Проблем с Personal Security [РЕШЕН]

9 март 201016 г.

здравейте!

имам един проблем,активира ми се personal security и security center които ми прецакват нещо системата

изчезват ми иконите от desktop-а и заявяват че системата ми има 42 вируса които мога да премахна като им заплатя лиценз

ако някой може да помогне моля нека да пише

Редактирано 10 март 201016 г. от nologo
Корекция на заглавието на темата (преглед на промените)

9 март 201016 г.

здравейте!
имам един проблем,активира ми се personal security и security center които ми прецакват нещо системата
изчезват ми иконите от desktop-а и заявяват че системата ми има 42 вируса които мога да премахна като им заплатя лиценз
ако някой може да помогне моля нека да пише

Изтегли Malwarebytes от http://Malwarebytes.net/ обнови и пусни фул-скан.

Цитирай

9 март 201016 г.

Хвърли eдно око и на тази тема.

Редактирано 9 март 201016 г. от 3SSS (преглед на промените)

Цитирай

9 март 201016 г.

Автор

Изтегли Malwarebytes от http://Malwarebytes.net/ обнови и пусни фул-скан.

свалих free версията кликвам на фаила дава ми "run"кликвам и нищо

доста съм "босичък" в тези работи има ли значение къде свалям фаила C\или D\

Редактирано 9 март 201016 г. от kokko (преглед на промените)

Цитирай

9 март 201016 г.

свалих free версията кликвам на фаила дава ми "run"кликвам и нищо
доста съм "босичък" в тези работи има ли значение къде свалям фаила C\или D\

В такъв случай,трябва да смениш,разширението на файла от .exe на .com

Тогава ще се стартира успех.

Няма значение,къде си свалил файла,преименувай го на MBARMY.com и го стартирай.

Редактирано 9 март 201016 г. от M_Polyce (преглед на промените)

Цитирай

9 март 201016 г.

Автор

В такъв случай,трябва да смениш,разширението на файла от .exe на .com
Тогава ще се стартира успех.
Няма значение,къде си свалил файла,преименувай го на MBARMY.com и го стартирай.

пак не иска изкача ми"windows няма достъп до указаното устроиство,път или фаил.Може да нямате подходящите права за достъп до елемента"

Цитирай

9 март 201016 г.

Изтеглете Win32kDiag от някой от следните линкове и го запазете на вашия десктоп.

Кликнете два пъти върху Win32kDiag.exe, за да стартирате Win32kDiag , след което я изчакайте да приключи работата си.
Когато изпише "Finished! Press any key to exit...", натиснете произволен бутон от вашата клавиатура, за да се затвори прозореца.
Кликнете два пъти върху Win32kDiag.txt, който се намира на вашия десктоп и поставете цялото съдържание на лог файла в следващия Ви коментар в тази тема.

Цитирай

9 март 201016 г.

Автор

' date='09 март 2010 - 22:54 ' timestamp='1268168092' post='1653569']

Изтеглете Win32kDiag от някой от следните линкове и го запазете на вашия десктоп.

Линк #1
Линк #2
Линк #3

Кликнете два пъти върху Win32kDiag.exe, за да стартирате Win32kDiag , след което я изчакайте да приключи работата си.
Когато изпише "Finished! Press any key to exit...", натиснете произволен бутон от вашата клавиатура, за да се затвори прозореца.
Кликнете два пъти върху Win32kDiag.txt, който се намира на вашия десктоп и поставете цялото съдържание на лог файла в следващия Ви коментар в тази тема.

Running from: C:\Documents and Settings\User-PC\Desktop\Win32kDiag.exe

Log file at : C:\Documents and Settings\User-PC\Desktop\Win32kDiag.txt

WARNING: Could not get backup privileges!

Searching 'C:\WINDOWS'...

Finished!

незнам дали е важно но като стартирам комп-а и се появят тези security...иконите от десктопа изчезват и се налага да кликам бързичко на нещо ако искам да го отворя и после нов рестарт за да отворя друго (за това се и бавя)

Цитирай

9 март 201016 г.

