Помощ за откриване и премахване на вируси, троянски коне и..

27 ноември 200817 г.

Защо четеш през редовете ?

Не е преименуван отново HijackThis...

Исках лог от OtMoveIt3, не от HijackThis...

Не си поправил онези 4-тири обекта в HijackThis, за които бях писал по-нагоре...

Ако и Avira не се справи, изтегли Combofix.

Спираш защитата в реално време на антивирусната програма.

Отваряш Notepad и въвеждаш следната информация:

KillAll::


File::

C:\WINDOWS\system32\QuickTime.exe

Запазваш документа с име CFScript.txt и го провлачваш в иконата на Combofix !

27 ноември 200817 г.

Вече поправих 4-те обекта за които беше писал. Кое друго да преименувам?! Нали преименувах exe-to HiJackThis във hellothere както каза. След като Авирата сканира и откри следните вируси:

BAT/FtpGet.1 --> C:\WINDOWS\system32\i

TR/Patched.BU.9 Trojan --> C:\WINDOWS\system32\dmserver.dll

APPL/HideWindows.31232.1 --> C:\WINDOWS\system32\cmdow.exe

TR/Drop.Agen.ckw.29 в system volume information A0001177.exe

Малко по-късно след сканирането защитата в реално време пък откри:

TR/Patched.BU.9 Trojan в папката C, а файла е ARK18.tmp обаче като избера да го премести в Quarantine го мести, но файла пак си стои там. Опитах ръчно да го изтрия, но само да кликна върху него и Авирата веднага го хваща и не се получава. Някакви предложения как да го премахна?!

27 ноември 200817 г.

Вече поправих 4-те обекта за които беше писал. Кое друго да преименувам?! Нали преименувах exe-to HiJackThis във hellothere както каза. След като Авирата сканира и откри следните вируси:

BAT/FtpGet.1 --> C:\WINDOWS\system32\i

TR/Patched.BU.9 Trojan --> C:\WINDOWS\system32\dmserver.dll

APPL/HideWindows.31232.1 --> C:\WINDOWS\system32\cmdow.exe

TR/Drop.Agen.ckw.29 в system volume information A0001177.exe

Малко по-късно след сканирането защитата в реално време пък откри:

TR/Patched.BU.9 Trojan в папката C, а файла е ARK18.tmp обаче като избера да го премести в Quarantine го мести, но файла пак си стои там. Опитах ръчно да го изтрия, но само да кликна върху него и Авирата веднага го хваща и не се получава. Някакви предложения как да го премахна?!

1. На мен не ми прилича на преименуван HijackThis:

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

2. Направи ли настройките преди да сканираш с програмата...бях ти дал за тях линк преди два поста.

Защо го местиш в Quarantine-a...не ти ли дава да си избереш направо Delete ?

http://www.kaldata.com/forums/index.php?s=...t&p=1017686

Особено внимание обърни на редактираната настройка (открита от deliq - да не се задава Secondary action):

3. Сканирай с програмата от подписа ми !

4. Ако се наложи минаваме на по-сериозни мерки: (засега не ги прилагай на своя глава) !

http://www.kaldata.com/forums/index.php?s=...t&p=1055496

Редактирано 27 ноември 200817 г. от B-boy[StyLe] (преглед на промените)

27 ноември 200817 г.

ОК. Явно след инсталирането му трябвало да се преименува.

Да направих настройките. Този последният вирус които го откри защитата в реално време му дадох delete, но си стои и не помръдва :rolleyes: Да ипълнявам ли дадените стъпки в точка 4 от предния ти пост?

П.С. ок ще сканирам и с нея...имам я

Редактирано 27 ноември 200817 г. от goplay89 (преглед на промените)

27 ноември 200817 г.

ОК. Явно след инсталирането му трябвало да се преименува.
Да направих настройките. Този последният вирус които го откри защитата в реално време му дадох delete, но си стои и не помръдва Да ипълнявам ли дадените стъпки в точка 4 от предния ти пост?

П.С. ок ще сканирам и с нея...имам я

Само защитата в реално време ли го открива...Я пусни нов скан на дял C:\ с оправените настройки и изтеглени UPDATE-и за антивирусната.

След това сканирай с Malwarebytes' Anti-Malware (от подписа ми).

За финал провери с Trend Micro Sysclean Package

Изтегли следните 3-части:

[*]Sysclean Package

[*]Virus Pattern Files

[*]Spyware Pattern Files

Направи папка в C:\ с име DCE

Копирай там и 3-те изтеглени файлове.

Разархивирай lpt702.zip и ssapiptn711.zip.

Стартирай sysclean.com => уверси се, че има поставени следните отметки:

Избери бутона SCAN.

След края на проверката, отвори отново папката C:\DCE и копирай съдържанието на лог файла sysclean.log

След това дай нов лог от преименуван вече Hijackthis + една снимка на процесите от Task manager-a.

Редактирано 11 декември 200817 г. от B-boy[StyLe] (преглед на промените)

27 ноември 200817 г.

При сканиране с оправените настройки и изтеглените ъпдейти Авира открива само вируса, който е в папка C ARK18.tmp като след откриването му и изтриването той отново си стои в C-то вече преименуван на ARKCA.tmp . При сканиране с MBAM не открива нищо, но Авирата и защитата и в реално време откри:

TR/Crypt.ULPM.Gen --> system32\x.exe

TR/Crypt.ULPM.Gen --> Document and Setings\Network Service\Local Settings\Temporary Internet Files\Content.IE5\MNOY7B6C\x[1]

APPL/HideWindows.31232.1 в system volume information A0001376.exe

Eто лог-а и от sysclean Trend Micro:

/--------------------------------------------------------------\

| Trend Micro System Cleaner |

| http://www.antivirus.com |

\--------------------------------------------------------------/

2008-11-27, 16:15:53, Auto-clean mode specified.

2008-11-27, 16:15:53, Initialized Rootkit Driver version 2.2.0.1004.

2008-11-27, 16:15:53, Running scanner "C:\DCE\TSC.BIN"...

2008-11-27, 16:16:05, Scanner "C:\DCE\TSC.BIN" has finished running.

2008-11-27, 16:16:05, TSC Log:

яюD a m a g e C l e a n u p E n g i n e ( D C E ) 6 . 0 ( B u i l d 1 0 6 4 )

W i n d o w s X P ( B u i l d 2 6 0 0 : S e r v i c e P a c k 3 )

S t a r t t i m e : G5B2J@BJ: >5<2@8 2 7 2 0 0 8 1 6 : 1 5 : 5 4

L o a d D a m a g e C l e a n u p T e m p l a t e ( D C T ) " C : \ D C E \ T M R D C T . p t n " ( v e r s i o n ) [ f a i l ]

L o a d D a m a g e C l e a n u p T e m p l a t e ( D C T ) " C : \ D C E \ t s c . p t n " ( v e r s i o n 9 9 2 ) [ s u c c e s s ]

C o m p l e t e t i m e : G5B2J@BJ: >5<2@8 2 7 2 0 0 8 1 6 : 1 6 : 0 5

E x e c u t e p a t t e r n c o u n t ( 3 0 3 1 ) , V i r u s f o u n d c o u n t ( 0 ) , V i r u s c l e a n c o u n t ( 0 ) , C l e a n f a i l e d c o u n t ( 0 )

2008-11-27, 16:16:05, Running scanner "C:\DCE\VSCANTM.BIN"...

2008-11-27, 16:23:21, Scanner "C:\DCE\VSCANTM.BIN" has finished running.

2008-11-27, 16:23:21, VSCANTM Log:

2008-11-27, 16:23:21, Files Detected:

Report Date : 11/27/2008 16:16:05

VSAPI Engine Version : 8.910-1002

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 680 (337976/337976 Patterns) (2008/11/27) (568006)

Command Line: C:\DCE\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /HOSPITAL=.\BACKUP /LR C:\*.* /P=C:\DCE\lpt$vpn.680

24097 files have been read.

24097 files have been checked.

24061 files have been scanned.

60622 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 11/27/2008 16:23:21 7 minutes 15 seconds (435.55 seconds) has elapsed.(18.075 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2008-11-27, 16:23:21, Files Clean:

Report Date : 11/27/2008 16:16:05

VSAPI Engine Version : 8.910-1002

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 680 (337976/337976 Patterns) (2008/11/27) (568006)

Command Line: C:\DCE\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /HOSPITAL=.\BACKUP /LR C:\*.* /P=C:\DCE\lpt$vpn.680

24097 files have been read.

24097 files have been checked.

24061 files have been scanned.

60622 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 11/27/2008 16:23:21 7 minutes 15 seconds (435.55 seconds) has elapsed.(18.075 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2008-11-27, 16:23:21, Clean Fail:

Report Date : 11/27/2008 16:16:05

VSAPI Engine Version : 8.910-1002

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 680 (337976/337976 Patterns) (2008/11/27) (568006)

Command Line: C:\DCE\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /HOSPITAL=.\BACKUP /LR C:\*.* /P=C:\DCE\lpt$vpn.680

24097 files have been read.

24097 files have been checked.

24061 files have been scanned.

60622 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 11/27/2008 16:23:21 7 minutes 15 seconds (435.55 seconds) has elapsed.(18.075 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2008-11-27, 16:23:21, Running scanner "C:\DCE\VSCANTM.BIN"...

2008-11-27, 16:24:18, Scanner "C:\DCE\VSCANTM.BIN" has finished running.

2008-11-27, 16:24:18, VSCANTM Log:

2008-11-27, 16:24:18, Files Detected:

Report Date : 11/27/2008 16:23:22

VSAPI Engine Version : 8.910-1002

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 680 (337976/337976 Patterns) (2008/11/27) (568006)

Command Line: C:\DCE\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /HOSPITAL=.\BACKUP /LR D:\*.* /P=C:\DCE\lpt$vpn.680

3321 files have been read.

3321 files have been checked.

3321 files have been scanned.

3433 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 11/27/2008 16:24:18 56 seconds (55.30 seconds) has elapsed.(16.651 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2008-11-27, 16:24:18, Files Clean:

Report Date : 11/27/2008 16:23:22

VSAPI Engine Version : 8.910-1002

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 680 (337976/337976 Patterns) (2008/11/27) (568006)

Command Line: C:\DCE\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /HOSPITAL=.\BACKUP /LR D:\*.* /P=C:\DCE\lpt$vpn.680

3321 files have been read.

3321 files have been checked.

3321 files have been scanned.

3433 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 11/27/2008 16:24:18 56 seconds (55.30 seconds) has elapsed.(16.651 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2008-11-27, 16:24:18, Clean Fail:

Report Date : 11/27/2008 16:23:22

VSAPI Engine Version : 8.910-1002

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 680 (337976/337976 Patterns) (2008/11/27) (568006)

Command Line: C:\DCE\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /HOSPITAL=.\BACKUP /LR D:\*.* /P=C:\DCE\lpt$vpn.680

3321 files have been read.

3321 files have been checked.

3321 files have been scanned.

3433 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 11/27/2008 16:24:18 56 seconds (55.30 seconds) has elapsed.(16.651 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2008-11-27, 16:24:18, Running scanner "C:\DCE\VSCANTM.BIN"...

2008-11-27, 16:24:24, Scanner "C:\DCE\VSCANTM.BIN" has finished running.

2008-11-27, 16:24:24, VSCANTM Log:

2008-11-27, 16:24:24, Files Detected:

Report Date : 11/27/2008 16:24:18

VSAPI Engine Version : 8.910-1002

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 680 (337976/337976 Patterns) (2008/11/27) (568006)

Command Line: C:\DCE\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /HOSPITAL=.\BACKUP /LR E:\*.* /P=C:\DCE\lpt$vpn.680

505 files have been read.

505 files have been checked.

505 files have been scanned.

505 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 11/27/2008 16:24:24 6 seconds (6.02 seconds) has elapsed.(11.911 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2008-11-27, 16:24:24, Files Clean:

Report Date : 11/27/2008 16:24:18

VSAPI Engine Version : 8.910-1002

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 680 (337976/337976 Patterns) (2008/11/27) (568006)

Command Line: C:\DCE\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /HOSPITAL=.\BACKUP /LR E:\*.* /P=C:\DCE\lpt$vpn.680

505 files have been read.

505 files have been checked.

505 files have been scanned.

505 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 11/27/2008 16:24:24 6 seconds (6.02 seconds) has elapsed.(11.911 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2008-11-27, 16:24:24, Clean Fail:

Report Date : 11/27/2008 16:24:18

VSAPI Engine Version : 8.910-1002

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 680 (337976/337976 Patterns) (2008/11/27) (568006)

Command Line: C:\DCE\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /HOSPITAL=.\BACKUP /LR E:\*.* /P=C:\DCE\lpt$vpn.680

505 files have been read.

505 files have been checked.

505 files have been scanned.

505 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 11/27/2008 16:24:24 6 seconds (6.02 seconds) has elapsed.(11.911 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2008-11-27, 16:24:24, Running SSAPI scanner ""...

2008-11-27, 16:29:27, SSAPI Log:

SSAPI Scanner Version: 1.0.1003

SSAPI Engine Version: 5.2.1032

SSAPI Pattern Version: 7.09

SSAPI Anti-Rootkit Version: 2.2.0.1004

Spyware Scan Started: 11/27/2008 16:24:27

Detected: 0 items.

Spyware Scan Ended: 11/27/2008 16:29:27

Scan Complete. Time=303.197174.

Ето лог и от преименуваният HiJack:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:50:45, on 27.11.2008 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20772)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\Hellothere\Hellothere.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.topnovini.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = irc.homeftp.net:3128

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Bluetooth.lnk = ?

O8 - Extra context menu item: &Download All with FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 5362 bytes

И снимка на процесите от Таск мениджъра

Редактирано 27 ноември 200817 г. от goplay89 (преглед на промените)

27 ноември 200817 г.

Процесите и лога от HijackThis изглеждат наред.

Притеснява ме обаче, че макар да е преименуван, оригиналното *.exe си стои в папката по-подразбиране -

C:\Program Files\Trend Micro\Hellothere\Hellothere.exe

Може би, ако го преместиш в главната на C:\ (C:\Hellothere.exe)...

Надявам се си спрял System Restore.

Тук ще видиш как.

http://www.kaldata.com/forums/index.php?sh...p;#entry1055496

След това изпълни стъпката за Combofix (спри преди да го изтеглиш защитата на Аvira в реално време).

Накрая почисти временните файлове с ATF-Claner.

Избери опцията "Select All" => махни отметката на Prefetch => избери Empty Selected.

Няма да е лошо да направиш и една проверка с GMER за вски случай :

http://gmer.net/gmer.zip

Редактирано 27 ноември 200817 г. от B-boy[StyLe] (преглед на промените)

27 ноември 200817 г.

Ох малко се пообърках ... сега в крайна сметка коя да оставя ? Все ми се струва че Антивир не върши работа ....

27 ноември 200817 г.

Виж Нода, платен ли ти е т.е имаш ли абонамент, ако имаш остави него, но ако е свален от някой торент махaй го на часа и си качи ANTIvir http://www.free-av.com/en/download/1/avira..._antivirus.html. Nod е добър, но само когато имаш абонамент ако е кракнат не се абдейтва коректно, и няма смисал от него, но ако ти се дават пари влез в сайта и си купи абонамент. Ако решиш да взимаш платена програма Panda и Kasperski са малко по добри. Ако си с платена програма трябва да преинсталираш компа за да тръгне от чиста среда антивирусната иначе има опасност да не работи коректно програмата.

27 ноември 200817 г.

Ох малко се пообърках ... сега в крайна сметка коя да оставя ? Все ми се струва че Антивир не върши работа ....

1.Дръпни си avast home от тук:

http://avast.kaldata.com/index.php?Itemi...t&task=view

2.Дърпаш кабела на нета.

3.Ънинстал на старите антивирусни.

4.Пусни ccleaner да изчисти компа и регистрите.

5.Рестарт

6.Инсталирай avast home

7.Включваш нета правиш регистрация,ъпдейт и честито

Редактирано 27 ноември 200817 г. от jbojanov (преглед на промените)

27 ноември 200817 г.

System Restore е спрян. Направих стъпката с ComboFix, поиска ми рестарт и след това онзи *.tmp файл в C-то, който непрекъснато се преименуваше когато Авирата го хване изчезна. Реших да сканирам и с SUPERAntiSpyware Free edition. Откри ми три гадини:

C:\WINDOWS\Prefetch\CSRSC.exe-1FAEB30F.pf

system32 CSRSC.exe

и в memory processes отново същото system32\CSRSC.exe

Рестартирах, ъпдейтнах Авирата и сканирах. Много се изненадох когато ми откри 28 гадини

Основно тези: APPL/PsExes.E, NirCmd.E.2.B, SPR/Tool.Hide.A и по-голямата част бяха TR/Crypt.ULPM.Gen .

Намираха се в system volume information и Document and Settings\Network Service\........

След това пуснах и ATF Cleaner, както писа в горния си пост. Следващат стъпка ми беше да преместя преименуваният HiJackThis в C. А ето и лог-а:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:33, on 2008-11-27

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20772)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hellothere\Hellothere.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.topnovini.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157