи се да деинсталирам NOD32, защото не искаше да спре по никакъв начин, като пробвах да сппирам процеца, също така и през msconfig, резултатът след деинсталация е следния:

ComboFix 09-10-01.05 - po 10.2009 г. 1:47.1.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1251.359.1033.18.1535.1178 [GMT 3:00]

Running from: c:\documents and settings\po\Desktop\Tool.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\Installer\aa9e40.msp

c:\windows\Installer\aa9e41.msp

c:\windows\Installer\aa9e42.msp

c:\windows\Installer\aa9e43.msp

c:\windows\Installer\aa9e44.msp

c:\windows\Installer\aa9e45.msp

c:\windows\Installer\aa9e46.msp

c:\windows\Installer\aa9e47.msp

c:\windows\Installer\aa9e48.msp

c:\windows\Installer\ad6138.msp

c:\windows\Installer\ad6139.msp

c:\windows\Installer\ad613a.msp

c:\windows\Installer\ad613b.msp

c:\windows\Installer\ad613c.msp

c:\windows\Installer\ad613d.msp

c:\windows\Installer\ad613e.msp

c:\windows\Installer\ad613f.msp

c:\windows\Installer\ad6140.msp

c:\windows\Installer\ad6141.msp

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_OREANS32

-------\Service_oreans32

((((((((((((((((((((((((( Files Created from 2009-09-03 to 2009-10-03 )))))))))))))))))))))))))))))))

.

2009-10-03 18:55 . 2009-10-03 21:39 -------- d-----w- C:\HijackThis

2009-10-03 15:25 . 2009-10-03 15:25 -------- d-----w- c:\windows\system32\wbem\Repository

2009-10-03 15:25 . 2009-10-03 15:25 -------- d--h--w- c:\windows\PIF

2009-09-27 20:44 . 2009-09-27 21:04 -------- d-----w- c:\documents and settings\po\Application Data\Media Player Classic

2009-09-27 15:51 . 2009-09-27 15:51 -------- d-----w- c:\windows\system32\LogFiles

2009-09-24 19:24 . 2009-10-03 15:25 -------- d-----w- c:\program files\CoreCodec

2009-09-23 19:36 . 2009-09-23 19:36 -------- d-----w- c:\documents and settings\po\Application Data\Malwarebytes

2009-09-23 19:36 . 2009-09-10 11:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-23 19:36 . 2009-09-23 19:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-09-23 19:36 . 2009-09-10 11:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-09-23 19:36 . 2009-10-03 15:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-03 22:43 . 2009-08-10 21:17 -------- d-----w- c:\documents and settings\po\Application Data\uTorrent

2009-10-03 22:41 . 2008-09-05 10:28 -------- d-----w- c:\program files\Eset

2009-10-03 15:24 . 2008-09-06 19:54 -------- d-----w- c:\program files\BSplayerPro

2009-10-03 15:20 . 2008-09-10 12:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater

2009-10-03 13:53 . 2008-09-06 20:15 -------- d-----w- c:\program files\CyberLink

2009-10-03 13:48 . 2008-09-07 14:14 -------- d-----w- c:\program files\Google

2009-09-19 19:20 . 2008-09-05 09:04 18696 ----a-w- c:\documents and settings\po\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-09-15 13:15 . 2008-09-07 14:17 -------- d-----w- c:\documents and settings\po\Application Data\Skype

2009-09-15 13:01 . 2008-09-08 17:27 -------- d-----w- c:\documents and settings\po\Application Data\skypePM

2009-09-05 12:27 . 2008-09-07 19:48 -------- d-----w- c:\program files\BitComet

2009-09-03 19:34 . 2009-09-03 19:32 -------- d-----w- c:\documents and settings\po\Application Data\vlc

2009-08-23 18:14 . 2009-08-11 21:48 -------- d-----w- c:\program files\Opera

2009-08-16 15:08 . 2004-01-22 16:06 178176 ----a-w- c:\windows\system32\unrar.dll

2009-08-12 13:47 . 2009-08-10 21:10 -------- d-----w- c:\program files\The KMPlayer

2009-08-12 08:29 . 2008-09-08 07:09 -------- d-----w- c:\program files\QIP

2009-08-10 21:19 . 2009-08-10 21:19 -------- d-----w- c:\program files\uTorrent

2009-08-05 12:50 . 2009-08-03 19:20 -------- d-----w- c:\program files\Total Video Converter

2009-07-25 08:52 . 2009-07-25 08:52 30688 ----a-w- c:\windows\system32\drivers\tifsfilt.sys

2009-07-25 08:52 . 2009-07-25 08:52 249152 ----a-w- c:\windows\system32\drivers\timntr.sys

2009-07-25 08:51 . 2009-07-25 08:51 96320 ----a-w- c:\windows\system32\drivers\snapman.sys

