Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Препоръчан отговор


Malwarebytes' Anti-Malware 1.41

Версия на базата от данни: 3202

Windows 5.1.2600 Service Pack 3

20.11.2009 г. 19:26:41

mbam-log-2009-11-20 (19-26-41).txt

Тип сканиране: Пълно сканиране (C:\|)

Сканирани обекти: 138817

Изминало време: 24 minute(s), 43 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 1

Заразени процеси в паметта:

(Не бяха открити заплахи)

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

Заразени папки:

(Не бяха открити заплахи)

Заразени файлове:

C:\Documents and Settings\po\Local Settings\temp\ie.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:31:19, on 20.11.2009 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Nhksrv.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Dell\AccessDirect\dadapp.exe

C:\WINDOWS\MMKeybd.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\HijackThis\Kaldata.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe

O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\MMKeybd.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Program Files\QIP\qip.exe (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255021797379

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--

End of file - 4394 bytes

Линк към този отговор
Сподели в други сайтове

Здравейте popopa!

Аз съм Maniac и ще Ви помагам да почистите вашата система от зловреден софтуер. Анализа на логовете, както и премахването на зловредния софтуер, може да отнеме време, затова моля бъдете търпеливи. Моля, имайте предвид следното:

  • Аз ще Ви помагам само за почистването на вашата система от зловреден софтуер. За всякакви други проблеми, моля създайте нова тема в съответния форум и опишете детайлно проблема Ви.
  • Решението се отнася само за този проблем и само на този компютър.
  • Задължително трябва да разполагате с администраторски привилегии, за да получим възможността успешно да почистим вашата системата.
  • Следвайте инструкциите ми стриктно, докато не Ви кажа, че системата Ви е напълно чиста. Това, че симптомите са изчезнали, не значи че всичко е наред.
  • Ако не разбирате нещо, моля Ви попитайте ме, а не рискувайте. По-добре е малко да се позабавим, отколкото да усложним нещата.
  • При наличие на руткит, аз не гарантирам 100% почистване.
  • Проявете търпение, защото процедурата по почистването на вашата система може да отнеме известно време, в зависимост от вида на зловредния софтуер.
  • Цялата кореспонденция минава през тази тема, не създавайте нова тема и не използвайте друга тема за тази цел.

Стъпка 1:

Изтеглете Security Check от screen317 от тук или тук и го запаметете на вашия десктоп.

  • Кликнете два пъти върху SecurityCheck.exe и следвайте инструкциите.
  • Накрая, автоматично ще се отвори текстов документ, наречен checkup.txt, моля поставете съдържанието му в следващия Ви коментар в тази тема.

Стъпка 2:

Изтеглете ComboFix от някой от следните линкове:

Линк 1

Линк 2

* ВАЖНО !!! Запазете ComboFix.exe на вашия десктоп

  • Изключете вашата антивирусна и антишпионска програма, обикновено това става чрез натискане на десния бутон на мишката върху иконата на програма в системния трей.

Бележка: Ако не можете я спрете или не сте сигурни коя програма да изключите, моля прегледайте информацията от този линк: How to Disable your Security Programs

  • Преименувайте ComboFix.exe на Tool.exe

  • Стартирайте Tool.exe и следвайте инструкциите.

Бележка: ComboFix ще се стартира без инсталирана Recovery Console.

  • Като част от неговата работа, ComboFix ще провери дали Microsoft Windows Recovery Console е инсталирана. Предвид бързо развиващия се зловреден софтуер е силно препоръчително да бъде инсталирана преди премахването на зловредния софтуер. Това ще Ви позволи да влезете в специален recovery/repair режим, който ще ни позволи по-лесно да решите проблем, който би могъл да възникне при премахване на зловредния софтуер.

  • Следвайте инструкциите, за да позволите на ComboFix да изтегли и инсталира Microsoft Windows Recovery Console. В един момент ще бъдете попитани дали сте съгласни с лицензното споразумение. Необходимо е да потвърдите, че сте съгласни, за да инсталирате Microsoft Windows Recovery Console.

** Забележете: Ако Microsoft Windows Recovery Console е вече инсталирана, ComboFix ще продължи към процеса по премахване на зловредния софтуер.

RcAuto1.gif

След като Microsoft Windows Recovery Console е инсталирана, използвайки ComboFix, Вие ще видите следното съобщение:

whatnext.png

Изберете Yes, за да продължи сканирането за зловреден софтуер.

