ВИРУС - Изтривач - Премахване на зловреден софтуер - Kaldata.com

7 октомври 200916 г.

Значи, вирусът изтрива или променя имената на всички лицензни файлове, освен това

преименува папките в Програм Файлс или ги копира с променено име (добавя цифра в скоби)

и изтрива съдържанието на оригиналнитее папки. Програмите не работят и искат преинсталиране.

Тук помествам лог Файловете от МалУеарБитс и НайДжакДис, според инструкцията на Б.Иванов

С атачмънти са логовете !

mbam-log-2009-09-26 (08-45-06).txt

hijackthis.txt

Цитирай

7 октомври 200916 г.

Здравейте <ник>!

Аз съм Maniac и ще Ви помагам да почистите вашата система от зловреден софтуер. Анализа на логовете, както и премахването на зловредния софтуер, може да отнеме време, затова моля бъдете търпеливи. Моля, имайте предвид следното:

Аз ще Ви помагам само за почистването на вашата система от зловреден софтуер. За всякакви други проблеми, моля създайте нова тема в съответния форум и опишете детайлно проблема Ви.
Решението се отнася само за този проблем и само на този компютър.
Задължително трябва да разполагате с администраторски привилегии, за да получим възможността успешно да почистим вашата системата.
Следвайте инструкциите ми стриктно, докато не Ви кажа, че системата Ви е напълно чиста. Това, че симптомите са изчезнали, не значи че всичко е наред.
Ако не разбирате нещо, моля Ви попитайте ме, а не рискувайте. По-добре е малко да се позабавим, отколкото да усложним нещата.
При наличие на руткит, аз не гарантирам 100% почистване.
Проявете търпение, защото процедурата по почистването на вашата система може да отнеме известно време, в зависимост от вида на зловредния софтуер.
Цялата кореспонденция минава през тази тема, не създавайте нова тема и не използвайте друга тема за тази цел.

Стъпка 1:

Моля, отидете на Start --> Settings --> Control Panel --> Add or Remove Programs, и деинсталирайте следните програми (Ако присъстват в списъка):

Winamp Toolbar

Google Toolbar

AskToolbar

Стъпка 2:

Изтеглете Security Check от screen317 от тук или тук и го запаметете на вашия десктоп.

Кликнете два пъти върху SecurityCheck.exe и следвайте инструкциите.
Накрая, автоматично ще се отвори текстов документ, наречен checkup.txt, моля поставете съдържанието му в следващия Ви коментар в тази тема.

Стъпка 3:

Изтеглете RootRepeal от тук и го запазете на вашия десктоп. След това, разархивирайте го на вашия десктоп, отново.

Кликнете два пъти върху RootRepeal.exe , за да стартирате програмата
Кликнете на таба Report в долната част на прозореца
Кликнете на бутона Scan
Сложете отметки пред следното:

Drivers
Processes
SSDT
Hidden Services

Кликнете на бутона OK
На следващия диалогов прозорец, сложете отметки преди всички дялове (C:\ , D:\ ....)
Кликнете на OK, за да започне процеса на сканиране

Бележка: Процеса на сканиране може да отнеме време. Моля,

не стартирайте

никакви програми, докато програмата сканира.

Когато сканирането завърши успешно ще се появи бутона Save Report
Кликнете върху Save Report и запишете лог файла на вашия десктоп, с име RootRepeal.txt
Отворете File, след което Exit , за да затворите програмата.

Копирайте и поставете съдържанието на RootRepeal.txt в следващия си пост.

Цитирай

1

12 октомври 200916 г.

Автор

Изпълних всичко, само дето при "Руут Рипеал" след ОК след СКАН бутон, не излезе втори прозорец

да избирам дяловете С/D ....ами направо изкара лога на сканирането

Ето ги логовете:

......................................................

.....................................................

І-во От Чекапа

Results of screen317's Security Check version 0.99.0

Windows XP Service Pack 3

``````````````````````````````

Antivirus/Firewall Check:

Windows Firewall Enabled!

avast! Antivirus

Antivirus up to date!

