Резултатите вече ме удовлетворяват.

Сега, архивирай папката C:\Qoobox и я качи на адрес => http://www.4storing.com/

След това деинсталирай Combofix с командата:

Start => Run => напиши

combofix /u

Пусни една профилактична проверка с тези две програми:

SUPERAntiSpyware Free и Malwarebytes' Anti-Malware

За SUPERAntiSpyware:

* стартирай програмата

* кликни бутонa Check For Updates

* след това избери Scan Your Computer

* вляво избери само дял C:, а вдясно избери Perform Complete Scan

* кликни Next и изчакай да сканира

* кликни Next, за да се премахнат намерените паразити и след това натисни Finish

* кликни бутона Preferences => придвижи се до Statistics/Logs избери лог файла и натисни бутона View Log

* копирай съдържанието му тук.

За Malwarebytes' Anti-Malware:

* стартирай програмата

* придвижи се до секцията Update и натисни Check for Updates

* след това отиди до категорията Scanner и избери Perform quick scan и кликни бутона Scan

* като приключи сканирането кликни върху бутон Remove Selected (или ако ти е на български премахни избраните)

* ще се появи текстов файл, копирай съдържанието му в следващия си отговор.

направих всичко което ми написа но при старт на малуера пак ми излезна същата грешка рънтайм ерор ,изтрих я инсталнах я наново и пак същото.иначе със суперспайуеъра нямаше никви проблеми инсталнах я пуснах я да сканира и ето резултата

[/codeSUPERAntiSpyware Scan Log

http://www.superantispyware.com

Generated 08/02/2009 at 11:01 PM

Application Version : 4.27.1000

Core Rules Database Version : 4033

Trace Rules Database Version: 1973

Scan type : Complete Scan

Total Scan Time : 00:25:18

Memory items scanned : 549

Memory threats detected : 0

Registry items scanned : 4584

Registry threats detected : 5

File items scanned : 20693

File threats detected : 29

Adware.DesktopSmileyToolbar

HKU\S-1-5-21-1409082233-884357618-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5617eca9-488d-4ba2-8562-9710b9ab78d2}

Adware.Tracking Cookie

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@sex9[2].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@adbrite[1].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@extra[1].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@galleries[4].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@sexdad[1].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@adprotraffic[1].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@galleries[13].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@galleries[1].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\[email protected][1].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@galleries[9].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@st[2].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@warmhotporn[1].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@galleries[16].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\[email protected][1].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\[email protected][1].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@galleries[7].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@fuckmaturewoman[2].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\[email protected][1].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\[email protected][2].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@magicsexteens[2].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@st[6].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@AdRotator[1].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\[email protected][1].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@aquteen[1].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@fuckerville[2].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\[email protected][2].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@st[4].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@galleries[3].txt

C:\Documents and Settings\Administrator.DESKTOP\Cookies\administrator@galleries[6].txt

Browser Hijacker.Internet Explorer Settings Hijack

HKU\S-1-5-21-1409082233-884357618-725345543-500\Software\Microsoft\Internet Explorer\Main#Start Page [ http://home.juicyaccess.com ]

Adware.MediaAccessStartup

HKU\S-1-5-21-1409082233-884357618-725345543-500\Software\Media Access Startup

Adware.DoubleD

HKLM\Software\DoubleD

HKLM\Software\DoubleD\doubled

всичко друго изглежда работи странно защо само малуерето неще,а ми беше любимата антивирусна толкова верно ми служеше

Пробвай нещо друго.

1. Деинсталирай Malwarebytes' Anti-Malware от ADD/Remove Programs.

2. Рестартирай компютъра.

3. Изтегли този инструмент и го стартирай за да почисти остатъцте - mbam-clean.exe.

4. Ако те попита дали да рестартира компютъра отново, се съгласи.

5. След рестарта изтегли и инсталирай последната версия на програмата оттук.

Пробвай нещо друго.

1. Деинсталирай Malwarebytes' Anti-Malware от ADD/Remove Programs.

2. Рестартирай компютъра.

3. Изтегли този инструмент и го стартирай за да почисти остатъцте - mbam-clean.exe.

4. Ако те попита дали да рестартира компютъра отново, се съгласи.

5. След рестарта изтегли и инсталирай последната версия на програмата оттук.

пак същото,странно защо само на тази програма.докато се рових из нета за този рънтайм намерих в сайта на майкрософт един фикс който е точно за тази грешка но и след като го инсталирах пак си остана проблема.ако имам и по големи проблеми за в бъдеще с тази грешка май ще трябва да преинсталирам

Добре искам да пробваш тази версия (1.40 beta 2). Ще ти я пратя по Л.С. защото се намира още в бета стадии на разработка.

В логовете на ComboFix не видях да имаш инсталиран и защитен продукт.

Изтегли и инсталирай някоя програма по-избор и направи пълна проверка с нея.

Искам също да отвориш Start => Run => напиши => msconfig => натисни Enter => отиди на BOOT.INI => и натисни опцията Check All boot path.

Добре искам да пробваш тази версия (1.40 beta 2). Ще ти я пратя по Л.С. защото се намира още в бета стадии на разработка.

В логовете на ComboFix не видях да имаш инсталиран и защитен продукт.

Изтегли и инсталирай някоя програма по-избор и направи пълна проверка с нея.

Искам също да отвориш Start => Run => напиши => msconfig => натисни Enter => отиди на BOOT.INI => и натисни опцията Check All boot path.

май стана,първо свалих бета версията но като пробвах да я пусна пак рънтайм ерор ,след това си потърсих антивирусна както ми препоръча срях се на аваст хоум едишън и я пуснах даже без да я обновявам ,тя започна едно много дълго сканиране което след около 15мин. беше сканирало само 2% от С-то и аз не издържах и прекъснах само че през това време беше хванала един троянец ,и след като спрях пробвах да пусна малуерето и хоп тръгна :)

май стана,първо свалих бета версията но като пробвах да я пусна пак рънтайм ерор ,след това си потърсих антивирусна както ми препоръча срях се на аваст хоум едишън и я пуснах даже без да я обновявам ,тя започна едно много дълго сканиране което след около 15мин. беше сканирало само 2% от С-то и аз не издържах и прекъснах само че през това време беше хванала един троянец ,и след като спрях пробвах да пусна малуерето и хоп тръгна :)

Съветвам те да обновиш дефинициите и да направиш пълна проверка на машината си. Ако толкова не можеш да я изтраеш я остави да сканира през нощта.

Обнови дефинициите на Malwarebytes и направи QUICK проверка с нея. Публикувай резултатите от проверките с MBAM и Avast! в следващия си пост.

mbam_log_2009_08_03__18_59_54_.txt

Съветвам те да обновиш дефинициите и да направиш пълна проверка на машината си. Ако толкова не можеш да я изтраеш я остави да сканира през нощта.

Обнови дефинициите на Malwarebytes и направи QUICK проверка с нея. Публикувай резултатите от проверките с MBAM и Avast! в следващия си пост.

това е от малуерето от аваста нещо немога да намеря къде лога.ако го намеря ще го пусна.

Готово! MBAM 1.40 излезе на бял свят. За повече информация:

http://www.malwarebytes.org/mbam.php

днес не можах да пусна Malwarebytes Anti-Malware дава това деинсталирах я и наново я инсталирах, но пак същото , помогнете

Редактирано 5 август 200916 г. от stonit (преглед на промените)

stonit, опитайте следното:

Моля, изтеглете Visual Basic Runtimes от следния линк и го инсталирайте:

http://www.microsoft.com/downloads/details...;displaylang=en

Рестартирайте системата Ви, след като инсталирането приключи.

Това трябва да елиминира проблема.

Ако не успее, деинсталирайте MalwareBytes' Anti-Malware и рестартирайте системата си.

След това, изтеглете Malwarebytes Anti-Malware от следния линк:

http://www.malwarebytes.org/mbam-download.php

И го инсталирайте по стандартния начин.

Надявам се, това да помогне.

Изтеглих Visual Basic Runtimes инсталирах и след това рестарт ,но нищо не се оправи .След това деинсталирах

Malwarebytes' Anti-Malware с Your Uninstaller! 2008 .Изтеглих Malwarebytes' Anti-Malware от линка и инсталирах .Всичко

бе добре до като пробвах да я обновя.Ето линк http://dox.bg/files/dw?a=fb35e87fba, защото от тук не можах да я кача .

Редактирано 6 август 200916 г. от stonit (преглед на промените)

Здравейте! Пак опрях до вас. От вчера периодично Malwarebytes' Anti-Malware ми съобщава,че е открита зараза - излиза ми едно балонче с предупреждение - 89.149.236.14 . На мен това ми прилича на IP адрес. Разглеждах много внимателно функциите на програмата, но за съжаление не разбрах къде да фиксирам проблема и как да го оправя. Направих 3 сканирания с Malwarebytes' Anti-Malware, но в доклада няма никаква информация - пише, че няма никакви зарази. Не знам дали има някаква връзка, но от известно време по Skype ме заливат с предложения разни хора от английски /предполагам/ произход да посетя техните сайтове, а някои питат и дали не съм си променила името на някакви места в нета - а аз никога не си говоря с непознати по скайпа, няма и кой друг да го направи.

Сканирах и с Avast , и с SUPERAntiSpyware - нищо.

И последното , което въобще не знам има ли връзка и на какво се дължи - вечер изключвам компютъра, на сутринта го откривам включен. Подозирах котката, честно казано - в момента компът ми е в кухнята заради ремонта вкъщи и може животинката да го закача , ама пък всяка нощ - тая котка ще е за Гинес тогава.

Та така - моля ви, кажете как да премахна тая зараза, защото много ме изнервя и нямам никаква идея какво е това и как ми се бърка в живота. Предварително благодаря / и пак - за предишните пъти, когато сте ме спасявали/.

Има развитие - вече числата, които програмата показва като зараза, са други. Не успях да ги запиша на ръка, защото се опитах да снимам екрана и балончето изчезна, разбира се.

Редактирано 6 август 200916 г. от tdkr (преглед на промените)

Здравейте! Пак опрях до вас. От вчера периодично Malwarebytes' Anti-Malware ми съобщава,че е открита зараза - излиза ми едно балонче с предупреждение - 89.149.236.14 . На мен това ми прилича на IP адрес. Разглеждах много внимателно функциите на програмата, но за съжаление не разбрах къде да фиксирам проблема и как да го оправя. Направих 3 сканирания с Malwarebytes' Anti-Malware, но в доклада няма никаква информация - пише, че няма никакви зарази. Не знам дали има някаква връзка, но от известно време по Skype ме заливат с предложения разни хора от английски /предполагам/ произход да посетя техните сайтове, а някои питат и дали не съм си променила името на някакви места в нета - а аз никога не си говоря с непознати по скайпа, няма и кой друг да го направи.

Сканирах и с Avast , и с SUPERAntiSpyware - нищо.

И последното , което въобще не знам има ли връзка и на какво се дължи - вечер изключвам компютъра, на сутринта го откривам включен. Подозирах котката, честно казано - в момента компът ми е в кухнята заради ремонта вкъщи и може животинката да го закача , ама пък всяка нощ - тая котка ще е за Гинес тогава.

Та така - моля ви, кажете как да премахна тая зараза, защото много ме изнервя и нямам никаква идея какво е това и как ми се бърка в живота. Предварително благодаря / и пак - за предишните пъти, когато сте ме спасявали/.

...ама при вас да разбирам ли че защитния модул който работи в реално време е активен...той до колкото знам е платен...и с каква антивирусна сте..?Как решихте че Malwarebytes' Anti-Malware ви искарва това съобщение с IP адреса!

Редактирано 6 август 200916 г. от icotonev (преглед на промените)

stonit, радвам се, че се е получило, защото екипа на mbam за пръв път бяха изправени пред такъв проблем и нямаха конкретно решение на проблема. Не деинсталирай никакъв продукт за защита, като например: antivirus, antispyware, antimalware, firewall, antispam и т.н. с такъв деинсталатор. Предлагам ти, също така да използваш Revo Uninstaller по-добрия вариант е, а и е безплатен на български език.

http://www.kaldata.com/comments.php?id=448...;highlight=revo

Сега, относно новата грешка. Колко бита ти е Windows - 32 или 64?

tdkr, в новата версия на MBAM 1.40 беше добавена нова функция - IP blocking protection. При опит за влизане в сайт съдържащ зловреден код, mbam го засича и го блокира. Затова и Ви показва тези балончета. Ако, те са чести, показва Ви ги при положение, че не сте се свързали към някой уеб сайт, пишете ни, за да проверим къде е проблема.

stonit, радвам се, че се е получило, защото екипа на mbam за пръв път бяха изправени пред такъв проблем и нямаха конкретно решение на проблема. Не деинсталирай никакъв продукт за защита, като например: antivirus, antispyware, antimalware, firewall, antispam и т.н. с такъв деинсталатор. Предлагам ти, също така да използваш Revo Uninstaller по-добрия вариант е, а и е безплатен на български език.

http://www.kaldata.com/comments.php?id=448...;highlight=revo

Сега, относно новата грешка. Колко бита ти е Windows - 32 или 64?

tdkr, в новата версия на MBAM 1.40 беше добавена нова функция - IP blocking protection. При опит за влизане в сайт съдържащ зловреден код, mbam го засича и го блокира. Затова и Ви показва тези балончета. Ако, те са чести, показва Ви ги при положение, че не сте се свързали към някой уеб сайт, пишете ни, за да проверим къде е проблема.

Kъде се намира този модул и моята версия е 1.40

Kъде се намира този модул и моята версия е 1.40

Става въпрос за платения вариант на програмата.

Става въпрос за платения вариант на програмата.

Аха ясно и аз така си помислих но все пак реших да питам

днес не можах да пусна Malwarebytes Anti-Malware дава това деинсталирах я и наново я инсталирах, но пак същото , помогнете

изтегли я на ново и пробвай пак.

виж дали имаш sp2 на windows-a

виж дали имаш sp2 на windows-a

Няма никакво значение,дали е с SP1/SP2 или SP3.

Kъде се намира този модул и моята версия е 1.40

Благодаря за отговорите.

Първо - да, "платена" версия е и защитният модул работи в реално време. Иначе съм с Avast Home, имам и SUPERAntiSpyware - те не засичат нищо.

Балончетата се появяват в лентата долу, именно от иконката на Malwarebytes' Anti-Malware. И най-важното - появяват се и когато не съм влязла в интернет - например сутринта още с пускането на компа - опа, не съм точна, той се беше пуснал сам, незнайно как .

Тази нова функция - IP blocking protection - не знам къде се намира, откъде мога да работя с нея евентуално, въпреки че пак разглеждах програмата. Пише само , че защитният модул е включен.

Какво още да ви кажа - уиндоуса ми е Windows XP Pro SP2 BG Interface. Друго не знам какво ви е необходимо като информация, но вече съм си вкъщи и на разположение на всеки, който може да ме посъветва нещо и да ми спести стреса от тия зарази, че скоро ще почна да кихам от тях.

Редактирано 6 август 200916 г. от tdkr (преглед на промените)

Нека видим лог файла от новата функция, дано това даде яснота. За целта, влез в:

C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\logs

Отвори файла/овете, копирай информация и я постави в следващия си пост в тази тема.

Нека видим лог файла от новата функция, дано това даде яснота. За целта, влез в:

C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\logs

Отвори файла/овете, копирай информация и я постави в следващия си пост в тази тема.

Понеже в папката има много лог файлове - 34 по-точно, копирах само последния - от бързо сканиране, после добавих и един от пълно сканиране за всеки случай. Ако ви трябват още, кажете.

Malwarebytes' Anti-Malware 1.40

Версия на базата от данни: 2568

Windows 5.1.2600 Service Pack 2

Malwarebytes' Anti-Malware 1.40

Версия на базата от данни: 2568

Windows 5.1.2600 Service Pack 2

06.8.2009 г. 06:08:02

mbam-log-2009-08-06 (06-08-02).txt

Тип сканиране: Бързо сканиране

Сканирани обекти: 89619

Изминало време: 2 minute(s), 58 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 0

Заразени процеси в паметта:

(Не бяха открити заплахи)

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

Заразени папки:

(Не бяха открити заплахи)

Заразени файлове:

(Не бяха открити заплахи)

Malwarebytes' Anti-Malware 1.40

Версия на базата от данни: 2562

Windows 5.1.2600 Service Pack 2

05.8.2009 г. 17:03:02

mbam-log-2009-08-05 (17-03-02).txt

Тип сканиране: Пълно сканиране (C:\|D:\|)

Сканирани обекти: 138293

Изминало време: 18 minute(s), 14 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 0

Заразени процеси в паметта:

(Не бяха открити заплахи)

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

Заразени папки:

(Не бяха открити заплахи)

Заразени файлове:

(Не бяха открити заплахи)

Редактирано 6 август 200916 г. от tdkr (преглед на промените)

В такъв случай, архивирай цялата папка я прикачи в www.rapidshare.com и накрая пусни линк за изтегляне, за да прегледам всички логове. А ти междувременно:

Стъпка 1:

Сега, изтеглете ATF Cleaner

Запазете го на вашия десктоп.

• Кликнете два пъти върху ATF-Cleaner.exe , за да стартирате програмата.
• Кликнете на Select All, който се намира в най-долната част на списъка.
• Кликнете на бутона Empty Selected.