Когато процесът приключи успешно, инструментът ще създаде лог файл. Моля, включете съдържанието на C:\ComboFix.txt в следващия Ви коментар в тази тема.

Бележка:

  1. Моля, не движете мишката, докато ComboFix работи. Това може да наруши процеса на работа.
  2. ComboFix ще нулира всички настройки на Microsoft Internet Explorer, включително да направи IE браузър по подразбиране.
  3. ComboFix ще изключи autorun функцията на ВСИЧКИ CD, Floppy и USB устройства, за да помогне при премахването на зловредния софтуер и Ви защити от бъдещи вируси/заплахи, които поразяват чрез autorun. Ако това е проблем за вас - моля, уведомете ме.
  4. ComboFix ще изключи вашата интернет връзка. Интернет връзката ще се възстанови автоматично, преди ComboFix да завърши процеса на работа. При проблем, той ще прекрати интернет връзката. За да възстановите интернет връзката си, рестартирайте компютъра си.
  5. В случай на проблем с ComboFix, той може да създаде лог файл. Моля, включете съдържанието на C:\BUG.txt в следващия Ви коментар в тази тема.

Работата на ComboFix, може да отнеме до 20-30 минути, за да завърши, моля имайте търпение.

Моля, не прикачвайте лог файла/овете от програмата, а го/ги копирайте и поставете в следващия Ви коментар в тази тема.

Линк към този отговор
Сподели в други сайтове

Maniac, здравейте!

Прибягвам отново до вашите услуги за съжаление. Молбата ми е в процеса на премахване на зловредния софтуер да разбера от къде съм го лепнал. Напоследък ползвах доста фри софтуер и предполагам е от там :yanim: Деинсталирал съм НОД32 преди ComboFix, защото не иска да се спре от никъде. Ето лог файловете:

Results of screen317's Security Check version 0.99.0

Windows XP Service Pack 3

``````````````````````````````

Antivirus/Firewall Check:

Windows Firewall Enabled!

NOD32 antivirus system

Antivirus up to date!

``````````````````````````````

Anti-malware/Other Utilities Check:

HijackThis 2.0.2

Adobe Flash Player 10

``````````````````````````````

Process Check:

objlist.exe by Laurent

Eset nod32krn.exe

Eset nod32kui.exe

``````````````````````````````

DNS Vulnerability Check:

GREAT! (Not vulnerable to DNS cache poisoning)

`````````End of Log```````````

ComboFix 09-11-20.02 - po 11.2009 г. 8:27.5.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1251.359.1033.18.1535.1003 [GMT 2:00]

Running from: c:\documents and settings\po\Desktop\Tool.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\Fonts\SimHei.ttf

.

((((((((((((((((((((((((( Files Created from 2009-10-21 to 2009-11-21 )))))))))))))))))))))))))))))))

.

2009-11-21 06:27 . 2008-04-13 18:40 96512 -c--a-w- c:\windows\system32\dllcache\atapi.sys

2009-11-21 06:27 . 2008-04-13 18:40 96512 ----a-w- c:\windows\system32\drivers\atapi.sys

2009-11-20 16:59 . 2009-11-20 17:00 -------- d-----w- c:\program files\HP USB Disk Storage Format Tool

2009-11-14 01:41 . 2009-11-14 01:45 -------- d-----w- c:\documents and settings\po\Application Data\avidemux

2009-11-14 01:15 . 2009-11-14 02:32 -------- d-----w- c:\program files\Avidemux 2.5

2009-11-12 16:54 . 2008-03-21 11:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll

2009-11-12 16:32 . 2009-11-12 16:31 25512 ----a-w- c:\windows\system32\drivers\ggsemc.sys

2009-11-12 16:32 . 2009-11-12 16:31 13224 ----a-w- c:\windows\system32\drivers\ggflt.sys

2009-11-12 16:32 . 2009-11-12 16:31 1112288 ----a-w- c:\windows\system32\WdfCoInstaller01007.dll

2009-11-11 20:52 . 2009-11-11 20:52 -------- d-----w- c:\documents and settings\All Users\Application Data\BVRP Software

2009-11-11 18:02 . 2008-01-09 09:28 27632 ----a-w- c:\windows\system32\drivers\seehcri.sys

2009-11-11 18:00 . 2008-05-16 10:33 115752 ----a-w- c:\windows\system32\drivers\s0016unic.sys

2009-11-11 18:00 . 2008-05-16 10:33 10792 ----a-w- c:\windows\system32\drivers\s0016cr.sys

2009-11-11 18:00 . 2008-05-16 10:33 114216 ----a-w- c:\windows\system32\drivers\s0016mgmt.sys

2009-11-11 18:00 . 2008-05-16 10:33 110632 ----a-w- c:\windows\system32\drivers\s0016obex.sys

2009-11-11 18:00 . 2008-05-16 10:33 25512 ----a-w- c:\windows\system32\drivers\s0016nd5.sys

2009-11-11 18:00 . 2008-05-16 10:33 12200 ----a-w- c:\windows\system32\drivers\s0016cmnt.sys

2009-11-11 18:00 . 2008-05-16 10:33 12200 ----a-w- c:\windows\system32\drivers\s0016cm.sys

2009-11-11 18:00 . 2008-05-16 10:33 120744 ----a-w- c:\windows\system32\drivers\s0016mdm.sys

2009-11-11 18:00 . 2008-05-16 10:33 15016 ----a-w- c:\windows\system32\drivers\s0016mdfl.sys

2009-11-11 18:00 . 2008-05-16 10:33 89256 ----a-w- c:\windows\system32\drivers\s0016bus.sys

2009-11-11 18:00 . 2008-05-16 10:33 12200 ----a-w- c:\windows\system32\drivers\s0016whnt.sys

2009-11-11 18:00 . 2008-05-16 10:33 12200 ----a-w- c:\windows\system32\drivers\s0016wh.sys

2009-11-11 17:50 . 2009-11-11 17:53 -------- d-----w- c:\windows\system32\drivers\UMDF

2009-11-10 18:11 . 2009-11-10 18:11 -------- d-----w- c:\program files\Common Files\L&H

2009-11-01 13:45 . 2009-11-01 18:24 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2009-11-01 13:44 . 2009-11-01 16:20 -------- d-----w- c:\documents and settings\po\Application Data\Any Video Converter Professional

2009-11-01 13:44 . 2009-11-01 13:45 -------- d-----w- c:\program files\Any Video Converter Professional

2009-10-31 14:23 . 2009-10-31 22:23 -------- d-----w- C:\ZCVideoConverter

2009-10-28 20:11 . 2009-10-28 20:11 -------- d-----w- c:\documents and settings\po\Application Data\Miranda

2009-10-28 20:11 . 2009-10-28 20:11 -------- d-----w- c:\program files\Miranda IM

2009-10-28 07:17 . 2008-04-14 01:11 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll

2009-10-28 07:17 . 2008-04-14 01:11 21504 ----a-w- c:\windows\system32\hidserv.dll

2009-10-28 07:17 . 2008-04-13 19:39 14592 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys

2009-10-28 07:17 . 2008-04-13 19:39 14592 ----a-w- c:\windows\system32\drivers\kbdhid.sys

2009-10-28 07:17 . 2008-04-13 19:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys

2009-10-28 07:17 . 2008-04-13 19:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys

2009-10-24 22:00 . 2009-10-24 22:01 -------- d-----w- c:\program files\ICE Book Reader Professional

2009-10-24 20:53 . 2009-10-24 20:55 -------- d-----w- c:\documents and settings\po\Application Data\cr3

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-11-21 06:23 . 2008-09-05 10:28 -------- d-----w- c:\program files\Eset