СТЪПКА 1

Изтеглете и инсталирайте инструмента RKill (от Grinler) чрез някои от следните линкове и го запазете на вашия десктоп.

Изключете вашата антивирусна програма, обикновено това става чрез натискане на десния бутон на мишката върху иконата на програма в системния трей.

Стартирайте изтегления инструмент

Ако използвате операционна система Windows Vista или Windows 7 ще е необходимо да стартирате файла, като кликнете с десния бутон на мишката върху него и изберете Run As Administrator

Ако програмата успешно успява да свърши своята работа, то ще се появи черен прозорец, който ще е признак за това. В противен случай, изтрийте това копие на RKill и изтеглете ново от друг линк и продължете така, докато някой от вариантите проработи.

СТЪПКА 2

*. Изтеглете Combofix.

*. Запазете го на на декстопа.

*. Стартирайте инструмента с двукратен клик на мишката.

*. По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !

*. Публикувайте лог файла, който ще се създаде след рестарта на компютъра в следващия си пост.

Цитирай

9 март 201016 г.

Автор

' date='09 март 2010 - 23:20 ' timestamp='1268169645' post='1653595']
СТЪПКА 1

Изтеглете и инсталирайте инструмента RKill (от Grinler) чрез някои от следните линкове и го запазете на вашия десктоп.

Линк 1
Линк 2
Линк 3
Линк 4

Изключете вашата антивирусна програма, обикновено това става чрез натискане на десния бутон на мишката върху иконата на програма в системния трей.

Стартирайте изтегления инструмент

Ако използвате операционна система Windows Vista или Windows 7 ще е необходимо да стартирате файла, като кликнете с десния бутон на мишката върху него и изберете Run As Administrator

Ако програмата успешно успява да свърши своята работа, то ще се появи черен прозорец, който ще е признак за това. В противен случай, изтрийте това копие на RKill и изтеглете ново от друг линк и продължете така, докато някой от вариантите проработи.

СТЪПКА 2

*. Изтеглете Combofix.

*. Запазете го на на декстопа.

*. Стартирайте инструмента с двукратен клик на мишката.

*. По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !

*. Публикувайте лог файла, който ще се създаде след рестарта на компютъра в следващия си пост.

стартирах RKILL от 1-вия линк пак не ставаше нищо но натиснах "излез"от старт менюто,след което влезнах и пак тъка ,докато се виждаха иконите го стартирах.

Сега вече се виждат

Това е log fail-a:This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as User-PC on 03.2010 Ј. at 23:29:20.

Processes terminated by Rkill or while it was running:

C:\WINDOWS\system32\nvsvc32.exe

C:\DOCUME~1\User-PC\LOCALS~1\Temp\Jst.exe

C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe

C:\Documents and Settings\User-PC\Desktop\rkill.pif

Rkill completed on 03.2010 Ј. at 23:29:21.

M,foc.gdld; u; ijcmud 2

Цитирай

9 март 201016 г.

Продължете със стъпка 2.

Цитирай

9 март 201016 г.

Автор

' date='09 март 2010 - 23:43 ' timestamp='1268171001' post='1653606']
Продължете със стъпка 2.

ComboFix 10-03-09.04 - User-PC 03.2010 г. 23:52:17.1.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1251.359.1033.18.1983.1582 [GMT 2:00]

Running from: c:\documents and settings\User-PC\Desktop\ComboFix.exe

AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

FW: ESET Personal firewall *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

* Created a new restore point

* Resident AV is active

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\program files\PersSecurity

c:\program files\PersSecurity\psecurity.exe

c:\windows\system32\ammppg.dll

c:\windows\system32\sshnas21.dll

c:\windows\system32\win32extension.dll

c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_SSHNAS

-------\Service_SSHNAS

((((((((((((((((((((((((( Files Created from 2010-02-09 to 2010-03-09 )))))))))))))))))))))))))))))))

.