Ако използвате браузъра Mozilla Firefox, направете следното:

• Кликнете върху Firefox, който се намира в началото и изберете Select All от списъка.
• Кликнете на бутона Empty Selected.
• Бележка: Ако искате да съхраните запазените пароли, моля кликнете на No от новопоявилия се прозорец.

Ако използвате браузъра Opera, направете следното:

• Кликнете върху Opera който се намира в началото и изберете Select All от списъка.
• Кликнете на бутона Empty Selected.
• Бележка: Ако искате да съхраните запазените пароли, моля кликнете на No от новопоявилия се прозорец.

Кликнете на бутона Exit, който се намира в главното меню, за да затворите програмата.

Стъпка 2:

Моля, изтеглете HijackThis от тук.

Запазете инструмента в негова собствена папка (Например в: C:\HJT). Преименувайте HiJackThis.exe на tool.exe

След това, отворете HijackThis, и изберете Do a system scan and save a logfile.

Ще Ви се отвори Notepad. Моля, поставете съдържанието на Notepad.

Стъпка 3:

Изтеглете RootRepeal от тук

Разархивирайте го на вашия десктоп.

• Кликнете два пъти върху RootRepeal.exe , за да стартирате програмата
• Кликнете на таба Report в долната част на прозореца
• Кликнете на бутона Scan
• Сложете отметки пред следното:

• Drivers

ProcessesSSDTHidden Services

• Кликнете на бутона OK
• На следващия диалогов прозорец, сложете отметки преди всички дялове (C:\ , D:\ ....)
• Кликнете на OK, за да започне процеса на сканиране

Бележка: Процеса на сканиране може да отнеме време. Моля, не стартирайте никакви програми, докато програмата сканира.

• Когато сканирането завърши успешно ще се появи бутона Save Report
• Кликнете върху Save Report и запишете лог файла на вашия десктоп, с име RootRepeal.txt
• Отворете File, след което Exit , за да затворите програмата.

Копирайте и поставете съдържанието на RootRepeal.txt в следващия си пост.

Стъпка 4:

Изтеглете DDS от тук или тук. Запазете го на вашия десктоп.

Изключете Real-Time защитата на вашия антивирусен софтуер и всякакви скриптови блокери. Накрая, стартирайте инструмента.

• Когато DDS приключи успешно анализа на системата Ви ще отвори два лог файла.

• DDS.txt

Attach.txt

• Запазете ги на вашия десктоп и след това ги прикачете към следващия си пост.

В такъв случай, архивирай цялата папка я прикачи в www.rapidshare.com и накрая пусни линк за изтегляне, за да прегледам всички логове. А ти междувременно:

Стъпка 1:

Сега, изтеглете ATF Cleaner

Запазете го на вашия десктоп.

• Кликнете два пъти върху ATF-Cleaner.exe , за да стартирате програмата.
• Кликнете на Select All, който се намира в най-долната част на списъка.
• Кликнете на бутона Empty Selected.

Ако използвате браузъра Mozilla Firefox, направете следното:

• Кликнете върху Firefox, който се намира в началото и изберете Select All от списъка.
• Кликнете на бутона Empty Selected.
• Бележка: Ако искате да съхраните запазените пароли, моля кликнете на No от новопоявилия се прозорец.

Ако използвате браузъра Opera, направете следното:

• Кликнете върху Opera който се намира в началото и изберете Select All от списъка.
• Кликнете на бутона Empty Selected.
• Бележка: Ако искате да съхраните запазените пароли, моля кликнете на No от новопоявилия се прозорец.

Кликнете на бутона Exit, който се намира в главното меню, за да затворите програмата.

Стъпка 2:

Моля, изтеглете HijackThis от тук.

Запазете инструмента в негова собствена папка (Например в: C:\HJT). Преименувайте HiJackThis.exe на tool.exe

След това, отворете HijackThis, и изберете Do a system scan and save a logfile.

Ще Ви се отвори Notepad. Моля, поставете съдържанието на Notepad.

Стъпка 3:

Изтеглете RootRepeal от тук

Разархивирайте го на вашия десктоп.

• Кликнете два пъти върху RootRepeal.exe , за да стартирате програмата
• Кликнете на таба Report в долната част на прозореца
• Кликнете на бутона Scan
• Сложете отметки пред следното:

• Drivers

ProcessesSSDTHidden Services

• Кликнете на бутона OK
• На следващия диалогов прозорец, сложете отметки преди всички дялове (C:\ , D:\ ....)
• Кликнете на OK, за да започне процеса на сканиране

Бележка: Процеса на сканиране може да отнеме време. Моля, не стартирайте никакви програми, докато програмата сканира.

• Когато сканирането завърши успешно ще се появи бутона Save Report
• Кликнете върху Save Report и запишете лог файла на вашия десктоп, с име RootRepeal.txt
• Отворете File, след което Exit , за да затворите програмата.

Копирайте и поставете съдържанието на RootRepeal.txt в следващия си пост.

Стъпка 4:

Изтеглете DDS от тук или тук. Запазете го на вашия десктоп.

Изключете Real-Time защитата на вашия антивирусен софтуер и всякакви скриптови блокери. Накрая, стартирайте инструмента.

• Когато DDS приключи успешно анализа на системата Ви ще отвори два лог файла.

• DDS.txt

Attach.txt

• Запазете ги на вашия десктоп и след това ги прикачете към следващия си пост.

Ох, стават дълги постове, но не знам с кой бутон да действам.

Така :

1.ATF-Cleaner - имах си го още от предишния път, когато бях закъсала, направих каквото трябва.

2.Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:40:37, on 06.8.2009 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20696)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\PicPick\picpick.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\Program Files\uTorrent\uTorrent.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Програми за комп\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.bg

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [PicPick Start] C:\Program Files\PicPick\picpick.exe

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Свали всички с Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Свали избраните с Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Свали с Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{AE55B42D-39B2-44BD-B217-90B93C8AD2FC}: NameServer = 91.148.149.1,193.24.240.25

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: lmab_device - Unknown owner - C:\WINDOWS\system32\LMabcoms.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--

End of file - 7575 bytes

3. Малко не разбрах кой е следващият диалогов прозорец, моля да ме извините. Като дам О.К. на # Drivers

# Processes

# SSDT

# Hidden Services, сканира се бързо и излиза следният лог файл :

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2009/08/06 20:03

Program Version: Version 1.3.3.0

Windows Version: Windows XP SP2

==================================================

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xAF21F000 Size: 98304 File Visible: No Signed: -

Status: -

Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xBAE48000 Size: 8192 File Visible: No Signed: -

Status: -

Name: PCI_PNP8350

Image Path: \Driver\PCI_PNP8350

Address: 0x00000000 Size: 0 File Visible: No Signed: -

Status: -

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xABB3A000 Size: 49152 File Visible: No Signed: -

Status: -

Name: splk.sys

Image Path: splk.sys

Address: 0xBA6A7000 Size: 1048576 File Visible: No Signed: -

Status: -

Name: sptd

Image Path: \Driver\sptd

Address: 0x00000000 Size: 0 File Visible: No Signed: -

Status: -

SSDT

-------------------

#: 025 Function Name: NtClose

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xaf23f6b8

#: 041 Function Name: NtCreateKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xaf23f574

#: 065 Function Name: NtDeleteValueKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xaf23fa52

#: 068 Function Name: NtDuplicateObject

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xaf23f14c

#: 071 Function Name: NtEnumerateKey

Status: Hooked by "splk.sys" at address 0xba6c6ca2

#: 073 Function Name: NtEnumerateValueKey

Status: Hooked by "splk.sys" at address 0xba6c7030

#: 119 Function Name: NtOpenKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xaf23f64e

#: 122 Function Name: NtOpenProcess

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xaf23f08c

#: 128 Function Name: NtOpenThread

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xaf23f0f0

#: 160 Function Name: NtQueryKey

Status: Hooked by "splk.sys" at address 0xba6c7108

#: 177 Function Name: NtQueryValueKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xaf23f76e

#: 204 Function Name: NtRestoreKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xaf23f72e

#: 247 Function Name: NtSetValueKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xaf23f8ae

#: 257 Function Name: NtTerminateProcess

Status: Hooked by "C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys" at address 0xaf345df0

==EOF==

Ей това обаче не го разбрах : # На следващия диалогов прозорец, сложете отметки преди всички дялове (C:\ , D:\ ....) - не видях такова нещо.

Засега ще пратя това и ще продължа със следващата стъпка. А, ето го и линка от лог файловете :http://rapidshare.com/files/264433607/Logs.rar.html

MD5: 7B9B888EB1C03ED3E53A5E3A6F35C664

http://rapidshare.com/files/264433607/Logs.rar.html - дано сега излезе като линк, че го бях объркала. Пък и дано съм натиснала правилния бутон.

Добре, това го оправих, но съм невежа - какво значи "всякакви скриптови блокери"? Отивам да почета в Гугъл...

Редактирано 6 август 200916 г. от tdkr (преглед на промените)