2009-11-20 22:31 . 2009-08-10 21:17 -------- d-----w- c:\documents and settings\po\Application Data\uTorrent

2009-11-20 17:00 . 2008-09-05 08:45 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-11-14 18:11 . 2008-09-07 14:17 -------- d-----w- c:\documents and settings\po\Application Data\Skype

2009-11-12 16:54 . 2009-11-12 16:54 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf

2009-11-12 16:54 . 2009-11-12 16:54 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf

2009-11-12 16:31 . 2008-12-01 19:06 -------- d-----w- c:\program files\Sony Ericsson

2009-11-11 17:59 . 2008-12-01 19:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Sony Ericsson

2009-10-19 19:47 . 2009-08-10 21:10 -------- d-----w- c:\program files\The KMPlayer

2009-10-11 20:25 . 2009-10-11 20:24 -------- d-----w- c:\program files\K-Lite Codec Pack

2009-10-11 06:09 . 2008-09-05 09:04 18312 ----a-w- c:\documents and settings\po\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-10-10 17:21 . 2008-09-07 14:17 -------- d-----r- c:\program files\Skype

2009-10-09 18:00 . 2009-10-11 20:24 85504 ----a-w- c:\windows\system32\ff_vfw.dll

2009-10-09 17:57 . 2008-12-14 13:00 -------- d-----w- c:\program files\Microsoft Silverlight

2009-10-08 20:14 . 2009-10-08 18:01 -------- d-----w- c:\program files\MobilityDotNET

2009-10-06 13:14 . 2009-10-06 13:14 7406 ----a-r- c:\documents and settings\po\Application Data\Microsoft\Installer\{3CD84DFC-2616-4983-B99D-09036FA3970F}\_88C359B14CDA98528E98DF.exe

2009-10-06 13:14 . 2009-10-06 13:14 7406 ----a-r- c:\documents and settings\po\Application Data\Microsoft\Installer\{3CD84DFC-2616-4983-B99D-09036FA3970F}\_345C72BB6C37F2642B9A87.exe

2009-10-06 13:14 . 2009-10-06 13:14 7406 ----a-r- c:\documents and settings\po\Application Data\Microsoft\Installer\{3CD84DFC-2616-4983-B99D-09036FA3970F}\_21F3885A18D238E15AAE81.exe

2009-10-06 13:14 . 2009-10-06 13:14 448870 ----a-r- c:\documents and settings\po\Application Data\Microsoft\Installer\{3CD84DFC-2616-4983-B99D-09036FA3970F}\_6FEFF9B68218417F98F549.exe

2009-10-06 13:14 . 2009-10-06 13:14 13358 ----a-r- c:\documents and settings\po\Application Data\Microsoft\Installer\{3CD84DFC-2616-4983-B99D-09036FA3970F}\_27BAC7B57020D669B234F7.exe

2009-10-06 13:14 . 2009-10-06 13:14 -------- d-----w- c:\program files\Foxit Software

2009-10-04 17:15 . 2009-10-04 17:15 56 ---ha-w- c:\windows\system32\ezsidmv.dat

2009-10-04 17:14 . 2009-10-04 17:14 -------- d-----w- c:\program files\Common Files\Skype

2009-10-04 17:14 . 2008-09-07 14:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype

2009-10-04 17:02 . 2008-09-08 17:27 -------- d-----w- c:\documents and settings\po\Application Data\skypePM

2009-10-04 12:58 . 2009-10-04 12:58 -------- d-----w- c:\documents and settings\Administrator\Application Data\Teleca

2009-10-04 12:57 . 2009-10-04 12:57 -------- d-----w- c:\documents and settings\Administrator\Application Data\Sony Ericsson

2009-10-03 15:25 . 2009-09-24 19:24 -------- d-----w- c:\program files\CoreCodec

2009-10-03 15:24 . 2008-09-06 19:54 -------- d-----w- c:\program files\BSplayerPro

2009-10-03 15:24 . 2009-09-23 19:36 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-10-03 13:53 . 2008-09-06 20:15 -------- d-----w- c:\program files\CyberLink

2009-10-03 13:48 . 2008-09-07 14:14 -------- d-----w- c:\program files\Google

2009-09-27 21:04 . 2009-09-27 20:44 -------- d-----w- c:\documents and settings\po\Application Data\Media Player Classic

2009-09-23 19:36 . 2009-09-23 19:36 -------- d-----w- c:\documents and settings\po\Application Data\Malwarebytes

2009-09-23 19:36 . 2009-09-23 19:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-09-10 11:54 . 2009-09-23 19:36 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-10 11:53 . 2009-09-23 19:36 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]

"DadApp"="c:\program files\Dell\AccessDirect\dadapp.exe" [2004-03-04 211828]

"DellTouch"="c:\windows\MMKeybd.exe" [2002-01-16 163840]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2001-09-04 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WZCSVC"=2 (0x2)

"TapiSrv"=3 (0x3)

"gusvc"=2 (0x2)

"wuauserv"=2 (0x2)

"6to4"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\QIP\\qip.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\G & Co.Ltd\\IOServers\\GatewayHost.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Miranda IM\\miranda32.exe"=