2009-07-25 08:28 . 2009-07-25 08:29 720896 ----a-w- c:\windows\iun6002.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 220544]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-10 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]

"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-02-05 98304]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-02-05 495616]

"DadApp"="c:\program files\Dell\AccessDirect\dadapp.exe" [2004-03-04 211828]

"DellTouch"="c:\windows\MMKeybd.exe" [2002-01-16 163840]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]

"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImage\TrueImageMonitor.exe" [2005-12-27 988736]

"Acronis Scheduler2 Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2005-12-27 118784]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2001-09-04 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WZCSVC"=2 (0x2)

"TapiSrv"=3 (0x3)

"gusvc"=2 (0x2)

"wuauserv"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\QIP\\qip.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\G & Co.Ltd\\IOServers\\GatewayHost.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 Nhksrv;Netropa NHK Server;c:\windows\Nhksrv.exe [07.9.2008 г. 12:52 28672]

R3 Msikbd2k;DellTouch;c:\windows\system32\drivers\Msikbd2k.sys [07.9.2008 г. 12:52 6656]

S3 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\Firebird_1_5\bin\fbguard.exe -s --> c:\program files\Firebird\Firebird_1_5\bin\fbguard.exe -s [?]

S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\Firebird_1_5\bin\fbserver.exe -s --> c:\program files\Firebird\Firebird_1_5\bin\fbserver.exe -s [?]

S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [01.12.2008 г. 22:14 81832]

S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [01.12.2008 г. 22:15 13864]

S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [01.12.2008 г. 22:15 107304]

S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [01.12.2008 г. 22:15 99112]

S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [01.12.2008 г. 22:15 21928]

S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [01.12.2008 г. 22:15 97320]

S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [01.12.2008 г. 22:15 97704]

.

Contents of the 'Scheduled Tasks' folder

2009-10-03 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-09-07 21:24]

.

------- Supplementary Scan -------

.

uStart Page = about:blank

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\po\Application Data\Mozilla\Firefox\Profiles\4zewgcx2.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.kaldata.com/forums/index.php?showtopic=137829

FF - prefs.js: keyword.URL - hxxp://search.qip.ru/search?from=FF&query=

FF - plugin: c:\program files\Google\Google Updater\2.4.1698.5652\npCIDetect13.dll

.

- - - - ORPHANS REMOVED - - - -

HKLM-Run-BC2BackUp - (no file)

AddRemove-HijackThis - c:\hijackthis\HijackThis.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-04 01:52

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'lsass.exe'(832)

c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(3428)

c:\program files\Sony Ericsson\Mobile2\File Manager\FM.dll

c:\windows\system32\MSVCR71.dll

c:\program files\Common Files\Teleca Shared\tlib_log.dll

c:\program files\Common Files\Teleca Shared\boost_log-vc71-mt-1_33.dll

c:\program files\Common Files\Teleca Shared\TC Device Mgmt.dll

.

------------------------ Other Running Processes ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

c:\program files\Common Files\Teleca Shared\Generic.exe

c:\program files\Netropa\OSD.exe

c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

c:\program files\Common Files\Acronis\Schedule2\schedul2.exe

.

**************************************************************************

.

Completion time: 2009-10-03 1:54 - machine was rebooted

ComboFix-quarantined-files.txt 2009-10-03 22:54

Pre-Run: 1 935 224 832 bytes free

Post-Run: 1 986 396 160 bytes free

178

Цитирай

4 октомври 200916 г.

Много добре сте постъпили, защото вашия NOD32 беше твърде стара версия. Накрая ще Ви обясня какво да направите по отношение на него.

Виждам, че нямате Recovery Console, която се изисква от ComboFix.

Изтеглете този файл и го запазете на вашия десктоп.

Затворете всички отворени прозорци и програми, след това вземете изтегления файл и го поставете върху ComboFix. Това ще стартира ComboFix, след което е необходимо да примете лицензното споразумение, за да продължите с инсталирането на Microsoft Recovery Console. Когато приключи ще бедете попитани дали желаете да продължите със сканирането на зловреден софтуер. Изберете Yes. Накрая, публикувайте в следващия Ви пост лога от ComboFix.

Цитирай

1

4 октомври 200916 г.

Автор

Maniac,

Снощи след kato ComboFix приключи, инсталирах отново НОД-а :mad: днес като прочетох отново го деинсталирах - споменавам го ако това има значение. Ето лога:

ComboFix 09-10-01.05 - po 10.2009 г. 13:36.2.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1251.359.1033.18.1535.1227 [GMT 3:00]

Running from: c:\documents and settings\po\Desktop\Tool.exe

Command switches used :: c:\documents and settings\po\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe

.

((((((((((((((((((((((((( Files Created from 2009-09-04 to 2009-10-04 )))))))))))))))))))))))))))))))