``````````````````````````````

Anti-malware/Other Utilities Check:

Free Anti-SPY Guard 1.0

Trojan Remover 6.7.4

HijackThis 2.0.2

Java 6 Update 15

Adobe Flash Player 10

Adobe Reader 8

Out of date Adobe Reader installed!

``````````````````````````````

Process Check:

objlist.exe by Laurent

Alwil Software Avast4 aswUpdSv.exe

Alwil Software Avast4 ashServ.exe

Alwil Software Avast4 ashDisp.exe

Alwil Software Avast4 ashMaiSv.exe

Alwil Software Avast4 ashWebSv.exe

``````````````````````````````

DNS Vulnerability Check:

`````````End of Log```````````

...........................................................

..........................................................

2 ро от Руут Рипиала

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2009/10/12 15:05

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP3

==================================================

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\windows\System32\Drivers\dump_atapi.sys

Address: 0xB57B9000 Size: 98304 File Visible: No Signed: -

Status: -

Name: dump_WMILIB.SYS

Image Path: C:\windows\System32\Drivers\dump_WMILIB.SYS

Address: 0xBA618000 Size: 8192 File Visible: No Signed: -

Status: -

Name: PCI_PNP2190

Image Path: \Driver\PCI_PNP2190

Address: 0x00000000 Size: 0 File Visible: No Signed: -

Status: -

Name: rootrepeal.sys

Image Path: C:\windows\system32\drivers\rootrepeal.sys

Address: 0xB375E000 Size: 49152 File Visible: No Signed: -

Status: -

Name: sppa.sys

Image Path: sppa.sys

Address: 0xB9EA7000 Size: 1048576 File Visible: No Signed: -

Status: -

Name: sptd

Image Path: \Driver\sptd

Address: 0x00000000 Size: 0 File Visible: No Signed: -

Status: -

SSDT

-------------------

#: 025 Function Name: NtClose

Status: Hooked by "C:\windows\System32\Drivers\KxNT.SYS" at address 0xb53b8b00

#: 037 Function Name: NtCreateFile

Status: Hooked by "C:\windows\System32\Drivers\KxNT.SYS" at address 0xb53b86f0

#: 041 Function Name: NtCreateKey

Status: Hooked by "C:\windows\System32\Drivers\KxNT.SYS" at address 0xb53bb3a0

#: 062 Function Name: NtDeleteFile

Status: Hooked by "C:\windows\System32\Drivers\KxNT.SYS" at address 0xb53b91c0

#: 065 Function Name: NtDeleteValueKey

Status: Hooked by "C:\windows\System32\Drivers\KxNT.SYS" at address 0xb53bb4e0

#: 068 Function Name: NtDuplicateObject

Status: Hooked by "C:\windows\System32\Drivers\aswSP.SYS" at address 0xb57d9098

#: 071 Function Name: NtEnumerateKey

Status: Hooked by "sppa.sys" at address 0xb9ec6ca2

#: 073 Function Name: NtEnumerateValueKey

Status: Hooked by "sppa.sys" at address 0xb9ec7030

#: 116 Function Name: NtOpenFile

Status: Hooked by "C:\windows\System32\Drivers\KxNT.SYS" at address 0xb53b83a0

#: 119 Function Name: NtOpenKey

Status: Hooked by "C:\windows\System32\Drivers\KxNT.SYS" at address 0xb53bb450

#: 122 Function Name: NtOpenProcess

Status: Hooked by "C:\windows\System32\Drivers\aswSP.SYS" at address 0xb57d8fd8

#: 128 Function Name: NtOpenThread

Status: Hooked by "C:\windows\System32\Drivers\KxNT.SYS" at address 0xb53b9840

#: 160 Function Name: NtQueryKey

Status: Hooked by "sppa.sys" at address 0xb9ec7108

#: 177 Function Name: NtQueryValueKey

Status: Hooked by "C:\windows\System32\Drivers\aswSP.SYS" at address 0xb57d96ba

#: 204 Function Name: NtRestoreKey

Status: Hooked by "C:\windows\System32\Drivers\aswSP.SYS" at address 0xb57d967a

#: 224 Function Name: NtSetInformationFile

Status: Hooked by "C:\windows\System32\Drivers\KxNT.SYS" at address 0xb53b9200

#: 247 Function Name: NtSetValueKey

Status: Hooked by "C:\windows\System32\Drivers\KxNT.SYS" at address 0xb53bb6c0

#: 257 Function Name: NtTerminateProcess

Status: Hooked by "C:\windows\System32\Drivers\KxNT.SYS" at address 0xb53b9700

#: 274 Function Name: NtWriteFile

Status: Hooked by "C:\windows\System32\Drivers\KxNT.SYS" at address 0xb53b8950

==EOF==

Цитирай

12 октомври 200916 г.

Здравейте dian59,

Временно ще замествам Maniac, защото той има неотложна работа.

Благодаря ви за логовете. Да направим една по-задълбочена проверка.

СТЪПКА 1

*. Временно спрете защитата на антивирусната си програма в реално време. (ако е инсталирана такава).

*. Изтеглете Combofix.

*. Запазете го на Десктопа.

*. Отворете Start => run => и въведете следната команда:

"%userprofile%\desktop\ComboFix.exe" /KillAll

*. По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !

*. Публикувайте лог файла, който ще се създаде след рестарта на компютъра в следващия си пост.

СТЪПКА 2

Изтеглете програмата => Dr.Web CureIt

*Стартирайте я.

*Натиснете клавиш F9 и направете следните настройки:

-В категория проверка се придвижете до списък с изключени файлове.

-Маркирайте всичките и изберете Изтрий. Потвърдете с Apply.

-Придвижете се до категория действия.

Приложете настройките от снимката (само махнете отметката пред "Prompt on action") и натиснете Apply.

-Пуснете пълна проверка на системата.

-Публикувайте лог файла от проверката в следващия си пост.

Цитирай

1

3 ноември 200916 г.

Автор

Здравейте,

Ще кача лог атачмънт от КОМБОФИКС

ComboFix.txt

Цитирай

3 ноември 200916 г.

Моля временно деинсталирайте Daemon Tools.

След това изтеглете този файл

Стартирайте го и изберете Uninstall.

Рестартирайте компютъра.

След това направете нова проверка с Combofix и публикувайте лог файла.

Благодарим.

Цитирай

3 ноември 200916 г.

Автор

ОК, още Сканирам с Д-р УЕБ, после ще продължа!

Цитирай

4 ноември 200916 г.

Автор

Атачмънт на Лог Файл на Д-р УЕБ

DrWeb.txt

Цитирай

4 ноември 200916 г.

Автор

Сега публикувам Лог Файл на КОМБОФИКС

след изтриването на Даемон Туулс

ComboFix.txt

Цитирай

4 ноември 200916 г.

За съжаление, една от откритите инфекции е троянски кон от вида Backdoor.

Той дава възможност на хакерите да управляват от разстояние вашия компютър. Най-често тяхната цел е да крадат личната информация на потребителите, като понякога тя бива продавана на т.нар. черен пазар.

Поради тази причина Ви съветвам да преустановите всякаква работа с банкови сметки през тази система и след като приключим с почистването й да промените всички пароли, които са въведени през този компютър, защото те вече са достъпни и за хакерите.

Стъпка 1:

Моля, отидете на Start --> Settings --> Control Panel --> Add or Remove Programs, и деинсталирайте следните програми (Ако присъстват в списъка):

Adobe Reader 8

ASk Toolbar

Adobe Reader 8 е много стара и уязвима версия на този PDF четец, затова ако възнамерявате да го използвате за напред е необходимо да го обновите.

http://www.kaldata.com/comments.php?id=50513&catid=1&highlight=adobe

Стъпка 2:

Отворете Notepad и чрез комбинацията copy/paste поставете следния текст:

Killall::


File::

C:\Ntf8.tmp

C:\Ntf7.tmp

C:\Ntf5.tmp

C:\Ntf6.tmp

C:\Ntf4.tmp

C:\Ntf3.tmp

C:\Ntf1.tmp

C:\Ntf2.tmp

C:\Ntf4E.tmp

C:\Ntf4D.tmp

Запазете файла с името CFScript.txt и го поставете върху ComboFix.

След като, програмата приключи ще Ви изведе лог файла. Отново чрез комбинацията от Copy/Paste поставете информацията тук.

Цитирай

2

5 ноември 200916 г.

Автор

Написах файла но като го хвърлих на Комбото

Комбото иска да ме праща в хом сайт да го обновявам

или преинсталирам и като кажа не май спира и не получих

лог

после пуснах Комбото от Ран с КилАл и пелучих Лог

сега пращам тоз Лог

ТУКА ГО ПЕЙСТВАМ

ComboFix 09-11-04.02 - User 05.11.2009 8:28.3.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1251.359.1033.18.3583.3103 [GMT 2:00]

Running from: c:\documents and settings\User\desktop\ComboFix.exe

Command switches used :: /KillAll

AV: avast! antivirus 4.8.1282 [VPS 091104-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\User\Application Data\.#

.

((((((((((((((((((((((((( Files Created from 2009-10-05 to 2009-11-05 )))))))))))))))))))))))))))))))

.

2009-11-02 10:36 . 2009-11-02 10:36 -------- d-----w- c:\documents and settings\User\Application Data\MozillaControl

2009-10-23 05:05 . 2009-10-23 05:05 -------- d-----w- c:\documents and settings\User\Application Data\cadenas

2009-10-19 10:07 . 2008-04-14 02:42 26624 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

2009-10-12 06:50 . 1998-07-30 09:51 305152 ----a-w- c:\windows\IsUninst.exe

2009-10-09 06:05 . 2009-10-09 06:05 152576 ----a-w- c:\documents and settings\User\Application Data\Sun\Java\jre1.6.0_15\lzma.dll

2009-10-07 09:36 . 2009-10-07 09:40 -------- d-----w- c:\program files\Festo