2010-03-08 22:08 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll

2010-03-08 22:08 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll

2010-03-08 21:54 . 2010-03-08 21:39 164864 ----a-w- c:\windows\Jlujeb.exe

2010-03-08 21:36 . 2010-03-08 21:36 -------- d-----w- c:\program files\Common Files\PersSecurityUninstall

2010-03-08 21:34 . 2010-03-08 21:34 164864 ----a-w- c:\windows\Jlujea.exe

2010-03-08 20:27 . 2010-03-08 20:27 152576 ----a-w- c:\documents and settings\User-PC\Application Data\Sun\Java\jre1.6.0_17\lzma.dll

2010-03-06 14:20 . 2010-03-08 21:52 -------- d-----w- c:\documents and settings\User-PC\Application Data\######

2010-03-05 19:49 . 2010-03-05 19:49 -------- d-----w- c:\documents and settings\User-PC\Application Data\ImTOO Software Studio

2010-02-25 09:30 . 2010-02-25 09:50 -------- d-----w- c:\program files\Common Files\Real

2010-02-20 18:32 . 2010-02-20 18:32 -------- d-----w- c:\windows\solcache

2010-02-19 20:55 . 2010-02-19 20:55 -------- d-----w- c:\documents and settings\User-PC\Local Settings\Application Data\WMTools Downloaded Files

2010-02-18 08:49 . 2010-03-05 11:01 -------- d-----w- c:\documents and settings\User-PC\Application Data\f2fPreIntermediate

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-08 21:53 . 2009-06-10 16:39 -------- d-----w- c:\documents and settings\User-PC\Application Data\Skype

2010-03-08 20:26 . 2010-01-08 19:35 79488 ----a-w- c:\documents and settings\User-PC\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

2010-03-08 18:53 . 2008-12-19 17:01 -------- d-----w- c:\documents and settings\User-PC\Application Data\skypePM

2010-03-07 22:33 . 2008-06-04 08:38 -------- d-----w- c:\documents and settings\User-PC\Application Data\uTorrent

2010-03-06 13:42 . 2009-12-04 15:21 -------- d-----w- c:\documents and settings\User-PC\Application Data\Winamp

2010-03-01 20:00 . 2009-04-26 07:30 -------- d-----w- c:\program files\Microsoft Silverlight

2010-02-26 09:24 . 2008-06-04 08:38 -------- d-----w- c:\program files\uTorrent

2010-02-21 13:53 . 2008-06-04 08:37 -------- d-----w- c:\program files\Common Files\Adobe

2010-02-20 17:07 . 2009-01-10 23:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Codemasters

2010-02-20 15:16 . 2008-06-04 08:24 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-02-17 17:20 . 2008-12-26 00:30 107888 ----a-w- c:\windows\system32\CmdLineExt.dll

2010-02-12 11:58 . 2010-01-19 18:52 -------- d-----w- c:\documents and settings\User-PC\Application Data\f2fElementary

2010-02-04 22:41 . 2008-06-04 07:48 -------- d-----w- c:\program files\System

2010-02-04 22:40 . 2008-06-04 07:51 -------- d-----w- c:\program files\Windows Media Connect 2

2010-02-04 22:36 . 2008-12-29 15:09 -------- d-----w- c:\program files\Google

2010-02-03 20:00 . 2009-04-15 15:11 139128 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys

2010-02-03 20:00 . 2009-04-15 15:11 215128 ----a-w- c:\windows\system32\PnkBstrB.exe

2010-02-03 19:18 . 2008-12-22 23:04 138056 ----a-w- c:\documents and settings\User-PC\Application Data\PnkBstrK.sys

2010-02-03 19:18 . 2009-04-15 15:10 75064 ----a-w- c:\windows\system32\PnkBstrA.exe

2010-02-03 19:18 . 2010-02-03 19:18 2434856 ----a-w- c:\windows\system32\pbsvc_bc2.exe

2010-01-31 22:23 . 2009-04-18 19:19 2250024 ----a-w- c:\windows\system32\pbsvc.exe

2010-01-19 19:38 . 2008-06-04 08:14 19192 ----a-w- c:\documents and settings\User-PC\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-12-12 12:29 . 2008-06-04 07:48 445016 ----a-w- c:\windows\system32\wrap_oal.dll

2009-12-12 12:29 . 2008-06-04 07:48 109144 ----a-w- c:\windows\system32\OpenAL32.dll

.