"c:\\Program Files\\Sony Ericsson\\Update Service\\Update Service.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21.9.2008 г. 10:35 685816]

R2 Nhksrv;Netropa NHK Server;c:\windows\Nhksrv.exe [07.9.2008 г. 11:52 28672]

R3 Msikbd2k;DellTouch;c:\windows\system32\drivers\Msikbd2k.sys [07.9.2008 г. 11:52 6656]

R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [11.11.2009 г. 20:02 27632]

S2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [11.11.2009 г. 19:59 90112]

S3 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\Firebird_1_5\bin\fbguard.exe -s --> c:\program files\Firebird\Firebird_1_5\bin\fbguard.exe -s [?]

S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\Firebird_1_5\bin\fbserver.exe -s --> c:\program files\Firebird\Firebird_1_5\bin\fbserver.exe -s [?]

S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [12.11.2009 г. 18:32 13224]

S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [11.11.2009 г. 20:00 89256]

S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [11.11.2009 г. 20:00 15016]

S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [11.11.2009 г. 20:00 120744]

S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [11.11.2009 г. 20:00 114216]

S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [11.11.2009 г. 20:00 25512]

S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [11.11.2009 г. 20:00 110632]

S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [11.11.2009 г. 20:00 115752]

S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [01.12.2008 г. 21:14 81832]

S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [01.12.2008 г. 21:15 13864]

S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [01.12.2008 г. 21:15 107304]

S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [01.12.2008 г. 21:15 99112]

S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [01.12.2008 г. 21:15 21928]

S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [01.12.2008 г. 21:15 97320]

S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [01.12.2008 г. 21:15 97704]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - CLASSPNP_2

*Deregistered* - CLASSPNP_2

.

.

------- Supplementary Scan -------

.

uStart Page = about:blank

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\po\Application Data\Mozilla\Firefox\Profiles\4zewgcx2.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.kaldata.com/forums/index.php?showtopic=142099

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

.

- - - - ORPHANS REMOVED - - - -

AddRemove-HijackThis - c:\hijackthis\HijackThis.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-21 08:31

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys atapi.sys sptd.sys hal.dll >>UNKNOWN [0x8A2818AC]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf763bf28

\Driver\ACPI -> ACPI.sys @ 0xf74accb8

\Driver\atapi -> atapi.sys @ 0xf783bb40

IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598

ParseProcedure -> ntoskrnl.exe @ 0x8056c1d6

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598

ParseProcedure -> ntoskrnl.exe @ 0x8056c1d6

NDIS: 3Com 3C920 Integrated Fast Ethernet Controller (3C905C-TX Compa -> SendCompleteHandler -> NDIS.sys @ 0xf7a22b0a

PacketIndicateHandler -> NDIS.sys @ 0xf7a2da21

SendHandler -> NDIS.sys @ 0xf7a22949

user & kernel MBR OK

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

atapi.sys @ 0x0 0x0 bytes

\Driver\atapi [ IRP_MJ_CREATE ] 0xA6F2 != 0xF783BB40 atapi.sys

\Driver\atapi [ IRP_MJ_CLOSE ] 0xA6F2 != 0xF783BB40 atapi.sys

\Driver\atapi [ IRP_MJ_DEVICE_CONTROL ] 0xA712 != 0xF783BB40 atapi.sys

\Driver\atapi [ IRP_MJ_INTERNAL_DEVICE_CONTROL ] 0x6852 != 0xF783BB40 atapi.sys

\Driver\atapi [ IRP_MJ_POWER ] 0xA73C != 0xF783BB40 atapi.sys

\Driver\atapi [ IRP_MJ_SYSTEM_CONTROL ] 0x11336 != 0xF783BB40 atapi.sys

\Driver\atapi IRP hooks detected !

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'lsass.exe'(860)

c:\windows\system32\relog_ap.dll

.

Completion time: 2009-11-21 08:33

ComboFix-quarantined-files.txt 2009-11-21 06:33

Pre-Run: 4 800 729 088 bytes free

Post-Run: 4 953 350 144 bytes free

- - End Of File - - 6DB9870B08859CAB44899B1482A6B164

Линк към този отговор
Сподели в други сайтове

Стъпка 1:

Моля, изтеглете exeHelper (от Raktor) и го запазете на вашия десктоп.