2009-10-07 06:33 . 2009-10-07 06:33 -------- d-----w- C:\spoolerlogs

2009-10-07 06:30 . 2009-10-07 06:30 -------- d-----w- c:\program files\PrintFile

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-11-05 06:34 . 2009-06-04 06:12 -------- d-----w- c:\documents and settings\User\Application Data\IM

2009-11-05 06:34 . 2009-11-05 06:34 67 ----a-w- C:\NtfA.tmp

2009-11-05 06:34 . 2009-11-05 06:34 67 ----a-w- C:\Ntf9.tmp

2009-11-05 06:26 . 2009-06-08 06:44 -------- d-----w- c:\program files\BitComet

2009-11-04 14:54 . 2009-06-10 14:05 914592 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

2009-11-04 14:50 . 2009-06-02 11:07 -------- d-----w- c:\program files\Common Files\Adobe

2009-11-04 14:25 . 2009-11-04 14:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk

2009-11-04 13:36 . 2009-06-04 07:01 -------- d-----w- c:\documents and settings\User\Application Data\SolidWorks

2009-11-04 13:35 . 2009-11-04 13:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-11-04 11:57 . 2009-06-10 12:48 -------- d-----w- c:\documents and settings\User\Application Data\uTorrent

2009-11-04 07:14 . 2009-06-26 11:36 -------- d-----w- c:\program files\Java

2009-11-04 07:13 . 2009-11-04 07:13 152576 ----a-w- c:\documents and settings\User\Application Data\Sun\Java\jre1.6.0_17\lzma.dll

2009-11-04 06:58 . 2009-11-04 06:58 67 ----a-w- C:\Ntf8.tmp

2009-11-04 06:58 . 2009-11-04 06:58 67 ----a-w- C:\Ntf7.tmp

2009-11-03 11:46 . 2009-06-04 13:45 -------- d-----w- c:\documents and settings\User\Application Data\Skype

2009-11-03 07:46 . 2009-11-03 06:11 3736 ----a-w- C:\Ntf5.tmp

2009-11-03 06:11 . 2009-11-03 06:11 67 ----a-w- C:\Ntf6.tmp

2009-10-27 08:37 . 2009-06-08 07:12 -------- d-----w- c:\program files\MechSoft

2009-10-12 11:57 . 2009-06-04 13:45 -------- d-----w- c:\program files\Google

2009-10-12 10:39 . 2009-09-15 05:49 -------- d-----w- c:\program files\DGG

2009-10-12 10:37 . 2009-06-08 08:09 117488 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT

2009-10-12 06:48 . 2009-10-12 06:48 -------- d-----w- c:\program files\Camozzi S.p.A

2009-10-11 02:17 . 2009-06-26 11:36 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-10-05 09:41 . 2009-10-05 09:41 318 ----a-r- c:\documents and settings\User\Application Data\Microsoft\Installer\{598312E2-A807-49AD-8797-08FCB319EFEC}\NewShortcut3_3A94DDCE65094E4D88E2ACA7DB0FAFB8.exe

2009-10-05 09:41 . 2009-10-05 09:41 318 ----a-r- c:\documents and settings\User\Application Data\Microsoft\Installer\{598312E2-A807-49AD-8797-08FCB319EFEC}\NewShortcut1_27E256CB6C9D486DBD0CF2BA79797B2C.exe

2009-10-05 09:41 . 2009-10-05 09:41 2238 ----a-r- c:\documents and settings\User\Application Data\Microsoft\Installer\{598312E2-A807-49AD-8797-08FCB319EFEC}\NewShortcut2_09E499C971A546A98F4435DEDEE563D2.exe

2009-10-05 09:41 . 2009-10-05 09:41 10134 ----a-r- c:\documents and settings\User\Application Data\Microsoft\Installer\{598312E2-A807-49AD-8797-08FCB319EFEC}\ARPPRODUCTICON.exe

2009-10-05 09:41 . 2009-10-05 09:41 -------- d-----w- c:\program files\KeytoMetals

2009-10-01 06:41 . 2009-08-07 15:52 -------- d-----w- c:\program files\Lexmark X1100 Series

2009-10-01 05:17 . 2009-10-01 05:17 -------- d-----w- c:\program files\Common Files\Business Objects

2009-09-26 05:57 . 2009-09-26 05:57 -------- d-----w- c:\program files\Trend Micro

2009-09-26 05:56 . 2009-09-26 05:55 -------- d-----w- c:\program files\HJT

2009-09-26 05:11 . 2009-09-26 05:11 -------- d-----w- c:\documents and settings\User\Application Data\Malwarebytes

2009-09-26 05:11 . 2009-09-26 05:11 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-25 05:04 . 2009-09-25 05:04 67 ----a-w- C:\Ntf4.tmp

2009-09-25 05:04 . 2009-09-25 05:04 67 ----a-w- C:\Ntf3.tmp

2009-09-17 09:09 . 2009-09-17 09:09 -------- d-----w- c:\documents and settings\User\Application Data\DassaultSystemes

2009-09-13 06:50 . 2009-09-13 06:50 -------- d-----w- c:\documents and settings\User\Application Data\Ahead

2009-09-13 06:02 . 2009-06-08 06:57 -------- d-----w- c:\program files\PowerISO

2009-09-12 07:17 . 2009-06-08 08:03 -------- d-----w- c:\program files\Autodesk

.

((((((((((((((((((((((((((((( SnapShot@2009-11-03_12.01.59 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-11-05 06:34 . 2009-11-05 06:34 16384 c:\windows\Temp\usgthrsvc\Perflib_Perfdata_580.dat

+ 2009-11-04 15:02 . 2009-11-04 15:02 16384 c:\windows\Temp\Perflib_Perfdata_5f8.dat

+ 2009-11-05 06:34 . 2009-11-05 06:34 16384 c:\windows\Temp\Perflib_Perfdata_184.dat

+ 2009-06-02 10:59 . 2009-11-04 14:24 23040 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\unbndico.exe

- 2009-06-02 10:59 . 2009-11-03 11:15 23040 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\unbndico.exe

- 2009-06-02 10:59 . 2009-11-03 11:15 61440 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pubs.exe

+ 2009-06-02 10:59 . 2009-11-04 14:24 61440 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pubs.exe

+ 2009-06-02 10:59 . 2009-11-04 14:24 27136 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\oisicon.exe

- 2009-06-02 10:59 . 2009-11-03 11:15 27136 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\oisicon.exe

+ 2009-06-02 10:59 . 2009-11-04 14:24 11264 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\mspicons.exe

- 2009-06-02 10:59 . 2009-11-03 11:15 11264 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\mspicons.exe

- 2009-06-02 10:59 . 2009-11-03 11:15 86016 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\inficon.exe

+ 2009-06-02 10:59 . 2009-11-04 14:24 86016 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\inficon.exe

+ 2009-06-02 10:59 . 2009-11-04 14:24 12288 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\cagicon.exe

- 2009-06-02 10:59 . 2009-11-03 11:15 12288 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\cagicon.exe

- 2009-06-02 10:59 . 2009-11-03 11:15 4096 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\opwicon.exe

+ 2009-06-02 10:59 . 2009-11-04 14:24 4096 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\opwicon.exe

+ 2009-06-26 11:36 . 2009-10-11 02:17 149280 c:\windows\system32\javaws.exe

- 2009-06-26 11:36 . 2009-07-25 02:23 149280 c:\windows\system32\javaws.exe

- 2009-06-26 11:36 . 2009-07-25 02:23 145184 c:\windows\system32\javaw.exe

+ 2009-06-26 11:36 . 2009-10-11 02:17 145184 c:\windows\system32\javaw.exe

- 2009-06-26 11:36 . 2009-07-25 02:23 145184 c:\windows\system32\java.exe

+ 2009-06-26 11:36 . 2009-10-11 02:17 145184 c:\windows\system32\java.exe

+ 2009-06-02 10:59 . 2009-11-04 14:24 409600 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\xlicons.exe

- 2009-06-02 10:59 . 2009-11-03 11:15 409600 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\xlicons.exe

- 2009-06-02 10:59 . 2009-11-03 11:15 286720 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe

+ 2009-06-02 10:59 . 2009-11-04 14:24 286720 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe

+ 2009-06-02 10:59 . 2009-11-04 14:24 249856 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pptico.exe

- 2009-06-02 10:59 . 2009-11-03 11:15 249856 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pptico.exe

- 2009-06-02 10:59 . 2009-11-03 11:15 794624 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\outicon.exe

+ 2009-06-02 10:59 . 2009-11-04 14:24 794624 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\outicon.exe

+ 2009-06-02 10:59 . 2009-11-04 14:24 135168 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\misc.exe

- 2009-06-02 10:59 . 2009-11-03 11:15 135168 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\misc.exe

- 2009-06-02 10:59 . 2009-11-03 11:15 593920 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\accicons.exe

+ 2009-06-02 10:59 . 2009-11-04 14:24 593920 c:\windows\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\accicons.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 1961984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-12 81000]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]

"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2008-11-08 1233800]

"SolidWorks_CheckForUpdates"="c:\program files\Common Files\SolidWorks Installation Manager\Scheduler\sldIMScheduler.exe" [2008-09-15 7218472]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"Lexmark X1100 Series"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"QuickTime Task"="c:\program files\MpcStar\Codecs\QuickTime\QTSystem\qttask.exe" [2009-07-14 413696]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-11-17 17676288]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LogonLauncher]

2006-08-29 12:59 65536 ----a-w- c:\windows\system32\LogLaun.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]

backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^AutoCAD Startup Accelerator.lnk]

backup=c:\windows\pss\AutoCAD Startup Accelerator.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Windows Desktop Search.lnk]

backup=c:\windows\pss\Windows Desktop Search.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^User^Start Menu^Programs^Startup^SolidWorks Task Scheduler Engine.lnk]

backup=c:\windows\pss\SolidWorks Task Scheduler Engine.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\BitComet\\BitComet.exe"=

"c:\\Program Files\\Autodesk\\backburner\\monitor.exe"=

"c:\\Program Files\\Autodesk\\backburner\\manager.exe"=

"c:\\Program Files\\Autodesk\\backburner\\server.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"16195:TCP"= 16195:TCP:BitComet 16195 TCP

"16195:UDP"= 16195:UDP:BitComet 16195 UDP

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 AeInput;AeInput;c:\windows\system32\drivers\AeInput.sys [31.8.2009 15:46 27904]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [23.6.2009 9:17 110160]

R2 AEServ;AEServ;c:\windows\system32\AEServEx.exe [31.8.2009 15:46 295424]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [23.6.2009 9:17 20560]

R2 KxNT;KxNT;c:\windows\system32\drivers\KxNT.sys [31.8.2009 15:46 154240]

R2 Viewpoint Service;Viewpoint Service;c:\program files\Viewpoint\Common\ViewpointService.exe [5.6.2009 15:41 30152]

R2 WinFLdrv;WinFLdrv;c:\windows\system32\WinFLdrv.sys [2.9.2009 16:17 10752]

S3 CoordinatorServiceHost;SW Distributed TS Coordinator Service;c:\program files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe [9.9.2008 5:01 79144]

S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\program files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [23.9.2005 6:01 2799808]

--- Other Services/Drivers In Memory ---

*Deregistered* - mbr

.

Contents of the 'Scheduled Tasks' folder

2009-11-05 c:\windows\Tasks\User_Feed_Synchronization-{D4CA7239-12D9-4F91-935C-3389C5C9B7E2}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 01:31]

.

------- Supplementary Scan -------

.

uStart Page = hxxp://google.atcomet.com/m/

IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm

IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm

IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-05 08:34

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\Instal

c:\windows\system32\WinFLdrv.sys 10752 bytes executable

c:\windows\system32\sys_drv.dat 17068 bytes

c:\windows\system32\sys_drv_2.dat 11044 bytes

c:\documents and settings\User\Application Data\systemfl.$dk 990 bytes

scan completed successfully

hidden files: 5

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\F*i*l*e*B*a*r*r*i*c*a*d*e*r*"! *2*0*0*7* *D*r*i*v*e*B*a*r*r*i*c*a*d*e*r*"!\Settings]

"Auto Start"="True"

"Auto Check Updates"="True"

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(800)

c:\windows\system32\LogLaun.dll

- - - - - - - > 'explorer.exe'(2652)

c:\windows\system32\WININET.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\IEFRAME.dll

c:\windows\system32\WPDShServiceObj.dll

c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll

c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL

c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\MSVCR80.dll

c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_eng.nlr

c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr

c:\windows\system32\msi.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\windows\system32\LEXBCES.EXE

c:\windows\system32\LEXPPS.EXE

c:\program files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\program files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\SearchIndexer.exe

c:\program files\FaronicsAE\Faronics Anti-Executable\AEManager.exe

c:\program files\Alwil Software\Avast4\ashMaiSv.exe

c:\program files\Alwil Software\Avast4\ashWebSv.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\rundll32.exe

c:\program files\Lexmark X1100 Series\lxbkbmon.exe

c:\program files\Viewpoint\Viewpoint Manager\ViewMgr.exe

.

**************************************************************************

.

Completion time: 2009-11-05 8:37 - machine was rebooted

ComboFix-quarantined-files.txt 2009-11-05 06:37

Pre-Run: 16.408.784.896 bytes free

Post-Run: 16.367.489.024 bytes free

Да знаете, че проблема е от месец Юли (Август),

програмите след това няма да са причина за вируса,

дето преименува папките в Програм Файлс

Мисълта ми е да ги игнорирате като по-безобидни

Ако е БакДор както писахте, може ли ръчно да ги

преименува някой или да ги изтрива ?

Цитирай

5 ноември 200916 г.

Автор

ДОПЪЛНЕНИЕ

Освен,че преименува имената на папките,

Много обича да изтрива лицензни файлове,

и три до четири дена, след инсталиране на

програма, излиза съобщение че няма лицензния файл

и пак преинсталирам и така през три , четири дена.

Предполагам че затрива лицензните файлове пак чрез

промяна на имената им. Те най-често са в Документс

анд Сетингс/ Алл Юзер / Апл.Дата / или из Систем32 или

Юзер/Локал Сетингс - там трие яко лицензните

Цитирай

5 ноември 200916 г.

По думите Ви разбирам, че не сте направили, това което Ви казах. Изтрийте вашето копие на ComboFix и изтеглете ново от:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

И накрая:

* ВАЖНО !!! Запазете ComboFix.exe на вашия десктоп

Изключете вашата антивирусна и антишпионска програма, обикновено това става чрез натискане на десния бутон на мишката върху иконата на програма в системния трей.

Бележка: Ако не можете я спрете или не сте сигурни коя програма да изключите, моля прегледайте информацията от този линк: How to Disable your Security Programs

Преименувайте ComboFix.exe на Tool.exe

Стартирайте Tool.exe и следвайте инструкциите.

Бележка: ComboFix ще се стартира без инсталирана Recovery Console.

Като част от неговата работа, ComboFix ще провери дали Microsoft Windows Recovery Console е инсталирана. Предвид бързо развиващия се зловреден софтуер е силно препоръчително да бъде инсталирана преди премахването на зловредния софтуер. Това ще Ви позволи да влезете в специален recovery/repair режим, който ще ни позволи по-лесно да решите проблем, който би могъл да възникне при премахване на зловредния софтуер.

Следвайте инструкциите, за да позволите на ComboFix да изтегли и инсталира Microsoft Windows Recovery Console. В един момент ще бъдете попитани дали сте съгласни с лицензното споразумение. Необходимо е да потвърдите, че сте съгласни, за да инсталирате Microsoft Windows Recovery Console.

** Забележете: Ако Microsoft Windows Recovery Console е вече инсталирана, ComboFix ще продължи към процеса по премахване на зловредния софтуер.

След като Microsoft Windows Recovery Console е инсталирана, използвайки ComboFix, Вие ще видите следното съобщение:

Изберете Yes, за да продължи сканирането за зловреден софтуер.

Когато процесът приключи успешно, инструментът ще създаде лог файл. Моля, включете съдържанието на C:\ComboFix.txt в следващия Ви коментар в тази тема.

Бележка:

Моля, не движете мишката, докато ComboFix работи. Това може да наруши процеса на работа.
ComboFix ще нулира всички настройки на Microsoft Internet Explorer, включително да направи IE браузър по подразбиране.
ComboFix ще изключи autorun функцията на ВСИЧКИ CD, Floppy и USB устройства, за да помогне при премахването на зловредния софтуер и Ви защити от бъдещи вируси/заплахи, които поразяват чрез autorun. Ако това е проблем за вас - моля, уведомете ме.
ComboFix ще изключи вашата интернет връзка. Интернет връзката ще се възстанови автоматично, преди ComboFix да завърши процеса на работа. При проблем, той ще прекрати интернет връзката. За да възстановите интернет връзката си, рестартирайте компютъра си.
В случай на проблем с ComboFix, той може да създаде лог файл. Моля, включете съдържанието на C:\BUG.txt в следващия Ви коментар в тази тема.

Работата на ComboFix, може да отнеме до 20-30 минути, за да завърши, моля имайте търпение.

Моля, не прикачвайте лог файла/овете от програмата, а го/ги копирайте и поставете в следващия Ви коментар в тази тема.

П.П.: От тук нататък при проблем, особено с ComboFix, питайте и не правете нищо, което не съм Ви казвал.

Цитирай

1

6 ноември 200916 г.

Автор

Като стартирах Тоолс от Десктопа излезе това нещо писах му НЕ и дотам

Атачмънт е КОМБО ТХТ , но има само картинка

COMBO.rtf

Цитирай

6 ноември 200916 г.

Може ли някакво стандартно разширение?

Цитирай

1

8 ноември 200916 г.

Автор

КОМБОТО му писах ДА на началния диалог, после ме пита дали да го ъпдейтвам

писах му НЕ и като стартира дада тоз ЛОГ:

ComboFix 09-11-05.01 - User 08.11.2009 8:27.4.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1251.359.1033.18.3583.3057 [GMT 2:00]

Running from: c:\documents and settings\User\Desktop\Tool.exe

AV: avast! antivirus 4.8.1282 [VPS 091107-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\User\Application Data\.#

.

((((((((((((((((((((((((( Files Created from 2009-10-08 to 2009-11-08 )))))))))))))))))))))))))))))))

.

2009-11-05 06:27 . 2009-11-05 06:37 -------- d-----w- C:\ComboFix

2009-11-04 14:25 . 2009-11-04 14:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk

2009-11-04 13:35 . 2009-11-04 13:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-11-04 07:13 . 2009-11-04 07:13 152576 ----a-w- c:\documents and settings\User\Application Data\Sun\Java\jre1.6.0_17\lzma.dll

2009-11-03 12:27 . 2009-11-03 12:27 -------- d-----w- c:\documents and settings\User\DoctorWeb

2009-11-02 10:36 . 2009-11-02 10:36 -------- d-----w- c:\documents and settings\User\Application Data\MozillaControl

2009-10-23 05:05 . 2009-10-23 05:05 -------- d-----w- c:\documents and settings\User\Application Data\cadenas

2009-10-19 10:07 . 2008-04-14 02:42 26624 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

2009-10-12 06:50 . 1998-07-30 09:51 305152 ----a-w- c:\windows\IsUninst.exe

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-11-08 06:12 . 2009-06-04 06:12 -------- d-----w- c:\documents and settings\User\Application Data\IM

2009-11-08 06:12 . 2009-11-08 06:12 67 ----a-w- C:\NtfF.tmp

2009-11-08 06:12 . 2009-11-08 06:12 67 ----a-w- C:\Ntf10.tmp

2009-11-06 14:45 . 2009-06-10 14:05 914832 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

2009-11-06 12:14 . 2009-06-04 07:01 -------- d-----w- c:\documents and settings\User\Application Data\SolidWorks

2009-11-05 10:47 . 2009-11-05 10:47 67 ----a-w- C:\NtfE.tmp

2009-11-05 10:47 . 2009-11-05 10:47 67 ----a-w- C:\NtfD.tmp

2009-11-05 10:20 . 2009-11-05 10:20 67 ----a-w- C:\NtfC.tmp

2009-11-05 10:20 . 2009-11-05 10:20 67 ----a-w- C:\NtfB.tmp

2009-11-05 07:31 . 2009-11-05 06:34 656 ----a-w- C:\Ntf9.tmp

2009-11-05 06:34 . 2009-11-05 06:34 67 ----a-w- C:\NtfA.tmp

2009-11-05 06:26 . 2009-06-08 06:44 -------- d-----w- c:\program files\BitComet

2009-11-04 14:50 . 2009-06-02 11:07 -------- d-----w- c:\program files\Common Files\Adobe

2009-11-04 11:57 . 2009-06-10 12:48 -------- d-----w- c:\documents and settings\User\Application Data\uTorrent

2009-11-04 07:14 . 2009-06-26 11:36 -------- d-----w- c:\program files\Java

2009-11-04 06:58 . 2009-11-04 06:58 67 ----a-w- C:\Ntf8.tmp

2009-11-04 06:58 . 2009-11-04 06:58 67 ----a-w- C:\Ntf7.tmp

2009-11-03 11:46 . 2009-06-04 13:45 -------- d-----w- c:\documents and settings\User\Application Data\Skype

2009-11-03 07:46 . 2009-11-03 06:11 3736 ----a-w- C:\Ntf5.tmp

2009-11-03 06:11 . 2009-11-03 06:11 67 ----a-w- C:\Ntf6.tmp

2009-10-27 08:37 . 2009-06-08 07:12 -------- d-----w- c:\program files\MechSoft

2009-10-12 11:57 . 2009-06-04 13:45 -------- d-----w- c:\program files\Google

2009-10-12 10:39 . 2009-09-15 05:49 -------- d-----w- c:\program files\DGG

2009-10-12 10:37 . 2009-06-08 08:09 117488 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT

2009-10-12 06:48 . 2009-10-12 06:48 -------- d-----w- c:\program files\Camozzi S.p.A

2009-10-11 02:17 . 2009-06-26 11:36 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-10-09 06:05 . 2009-10-09 06:05 152576 ----a-w- c:\documents and settings\User\Application Data\Sun\Java\jre1.6.0_15\lzma.dll

2009-10-07 09:40 . 2009-10-07 09:36 -------- d-----w- c:\program files\Festo