------- Sigcheck -------

[-] 2008-04-24 . C951DB3D9B6EF3CF4B82454D30A8BF59 . 1614848 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Lite"="d:\games\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2007-12-21 1443072]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-11 13574144]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-23 487424]

"BigDog303"="c:\windows\VM303_STI.EXE" [2005-10-25 61440]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]

"amd_dc_opt"="c:\program files\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2009-12-18 40368]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

c:\documents and settings\User-PC\Start Menu\Programs\Startup\

######.lnk - d:\programi\fiestaBar\######.exe [2009-12-4 829440]

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2009-12-18 06:58 40368 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2005-05-03 10:43 69632 ------r- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

2008-04-13 18:42 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

2006-05-18 08:29 49152 ----a-w- c:\program files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2006-01-12 12:40 155648 ----a-w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

2008-09-11 09:13 13574144 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

2008-09-11 09:13 86016 ----a-w- c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

2008-09-11 09:13 1657376 ----a-w- c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

2005-12-07 19:57 30208 ------w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2007-08-20 07:38 16384512 ------r- c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

2009-10-09 11:11 25623336 ----a-r- c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TBPanel]

2008-09-05 16:24 2154496 ----a-w- c:\program files\Vtune\TBPANEL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"d:\\GAMES\\Race.Driver.GRID.RePack\\GRID\\GRID.exe"=

"d:\\GAMES\\FlatOut 2\\flatout2.exe"=

"d:\\GAMES\\Tom.Clancys.H.A.W.X-SKIDROW\\sr-tch\\HAWX.exe"=

"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

"d:\\GAMES\\Dirt.2-RELOADED\\dirt2_game.exe"=

"d:\\GAMES\\Operation.Flashpoint.Dragon.Rising-RELOADED\\OFDR.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.12.2008 і. 19:34 721904]

R2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [21.12.2007 і. 07:21 468224]

R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [11.10.2009 і. 23:28 222968]

S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [04.2.2010 і. 23:11 135664]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

.

Contents of the 'Scheduled Tasks' folder

2010-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 21:11]

2010-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 21:11]

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.msn.com

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\User-PC\Application Data\Mozilla\Firefox\Profiles\5jsf1ael.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.data.bg/

FF - component: c:\documents and settings\User-PC\Application Data\Mozilla\Firefox\Profiles\5jsf1ael.default\extensions\[email protected]\components\DTToolbarFF.dll

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Update\1.2.183.17\npGoogleOneClick8.dll

.

- - - - ORPHANS REMOVED - - - -

WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file)

HKCU-Run-PersSecurity - c:\program files\PersSecurity\psecurity.exe

AddRemove-PersSecurity - c:\program files\PersSecurity\psecurity.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-03-09 23:56

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

BigDog303 = c:\windows\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)????????????????0?????????@??????????????

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spun.sys >>UNKNOWN [0x8A31E938]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf763bf28

\Driver\ACPI -> ACPI.sys @ 0xf7495cb8

\Driver\atapi -> atapi.sys @ 0xf7978b40

IoDeviceObjectType -> ParseProcedure -> ntoskrnl.exe @ 0x8057b6b1

\Device\Harddisk0\DR0 -> ParseProcedure -> ntoskrnl.exe @ 0x8057b6b1

NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf7b3abb0

PacketIndicateHandler -> NDIS.sys @ 0xf7b47a21

SendHandler -> NDIS.sys @ 0xf7b2587b

user & kernel MBR OK

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1202660629-790525478-682003330-1003\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1202660629-790525478-682003330-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:e1,3f,08,00,2b,5f,ad,57,b1,23,9c,44,6d,9c,a3,e4,c9,4c,b4,d2,fd,92,7d,

5a,2d,18,71,55,d2,e4,29,24,85,ef,1e,bf,3a,76,7d,36,21,16,fe,21,e9,40,d0,6e,\

"??"=hex:b6,3c,a3,f5,1b,49,13,25,4e,a7,4b,c6,d1,2b,df,ea

[HKEY_USERS\S-1-5-21-1202660629-790525478-682003330-1003\Software\SecuROM\License information*]

"datasecu"=hex:a1,f9,4f,3d,9c,7c,8e,21,d4,6f,9d,d9,c7,bf,01,69,76,49,aa,6a,7a,

26,52,2b,24,70,cd,93,1a,7f,a5,17,d9,f2,4d,ea,ca,ee,f5,4e,56,a3,5f,68,00,d8,\

"rkeysecu"=hex:87,15,77,a3,da,f3,9b,39,49,4c,dd,d3,a6,ff,ac,ec

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(4064)

c:\windows\system32\msi.dll

c:\windows\system32\ieframe.dll

c:\windows\system32\OneX.DLL

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Other Running Processes ------------------------

.

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PnkBstrB.exe

c:\program files\Internet Explorer\IEXPLORE.EXE

c:\program files\CyberLink\Shared files\RichVideo.exe

c:\program files\Common Files\Teleca Shared\Generic.exe

c:\program files\Internet Explorer\IEXPLORE.EXE

c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

.

**************************************************************************

.

Completion time: 2010-03-09 23:58:34 - machine was rebooted

ComboFix-quarantined-files.txt 2010-03-09 21:58

Pre-Run: 6 884 372 480 bytes free

Post-Run: 9 897 594 880 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 0D6DA0C46742F038981DC4581E52F36F

' date='09 март 2010 - 23:43 ' timestamp='1268171001' post='1653606']
Продължете със стъпка 2.

нещо друго трябва ли да правя

автоматичните ъпдейтвания на "security center"трябва ли да ги изключа

от тези програми има ли ненужна:"Win32kDiag";"rkill"

"ComboFIx" предполагам ,че ще ми трябва

Цитирай

9 март 201016 г.

СТЪПКА 1

Отворете Control Panel => Add or remove programs => намерете от списъка и деинсталирайте Daemon Tools.

След това изтеглете този файл и го стартирайте.

Изберете Uninstall (ако това меню е активно).

Затворете приложението.

Ако се наложи рестартирайте компютъра.

СТЪПКА 2

*. Отворете notepad.exe и с copy/paste въведете следната информация:


http://www.kaldata.com/forums/index.php?showtopic=151217


KILLALL::

Driver::

SetupNTGLM7X

Collect::

c:\windows\Jlujea.exe

c:\documents and settings\User-PC\LOCAL SETTINGS\TEMP\Jst.exe

d:\ntglm7x.sys

DirLook::

c:\documents and settings\User-PC\Application Data\######

d:\programi\fiestaBar

Запазете файла с име CFScript и го провлачете и пуснете в Combofix (както е показано на картинката отдолу).

*. По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !

*. Публикувайте лог файла, който ще се създаде след рестарта на компютъра в следващия си пост.

Цитирай

10 март 201016 г.

Автор

стъпка1:

daemon tools го премахнах уж,обаче долу вдясно иконката си остана

след това изтеглих фаила,стартирах го и ми изписва:

C:\Document and Settings\User-PC\desktop\SPTDinst-v162-n86.exe isnot a valid Win32 application.

Сега я премахнах.Кликнах с десният бутон на мишката,след това "Exit" и изчезна.

Цитирай

10 март 201016 г.

стъпка1:
daemon tools го премахнах уж,обаче долу вдясно иконката си остана
след това изтеглих фаила,стартирах го и ми изписва:
C:\Document and Settings\User-PC\desktop\SPTDinst-v162-n86.exe isnot a valid Win32 application.

Сега я премахнах.Кликнах с десният бутон на мишката,след това "Exit" и изчезна.

Едва ли сте я премахнали така. С exit само я затваряте, което на нас не ни върши работа.

Би трябвало като изберете Add or Remove programs - Uninstall, процеса на деинсталация да убие активния процес на Daemon Tools и след това да я деинсталира.

Както и да е. Продължете със стъпка 2.

Цитирай

10 март 201016 г.

Автор

' date='10 март 2010 - 15:04 ' timestamp='1268226245' post='1653973']
Едва ли сте я премахнали така. С exit само я затваряте, което на нас не ни върши работа.
Би трябвало като изберете Add or Remove programs - Uninstall, процеса на деинсталация да убие активния процес на Daemon Tools и след това да я деинсталира.
Както и да е. Продължете със стъпка 2.

Мисля ,че я премахнах,защото като пусна търсачката на компютъра не намира "daemon tools"фаил

Обаче не намирам и "Notepad.exe"

Редактирано 10 март 201016 г. от kokko (преглед на промените)

Цитирай

10 март 201016 г.

Изтеглете прикачения файл и го провлачете и пуснете в Combofix (както е показано на картинката отдолу).

*. По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !

*. Публикувайте лог файла, който ще се създаде след рестарта на компютъра в следващия си пост.

CFScript.txt

Цитирай

10 март 201016 г.

Автор

' date='10 март 2010 - 21:24 ' timestamp='1268249059' post='1654396']
Изтеглете прикачения файл и го провлачете и пуснете в Combofix (както е показано на картинката отдолу).

*. По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !

*. Публикувайте лог файла, който ще се създаде след рестарта на компютъра в следващия си пост.

ComboFix 10-03-10.02 - User-PC 03.2010 г. 21:41:11.2.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1251.359.1033.18.1983.1476 [GMT 2:00]

Running from: c:\documents and settings\User-PC\Desktop\ComboFix.exe

Command switches used :: c:\documents and settings\User-PC\Desktop\CFScript.txt

AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

FW: ESET Personal firewall *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

* Resident AV is active

file zipped: c:\windows\Jlujea.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\Jlujea.exe

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_SETUPNTGLM7X

-------\Service_SetupNTGLM7X

((((((((((((((((((((((((( Files Created from 2010-02-10 to 2010-03-10 )))))))))))))))))))))))))))))))

.

2010-03-10 12:09 . 2010-03-10 12:09 -------- d-----w- c:\program files\MSXML 4.0

2010-03-10 07:42 . 2009-12-21 19:14 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll

2010-03-10 07:42 . 2009-12-21 19:14 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll

2010-03-08 22:08 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll

2010-03-08 22:08 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll

2010-03-08 21:54 . 2010-03-08 21:39 164864 ----a-w- c:\windows\Jlujeb.exe

2010-03-08 21:36 . 2010-03-08 21:36 -------- d-----w- c:\program files\Common Files\PersSecurityUninstall

2010-03-08 20:27 . 2010-03-08 20:27 152576 ----a-w- c:\documents and settings\User-PC\Application Data\Sun\Java\jre1.6.0_17\lzma.dll

2010-03-06 14:20 . 2010-03-10 07:38 -------- d-----w- c:\documents and settings\User-PC\Application Data\######

2010-03-05 19:49 . 2010-03-05 19:49 -------- d-----w- c:\documents and settings\User-PC\Application Data\ImTOO Software Studio

2010-02-25 09:30 . 2010-02-25 09:50 -------- d-----w- c:\program files\Common Files\Real

2010-02-20 18:32 . 2010-02-20 18:32 -------- d-----w- c:\windows\solcache

2010-02-19 20:55 . 2010-02-19 20:55 -------- d-----w- c:\documents and settings\User-PC\Local Settings\Application Data\WMTools Downloaded Files

2010-02-18 08:49 . 2010-03-05 11:01 -------- d-----w- c:\documents and settings\User-PC\Application Data\f2fPreIntermediate

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-10 12:08 . 2008-06-04 08:38 -------- d-----w- c:\documents and settings\User-PC\Application Data\uTorrent