  • Кликнете два пъти върху exeHelper.com , за да стартирате инструмента.
  • Ще изскочи черен прозорец, натиснете произволен клавишен бутон, за да го затворите, но след като приключи.
  • Поставете съдържанието на log.txt . Лог файлът ще бъде създаден на вашия десктоп.

Бележка: Ако се появи надписа "Error deleting file", моля стартирайте повторно файла, преди да поставите лог файла. Накрая публикувайте и двата лог файла (те ще се съдържат в един и същ файл).

Стъпка 2:

1) Изтеглете: ESET Online Scanner

2) Стартирайте esetsmartinstaller_enu.exe

3) Сложете отметка на YES, I accept the Terms of Use и изберете Start

4) Скенерът ще започне да изтегля компонентите, които са му необходими.

5) Уверете се, че има отметки на следните редове, включително и тези от менюто Advanced Settings:


  • Remove found threats
  • Scan archives
  • Scan for potentially unwanted applications
  • Scan for potentially unsafe applications
  • Enable Anti-Stealth technology

И накрая изберете Start

6) Скенерът ще започне да изтегля последните дефиниции.

7) След, като сканирането завърши изберете Finish.

8) Отидете в:

C:\Program Files\ESET\ESET Online Scanner

Отворете файла log.txt , копирайте съдържанието му и го поставете в следващия си пост тук.

Линк към този отговор
Сподели в други сайтове

exeHelper by Raktor

Build 20091121

Run at 12:08:02 on 11/21/09

Now searching...

Checking for numerical processes...

Checking for sysguard processes...

Checking for bad processes...

Checking for bad files...

Checking for bad registry entries...

Resetting filetype association for .exe

Resetting filetype association for .com

Resetting userinit and shell values...

Resetting policies...

--Finished--

[email protected] as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6211

# api_version=3.0.2

# EOSSerial=258f686a19d0c8459aaee4dd6a48093b

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2009-11-21 10:53:19

# local_time=2009-11-21 12:53:19 (+0200, FLE Standard Time)

# country="Bulgaria"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=8192 67108863 100 0 3781 3781 0 0

# scanned=45864

# found=3

# cleaned=3

# scan_time=2475

C:\Program Files\QIP\qip.exe a variant of Win32/Induc.A virus (deleted - quarantined) 00000000000000000000000000000000 C

C:\System Volume Information\_restore{182A7B9C-CF01-4CB9-A546-A71953D15847}\RP26\A0007971.reg Win32/HackAV.G application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\System Volume Information\_restore{182A7B9C-CF01-4CB9-A546-A71953D15847}\RP26\A0008225.exe a variant of Win32/Induc.A virus (deleted - quarantined) 00000000000000000000000000000000 C


Линк към този отговор
Сподели в други сайтове

Вашият антивирусен софтуер е много стара версия. Затова:

Стъпка 1:

Моля, отидете на Start --> Settings --> Control Panel --> Add or Remove Programs, и деинсталирайте следните програми (Ако присъстват в списъка):

NOD32 Antivirus System

Накрая рестартирайте компютъра си.

Стъпка 2:

Проверете за останали папки от старата Ви антивирусна програма, с име ESET на следните места:

  • C:\Program files
  • C:\Documents and Settings\All users\Application data

Ако съществуват ги изтрийте, а накрая не забравяйте да изпразните и Recycle Bin

Стъпка 3:

Изтеглете и инсталирайте актуална версия от серия 4 на ESET NOD32:

http://www.eset.bg/forum/viewtopic.php?f=3&t=1119&sid=c01c9b8be0b417d1f1ba17520a1cb65d

Стъпка 4:

Направете Standard Scan (Стандартно сканиране) и ми пишете за резултатите от сканирането и как се държи вашата система след направените процедури.

Линк към този отговор
Сподели в други сайтове

Инсталирах демо версията на НОД, преди това деинсталирах QIP(където имаше зараза), както и изтрих целия рестор. След сканиране с НОД-а няма нищо, сканирах и с Malwarebytes, също нищо.

Линк към този отговор
Сподели в други сайтове

Надявам се всичко е наред, аз не забелязвам нищо нередно, но и неразбирам почти нищо от всичките логове които побликувах тук, за това и не съм сигурен дали всичко е наред!? Благодаря помоща ви е безценна и пожелавам много успехи на екипа!

Линк към този отговор
Сподели в други сайтове

Аз не виждам вече нищо опасно, но най-важно е при Вас как е положението. Радвам се, че е наред!

Благодаря за пожеланията! :yanim:

Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване