Автомобил злонамерени програми?

**sungod000** · #1 19 юни 2009 г., 08:12

Здравейте, компютъра ми изглежда да има някой злонамерен софтуер, които открих, когато чичо ми, свързани му USB ключ. Avast сканира намери някои неща, но не можа да чисти / го махна. Защитник сканиране ще замразява след около 7 минути. И MBAM пълно сканиране също замрази след около 5 минути, но бързо сканиране е ОК. Тук са трупите:

Avast:
18/06/2009 11:07:37 AM потребител 3652 Регистрация на "Win32: Ups [Cryp]" е открита в "D: \ RECYCLER \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ лични папки \ началото на лични папки \ Входящи \ UPS номера за проследяване 7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe "файл.
18/06/2009 11:06:59 AM потребител 3652 Регистрация на "Win32: Ups [Cryp]" е открита в "D: \ RECYCLER \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ лични папки \ началото на лични папки \ Изтрита Статии \ UPS номера за проследяване 7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe "файл.
18/06/2009 11:06:59 AM потребител 3652 Регистрация на "Win32: Ups [Cryp]" е открита в "D: \ RECYCLER \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ лични папки \ началото на лични папки \ Изтрита Статии \ UPS номера за проследяване 0762005263 \ invoice_8712.zip \ INVOICE_8712.exe "файл.
18/06/2009 11:06:58 AM потребител 3652 Регистрация на "Win32: Агент-AAPS [Trj]" е открита в "D: \ RECYCLER \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ лични папки \ началото на лични папки \ Изтрита Статии \ UPS номера за проследяване 3508422599 \ ups_invoice.zip \ ups_invoice.exe "файл.
18/06/2009 10:42:55 AM потребител 3652 Регистрация на "Win32: Троян-GEN (Други)" е открита в "C: \ Documents и Settings \ потребител \ Local Settings \ Прилагане Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup.com (IMAP)-00000005.pst \ info@fcagroup.com \ началото на лични папки \ [Gmail] \ Всички Mail \ Наистина страхотен снимки \ pussy.zip \ pussy.exe "файл.
18/06/2009 10:42:41 AM потребител 3652 Регистрация на "Win32: Ups [Cryp]" е открита в "C: \ Documents и Settings \ потребител \ Local Settings \ Прилагане Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . COM (IMAP)-00000005.pst \ info@fcagroup.com \ началото на лични папки \ [Gmail] \ Всички Mail \ UPS: Вашият Проследяващ # 358010698330 \ PDF76512.zip \ PDF76512.exe "файл.
18/06/2009 10:42:41 AM потребител 3652 Регистрация на "Win32: Ups [Cryp]" е открита в "C: \ Documents и Settings \ потребител \ Local Settings \ Прилагане Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . COM (IMAP)-00000005.pst \ info@fcagroup.com \ началото на лични папки \ [Gmail] \ Всички Mail \ UPS: Вашият Проследяващ # 145132932471 \ PDF76512.zip \ PDF76512.exe "файл.
18/06/2009 10:42:23 AM потребител 3652 Регистрация на "Win32: Ups [Cryp]" е открита в "C: \ Documents и Settings \ потребител \ Local Settings \ Прилагане Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . COM (IMAP)-00000005.pst \ info@fcagroup.com \ началото на лични папки \ [Gmail] \ Всички Mail \ UPS: Вашият Проследяващ # 239293259082 \ EXL6512721.zip \ EXL6512721.exe "файл.
17/06/2009 5:36:18 PM СИСТЕМА 1328 Регистрация на "BV: автомобил-T [Wrm]" е открита в "F: \ Autorun.inf" файл.

SUPERAntiSpyware Сканирай Вход
http://www.superantispyware.com

Генерирани 06/19/2009 в 10:43 AM

Заявление Версия: 4.26.1004

Основни правила за бази данни Версия: 3947
Премиера Правилник за бази данни Версия: 1889

Сканиране тип: Пълно сканиране
Общо Сканирай време: 00:36:36

Памет сканирани статии: 631
Памет заплахи открити: 0
Регистърът позиции сканирани: 6110
Регистърът заплахи открити: 0
Файла позиции сканирани: 46796
Файл заплахи открити: 9

Adware.Tracking Cookie
C: \ Documents и Settings \ потребител \ Cookies \ потребител @ xiti [1]. TXT
C: \ Documents и Settings \ потребител \ Cookies \ потребител @ revsci [2]. TXT
C: \ Documents и Settings \ потребител \ Cookies \ потребител @ tribalfusion [2]. TXT
C: \ Documents и Settings \ потребител \ Cookies \ потребител @ realmedia [2]. TXT
C: \ Documents и Settings \ потребител \ Cookies \ user@microsoftwindows.112.2o 7 [1]. TXT
C: \ Documents и Settings \ потребител \ Cookies \ user@pandasoftware.112.2o7 [1]. TXT
C: \ Documents и Settings \ потребител \ Cookies \ user@adopt.euroclick [2]. TXT
C: \ Documents и Settings \ потребител \ Cookies \ потребител @ specificclick [2]. TXT
C: \ Documents и Settings \ потребител \ Cookies \ потребител @ 247realmedia [1]. TXT

Malwarebytes "Анти-злонамерен софтуер 1,38
База данни версия: 2308
Windows 5.1.2600 Service Pack 3

19/06/2009 11:01:44 AM
mbam-дневник-2009-06-19 (11-01-44). TXT

Сканиране тип: Бързо сканиране
Обекти сканирани: 87063
Време изминали: 2 минути (а), 24 секунди (а)

Памет процеси Заразени: 0
Заразени модули памет: 0
Ключове в регистъра Заразени: 0
Заразени стойности в системния регистър: 0
Регистър на данните Заразени Точки: 0
Заразени папки: 0
Заразени файлове: 0

Памет Заразени процеси:
(№ злонамерени статии открит)

Заразени модули памет:
(№ злонамерени статии открит)

Ключове в регистъра Заразени:
(№ злонамерени статии открит)

Заразени стойности в системния регистър:
(№ злонамерени статии открит)

Регистър на данните Точки заболяване:
(№ злонамерени статии открит)

Заразени папки:
(№ злонамерени статии открит)

Заразени файлове:
(№ злонамерени статии открит)

Logfile на Тренд Микро HijackThis v2.0.2
Сканиране, записани в 11:04:24 ч., на 19/06/2009
Платформа: Windows XP SP3 (Winnt 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Обувка готовност: Нормално

Работещи процеси:
C: \ Windows \ System32 \ smss.exe
C: \ Windows \ System32 \ winlogon.exe
C: \ Windows \ System32 \ services.exe
C: \ Windows \ System32 \ lsass.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Program Files \ Windows Defender \ MsMpEng.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ ZoneLabs \ vsmon.exe
C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
C: \ Windows \ System32 \ spoolsv.exe
C: \ Windows \ System32 \ cisvc.exe
C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
C: \ Program Files \ Hamachi \ hamachi.exe
C: \ Windows \ System32 \ cidaemon.exe
C: \ Program Files \ Java \ jre6 \ бен \ jqs.exe
C: \ Program Files \ Общи файлове \ Microsoft споделени \ VS7DEBUG \ MDM.EXE
C: \ Windows \ System32 \ nvsvc32.exe
C: \ Windows \ Explorer.exe
C: \ Program Files \ проникващ Software \ PSQL \ бен \ w3dbsmgr.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ SearchIndexer.exe
C: \ Windows \ System32 \ fxssvc.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
C: \ WINDOWS \ RTHDCPL.EXE
C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
C: \ Program Files \ Зона Labs \ ZoneAlarm \ zlclient.exe
C: \ Windows \ Samsung \ PanelMgr \ SSMMgr.exe
C: \ Windows \ Twain_32 \ Samsung \ SCX4x28 \ Scan2pc.exe
C: \ Program Files \ Java \ jre6 \ бен \ jusched.exe
C: \ Windows \ System32 \ Ctfmon.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Program Files \ Skype \ Телефон \ Skype.exe
C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe
C: \ Program Files \ Hamachi \ hamachi.exe
C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe
C: \ Program Files \ Skype \ Plug-in за мениджър \ skypePM.exe
C: \ Windows \ System32 \ taskmgr.exe
C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ Windows \ System32 \ notepad.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ Windows \ System32 \ SearchProtocolHost.exe
C: \ Program Files \ Trend Микро \ HijackThis \ sniper.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Първа страница = http://www.dhl.ca/ca/wfHomeLoggedIn.aspx
F2 - REG: system.ini: UserInit = C: \ Windows \ System32 \ userinit.exe, userinit. EXE
О1 - Hosts: 66.98.148.65 auto.search.msn.com
О1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: Spybot-S & D IE защита - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ SPYBOT ~ 1 \ SDHelper.dll
O2 - BHO: Java (TM) Plug-In 2 SSV Helper - (DBC80044-A445-435b-BC74-9C25C1C588A9) - C: \ Program Files \ Java \ jre6 \ бен \ jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - (E7E6F031-17CE-4C07-BC86-EABFE594F69C) - C: \ Program Files \ Java \ jre6 \ lib \ разположи \ jqs \ т.е. \ jqs_plugin.dll
O4 - HKLM \ .. \ Пусни: [NvCplDaemon] RUNDLL32.EXE C: \ Windows \ System32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Пусни: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM \ .. \ Пусни: [Alcmtr] ALCMTR.EXE
O4 - HKLM \ .. \ Пусни: [DiskeeperSystray] "C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkIcon.exe"
O4 - HKLM \ .. \ Пусни: [avast!] C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
O4 - HKLM \ .. \ Пусни: [Windows Defender] "C: \ Program Files \ Windows Defender \ MSASCui.exe"-скриване
O4 - HKLM \ .. \ Пусни: [ZoneAlarm Клиентски] "C: \ Program Files \ Зона Labs \ ZoneAlarm \ zlclient.exe"
O4 - HKLM \ .. \ Пусни: [Samsung PanelMgr] C: \ Windows \ Samsung \ PanelMgr \ SSMMgr.exe / автомобил
O4 - HKLM \ .. \ Пусни: [4x28 Scan2PC] "C: \ Windows \ Twain_32 \ Samsung \ SCX4x28 \ Scan2pc.e XE"
O4 - HKLM \ .. \ Пусни: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre6 \ бен \ jusched.exe"
O4 - HKLM \ .. \ RunOnce: [Malwarebytes "Анти-злонамерени програми] C: \ Program Files \ Malwarebytes" Анти-злонамерени програми \ mbamgui.exe / инсталиране / безшумен
O4 - HKCU \ .. \ Пусни: [Ctfmon.exe] C: \ Windows \ System32 \ Ctfmon.exe
O4 - HKCU \ .. \ Пусни: [Skype] "C: \ Program Files \ Skype \ Телефон \ Skype.exe" / nosplash / минимализираните
O4 - HKUS \ S-1-5-19 \ .. \ Пусни: [Ctfmon.exe] C: \ Windows \ System32 \ Ctfmon.exe (User 'местна услуга ")
O4 - HKUS \ S-1-5-20 \ .. \ Пусни: [Ctfmon.exe] C: \ Windows \ System32 \ Ctfmon.exe (User "мрежата")
O4 - HKUS \ S-1-5-18 \ .. \ Пусни: [Ctfmon.exe] C: \ Windows \ System32 \ Ctfmon.exe (User "Система")
O4 - HKUS \. DEFAULT \ .. \ Пусни: [Ctfmon.exe] C: \ Windows \ System32 \ Ctfmon.exe (User 'Default потребител ")
O4 - Startup: hamachi.lnk = C: \ Program Files \ Hamachi \ hamachi.exe
O4 - Startup: бърз достъп до сайта Drive.lnk = C: \ Documents и Settings \ потребител \ Desktop \ сайта Drive.bat
O4 - Startup: SyncBack.lnk = C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe
O4 - Global Startup: Windows Search.lnk = C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe
O8 - Extra контекст менюто: E & Експортиране към Microsoft Excel - RES: / / C: \ PROGRA ~ 1 \ Micros ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O8 - Extra контекст менюто: Уеб улавянето - C: \ Program Files \ SmarThru Office \ WebCapture.dll
O9 - Extra бутона: Изследвания - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ Micros ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Extra бутона: (няма име) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ SPYBOT ~ 1 \ SDHelper.dll
O9 - Extra "Инструменти" MENUITEM: Spybot - Търсене & Изтреби Конфигурация - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ SPYBOT ~ 1 \ SDHelper.dll
O9 - Extra бутона: (няма име) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ Windows \ мрежа за диагностика \ xpnetdiag.exe
O9 - Extra "Инструменти" MENUITEM: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ Windows \ мрежа за диагностика \ xpnetdiag.exe
O9 - Extra бутона: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra "Инструменти" MENUITEM: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (56762DEC-6B0D-4AB4-A8AD-989993B5D08B) -- http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl клас) -- http://www.update.microsoft.com/wind...?1203273577140
O18 - Протокол: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ PROGRA ~ 1 \ ОБЩА ~ 1 \ Skype \ SKYPE4 ~ 1.DLL
O20 - Winlogon Уведомявай:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O23 - Обслужване: Adobe LM служба - Неизвестен собственик - C: \ Program Files \ Общи файлове \ Adobe Systems общо \ служба \ Adobelmsvc.exe
O23 - Обслужване: avast! iAVS4 контрол служба (aswUpdSv) - ALWIL Софтуер - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
O23 - Обслужване: avast! Antivirus - ALWIL Софтуер - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
O23 - Обслужване: avast! Mail Скенер - ALWIL Софтуер - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
O23 - Обслужване: avast! Уеб Скенер - ALWIL Софтуер - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
O23 - Обслужване: Diskeeper - Diskeeper Corporation - C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Обслужване: Hamachi служба (HamachiService) - LogMeIn Инк. - C: \ Program Files \ Hamachi \ hamachi.exe
O23 - Обслужване: Java Бързо Начално (JavaQuickStarterService) - Sun Microsystems, Inc - C: \ Program Files \ Java \ jre6 \ бен \ jqs.exe
O23 - Обслужване: NVIDIA Покажи Driver служба (NVSvc) - NVIDIA Corporation - C: \ Windows \ System32 \ nvsvc32.exe
O23 - Обслужване: проникващ PSQL Workgroup Двигател (psqlWGE) - широко разпространен софтуер Инк. - C: \ Program Files \ проникващ Software \ PSQL \ бен \ w3dbsmgr.exe
O23 - Обслужване: TrueVector Интернет Монитор (vsmon) - Check Точка Софтуер Технологии ООД - C: \ Windows \ System32 \ ZoneLabs \ vsmon.exe

--
Краят на файла - 7353 байта

**sjb007** · #2 20 Юни, 2009, 06:58

Как сте там и добре дошли на компютърни сок

Аз съм Стив и аз ще Ви помогнем да thoughout тази корекция.

Преди началото поправката, прочетете тази публикация напълно. Ако има нещо, което не разбирам, учтиво попитайте Вашите въпроси, преди да продължите. Важно е да не пропуснете стъпка. Моля изпълни всичко, в правилния ред / последователност.

Ще започнем с ComboFix.exe. Моля, посетете тази страница за изтегляне на връзки, както и инструкции за изпълнение на инструмента:

http://www.bleepingcomputer.com/comb...o-use-combofix

Уверете сте увреждания всички анти вирус и анти зловреден софтуер програми, така че те да не се намесват в управлението на ComboFix.

Моля, включват C: \ ComboFix.txt в следващата си отговор за по-нататъшно разглеждане.

**sungod000** · #3 22 юни 2009 г., 07:38

Хей, благодаря за помощта. Тук е дневник:

ComboFix 09-06-21.01 - потребител 22/06/2009 10:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.2046.1511 [GMT -4:00]
Работещи от: C: \ Documents и Settings \ потребител \ Desktop \ ComboFix.exe
AV: avast! антивирусни 4.8.1335 [VPS 090621-0] * On-достъп сканиране с увреждания * (промяна) (7591DB91-41F0-48A3-B128-1A293FD8233D)
FW: ZoneAlarm Firewall * * увреждания (829BDA32-94B3-44F4-8446-F8FCFF809F8B)
.

((((((((((((((((((((((((((((((((((((((( Други заличавания ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

C: \ Windows \ System32 \ winsusrm.dll

.
((((((((((((((((((((((((( Файлове Създаден от 2009-05-22 до 2009-06-22 ))))))))))) ))))))))))))))))))))
.

2009-06-19 15:34. 2009-06-19 15:34 -------- г ----- w-C: \ Program Files \ Microsoft ActiveSync
2009-06-19 14:07. 2009-06-19 14:07 -------- г------ w C: \ Documents и Settings \ потребител \ Прилагане Data \ Malwarebytes
2009-06-19 14:07. 2009-06-17 15:27 38160 ---- AW-C: \ Windows \ System32 \ Drivers \ mbamswissarmy.sys
2009-06-19 14:07. 2009-06-19 14:07 -------- г ----- w-C: \ Program Files \ Malwarebytes "Анти-злонамерени програми
2009-06-19 14:07. 2009-06-19 14:07 -------- г------ w C: \ Documents и настройки \ Всички Users \ Прилагане Data \ Malwarebytes
2009-06-19 14:07. 2009-06-17 15:27 19096 ---- AW-C: \ Windows \ System32 \ Drivers \ mbam.sys
2009-06-19 13:58. 2009-06-19 13:58 117760 ---- AW-C: \ Documents и Settings \ потребител \ Прилагане Data \ SUPERAntiSpyware.com \ SUPERAntiSpyware \ SDDLLS \ UIREPAIR.DLL
2009-06-19 13:57. 2009-06-19 13:57 -------- г------ w C: \ Documents и настройки \ Всички Users \ Прилагане Data \ SUPERAntiSpyware.com
2009-06-19 13:57. 2009-06-19 13:57 -------- г ----- w-C: \ Program Files \ SUPERAntiSpyware
2009-06-19 13:57. 2009-06-19 13:57 -------- г------ w C: \ Documents и Settings \ потребител \ Прилагане Data \ SUPERAntiSpyware.com
2009-06-19 13:57. 2009-06-19 13:57 -------- г ----- w-C: \ Program Files \ Общи файлове \ Wise Инсталиране Wizard
2009-06-10 17:39. 2009-06-10 17:39 152576 ---- AW-C: \ Documents и Settings \ потребител \ Прилагане Data \ неделя \ Java \ jre1.6.0_14 \ lzma.dll
2009-06-10 00:53. 2009-06-10 00:53 -------- г------ w C: \ Documents и настройки \ Всички Users \ Прилагане Data \ NCH Софтуер
2009-05-29 11:46. 2008-04-14 09:42 26624 ---- AW-C: \ Documents и настройки \ LocalService \ Прилагане Data \ Microsoft \ UPnP устройства домакин \ upnphost \ udhisapi.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Доклад )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-22 14:22. 2009-04-28 15:03 -------- г------ w C: \ Documents и Settings \ потребител \ Прилагане Data \ Skype
2009-06-22 13:56. 2008-02-17 21:01 -------- г------ w C: \ Documents и Settings \ потребител \ Прилагане Data \ Hamachi
2009-06-22 12:02. 2009-04-28 15:18 -------- г------ w C: \ Documents и Settings \ потребител \ Прилагане Data \ skypePM
2009-06-19 13:35. 2008-02-17 22:39 -------- г------ w C: \ Documents и настройки \ Всички Users \ Прилагане Data \ Spybot - Търсене & Унищожи
2009-06-18 19:10. 2008-06-19 15:20 31703397 ---- AW-C: \ Windows \ Интернет Дневници \ tvDebug.zip
2009-06-12 07:08. 2008-12-03 14:46 -------- г ----- w-C: \ Program Files \ Windows Desktop Search
2009-06-10 17:39. 2009-03-26 15:12 -------- г ----- w-C: \ Program Files \ Java
2009-06-10 16:58. 2008-12-30 17:22 -------- г------ w C: \ Documents и Settings \ потребител \ Прилагане Data \ FileZilla
2009-05-30 21:05. 2008-08-28 17:15 -------- г ----- w-C: \ Program Files \ MK PowerTools
2009-05-25 04:24. 2008-05-27 03:18 350208 ---- AW-C: \ Windows \ System32 \ mssph.dll
2009-05-21 15:33. 2008-12-06 16:44 410984 ---- AW-C: \ Windows \ System32 \ deploytk.dll
2009-05-12 19:12. 2008-02-17 18:05 26144 ---- AW-C: \ Windows \ System32 \ spupdsvc.exe
2009-05-07 15:32. 2004-08-03 16:56 345600 ---- AW-C: \ Windows \ System32 \ localspl.dll
2009-05-01 16:37. 2009-02-07 19:53 -------- г------ w C: \ Documents и Settings \ потребител \ Прилагане Data \ Unyte
2009-04-29 04:46. 2004-08-03 16:56 666624 ---- AW-C: \ Windows \ System32 \ wininet.dll
2009-04-29 04:46. 2004-08-03 16:56 81920 ---- AW-C: \ Windows \ System32 \ ieencode.dll
2009-04-28 15:18. 2009-04-28 15:18 56 --- ха-W-C: \ Windows \ System32 \ ezsidmv.dat
2009-04-28 15:02. 2009-04-28 15:02 -------- г ----- w-C: \ Program Files \ Общи файлове \ Skype
2009-04-28 15:02. 2009-04-28 15:02 -------- г ----- R-C: \ Program Files \ Skype
2009-04-28 15:02. 2009-04-28 15:02 -------- г------ w C: \ Documents и настройки \ Всички Users \ Прилагане Data \ Skype
2009-04-17 12:26. 2004-08-03 15:17 1847168 ---- AW-C: \ Windows \ System32 \ Win32k.sys
2009-04-15 14:51. 2004-08-03 16:56 585216 ---- AW-C: \ Windows \ System32 \ rpcrt4.dll
2009-04-09 02:09. 2009-04-09 02:04 664 ---- AW-C: \ Windows \ System32 \ d3d9caps.dat
2009-04-01 21:57. 2008-02-17 22:30 4212 --- ха-W-C: \ Windows \ System32 \ zllictbl.dat
2009-04-01 21:21. 2009-04-01 21:21 152576 ---- AW-C: \ Documents и Settings \ потребител \ Прилагане Data \ неделя \ Java \ jre1.6.0_13 \ lzma.dll
2009-03-31 21:41. 2009-03-31 21:41 0 ---- AW-C: \ Windows \ System32 \ WSSPOOL.TMP
2009-03-26 15:11. 2009-03-26 15:11 152576 ---- AW-C: \ Documents и Settings \ потребител \ Прилагане Data \ неделя \ Java \ jre1.6.0_12 \ lzma.dll
2008-06-23 22:36. 2008-06-23 22:36 0 ---- AW-C: \ Program Files \ gditst
2008-05-22 20:04. 2008-05-22 20:04 190 ---- AW-C: \ Program Files \ Общи файлове \ psasetup.log
.

((((((((((((((((((((((((((((((((((((( Рег. Loading Точки )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Забележка * празна вписванията & legit подразбиране вписванията не са показани
REGEDIT4

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Пусни]
"Ctfmon.exe" = "C: \ Windows \ System32 \ Ctfmon.exe" [2008-04-14 15360]
"Skype" = "C: \ Program Files \ Skype \ Телефон \ Skype.exe" [2009-04-21 24264488]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Пусни]
"NvCplDaemon" = "C: \ Windows \ System32 \ NvCpl.dll" [2007-09-17 8491008]
"DiskeeperSystray" = "C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkIcon.exe" [2006-10-04 163840]
"avast!" = "C: \ progra ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp. EXE" [2009-02-05 81000]
"ZoneAlarm Клиент" = "C: \ Program Files \ Зона Labs \ ZoneAlarm \ zlclient.exe" [2009-02-16 981384]
"Самсунг" PanelMgr "=" C: \ Windows \ Samsung \ PanelMgr \ SSMMgr.exe "[2008-07-31 536576]
"4x28 Scan2PC" = "C: \ Windows \ Twain_32 \ Samsung \ SCX4x28 \ Сканирай 2pc.exe" [2008-09-29 495616]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre6 \ бен \ jusched.exe" [2009-05-21 148888]
"RTHDCPL" = "RTHDCPL.EXE" - C: \ Windows \ RTHDCPL.exe [2007-04-26 16132608]

[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Пусни]
"Ctfmon.exe" = "C: \ Windows \ System32 \ Ctfmon.exe" [2008-04-14 15360]

C: \ Documents и Settings \ потребител \ Старт Меню \ Програми \ Startup \
hamachi.lnk - C: \ Program Files \ Hamachi \ hamachi.exe [2008-2-17 625952]
Бърз достъп до сайта Drive.lnk - C: \ Documents и Settings \ потребител \ Desktop \ сайта Drive.bat [2008-7-30 42]
SyncBack.lnk - C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe [2008-11-15 2936064]

C: \ Documents и настройки \ Всички Users \ Старт Меню \ Програми \ Startup \
Windows Search.lnk - C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe [2008-5-26 123904]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ curr entversion \ Explorer \ ShellExecuteHooks]
"(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2009-05-25 304128]
"(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = "C: \ Program Files \ SUPERAntiSpyware \ SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ уведомява \! SASWinLogon]
2008-12-22 16:05 356352 ---- AW-C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contro л \ SafeBoot \ Минимални \ WinDefend]
@ = "Service"

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ сигурност център \ мониторинг \ ZoneLabsFirewall]
"DisableMonitoring" = DWORD: 00000001

[HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile]
"EnableFirewall" = 0 (0x0)

[HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ Списък]
"% Windir% \ \ System32 \ \ sessmgr.exe" =
"% Windir% \ \ мрежа за диагностика \ \ xpnetdiag.exe" =
"C: \ \ WINDOWS \ \ System32 \ \ fxsclnt.exe" =
"C: \ \ Program Files \ \ проникващ Software \ \ PSQL \ \ бен \ \ w3dbsmgr.exe" =
"C: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ ScanMgr.exe" =
"C: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ SCX4x28 \ \ Scan2Pc. EXE" =
"C: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ SCX4x28 \ \ Sscan2io. EXE" =
"C: \ \ Program Files \ \ Skype \ \ Телефон \ \ Skype.exe" =

[HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ Списък]
"3389: TCP" = 3389: TCP: @ xpsp2res.dll, -22009

R1 aswSP; avast! Самостоятелно защита; C: \ Windows \ System32 \ Drivers \ aswSP.sys [07/04/2008 10:44 AM 114768]
R1 SASDIFSV; SASDIFSV; C: \ Program Files \ SUPERAntiSpyware \ sasdifsv.sys [26/05/2009 10:05 AM 9968]
R1 SASKUTIL; SASKUTIL; C: \ Program Files \ SUPERAntiSpyware \ SASKUTIL.SYS [26/05/2009 10:05 AM 72944]
R2 aswFsBlk; aswFsBlk; C: \ Windows \ System32 \ Drivers \ aswF sBlk.sys [07/04/2008 10:44 AM 20560]
R2 HamachiService; Hamachi служба; C: \ Program Files \ Hamachi \ hamachi.exe [17/02/2008 5:01 PM 625952]
R2 psqlWGE; проникващ PSQL Workgroup двигателя; C: \ Program Files \ проникващ Software \ PSQL \ бен \ w3dbsmgr.exe [06/06/2008 1:03 PM 435488]
R2 WinDefend; Windows защитник; C: \ Program Files \ Windows Defender \ MsMpEng.exe [03/11/2006 8:19 PM 13592]
R3 SASENUM; SASENUM; C: \ Program Files \ SUPERAntiSpyware \ SASENUM.SYS [26/05/2009 10:05 AM 7408]
S1 KPSYSDRV; KPSYSDRV; C: \ Windows \ System32 \ Drivers \ Kpsy sdrv.sys [23/06/2008 6:36 PM 17016]
S2 BulkUsb; Genesys логика USB контролер NT 5,0; C: \ Windows \ System32 \ Drivers \ usbprn.sys [23/06/2008 6:27 PM 7552]
S2 SSPORT; SSPORT; \? \ C: \ Windows \ System32 \ Drivers \ SSPO RT.sys -> C: \ Windows \ System32 \ Drivers \ SSPORT.sys [?]
S3 Moarer; Moarer; [X]

--- Други Услуги / Водачите В памет ---

* NewlyCreated * - SASDIFSV
* NewlyCreated * - SASENUM
* NewlyCreated * - SASKUTIL
.
Съдържание на "Класифицирани Задачи" папка

2009-06-22 C: \ Windows \ задачи \ н.п. Насрочен Scan.job
- C: \ Program Files \ Windows Defender \ MpCmdRun.exe [2006-11-04 00:20]

2009-06-22 C: \ Windows \ задачи \ SyncBack Outlook.job
- C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe [2008-11-15 16:19]
.
.
------- Допълнителни Сканирай -------
.
uStart Page = hxxp: / / www.dhl.ca / CA / wfHomeLoggedIn.aspx
IE: E & Експортиране към Microsoft Excel - C: \ progra ~ 1 \ Micros ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
IE: Уеб улавянето - C: \ Program Files \ SmarThru Office \ WebCapture.dll
FF - ProfilePath --
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit / стелт зловреден софтуер детектор с Gmer, http://www.gmer.net
Rootkit сканира 2009-06-22 10:31
Windows 5.1.2600 Service Pack 3 NTFS

сканиране скрити процеси ...

сканиране скрити autostart вписванията ...

сканиране скритите файлове ...

сканирането приключи успешно
скритите файлове: 0

************************************************** ************************
.
--------------------- Затворени ключове в регистъра ---------------------

[HKEY_LOCAL_MACHINE \ Software \ проникващ Software \ PSQL]
Отказан достъп @:) (всички)
@ = ""
.
Приключване време: 2009-06-22 10:32
ComboFix-карантина-files.txt 2009-06-22 14:32

Предварително Пусни: 32245211136 байта свободно
Пост-писта: 32239325184 байта свободно

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[обувка товарач]
време = 2
подразбиране = мулти (0) диск (0) rdisk (0) дял (1) \ ПРОЗОРЕЦЪТ S
[операционни системи]
C: \ Cmdcons \ BOOTSECT.DAT = "Microsoft Windows Recovery конзолата" / Cmdcons
мулти (0) диск (0) rdisk (0) дял (1) \ WINDOWS = "Микро меките Windows XP Professional" / noexecute = OptIn / fastdetect

164 --- EOF --- 2009-06-18 19:28

**sjb007** · #4 22 юни 2009 г., 09:38

Как сте там

В този следващия пост искам да пуснете онлайн вируса сканиране, първата ви позволява премахване на някои нежелани боклуци ....

Моля, изтеглете ATF-чисти от Atribune.
Тази програма е за XP и Windows 2000, само

Щракнете два пъти върху ATF-Cleaner.exe за да стартирате програмата.
Под Главен избор: Избери всички
Кликнете върху Празен Избрани бутон.

Ако използвате браузъра Firefox
Документа Firefox най-горе и да изберете: Избери всички
Кликнете върху Празен Избрани бутон.
ЗАБЕЛЕЖКА: Ако бихте искали да си записват паролите, моля, кликнете Не най-бързо.

Ако ползвате Opera браузър
Документа Opera най-горе и да изберете: Избери всички
Кликнете върху Празен Избрани бутон.
ЗАБЕЛЕЖКА: Ако бихте искали да си записват паролите, моля, кликнете Не най-бързо.

Документа Изход от главното меню за да затворите програмата.
За Техническа поддръжка, Щракнете двукратно върху е-мейл адрес намира в дъното на всяко меню.

Установяване на връзка с Интернет & извършват онлайн сканиране с Internet Explorer в Kaspersky Онлайн скенера.

** Vista потребителите - право кликнете IE / Firefox икона и управляват като администратор

Документа Приеми, Когато се появи подкана да изтеглите и инсталирате програмата на файлове и база данни от зловреден софтуер дефиниции.

Документа Бягам по сигурността ред.
Програмата ще започне да изтеглите и инсталирате и ще се актуализира базата данни.
Моля, бъдете търпеливи, тъй като това може да отнеме няколко минути.
След актуализацията приключи, кликнете върху My Computer по силата на зелен Сканиране лента вляво, за да стартирате сканирането.
След като сканирането приключи, той ще покаже, ако системата ви е заразен. Тя не дава възможност за почистване / дезинфекцират. Ние само изиска доклад от него.
Правя НЕ се тревожете от това, което виждате в доклада. Голяма част от находките са вероятно са били под карантина.
Документа Преглед на сканиране доклад в дъното.
Кликнете върху Запазване на отчет като... бутон.
Кликнете върху Освен ако не е Текст, бутон, за да запишете файла на вашия работен плот, така че можете да го публикувате в следващата си реплика.

Тази анимация ще ви води през процеса:

** Бележка **

За оптимизиране на времето за сканиране и произвеждат по-разумно доклада за преглед:
Затворете всички отворени програми
Изключете реално време скенер на всички съществуващи антивирусна програма, докато извършвате онлайн сканиране. Можете да изключите от интернет, след като започнете сканиране.

Забележка за Internet Explorer 7 потребители: Ако по всяко време да имате неприятности преглеждате приеме бутон на лиценз, щракнете върху Мащабиране инструмент намира в долната част вдясно на IE прозорец и настройка на увеличението с 75%. След като лиценз приета, за нулиране на 100%.

Пост назад с резултатите от Kasperksy, също актуализация ми за това как вървят нещата са

**sungod000** · #5 23 юни 2009 г., 08:40

http://www.dhl.ca/ca/wfHomeLoggedIn.aspx R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, търсене Page = http://go.microsoft.com/fwlink/?LinkId=54896 http://www.eset.eu/buxus/docs/OnlineScanner.cab O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl клас) -- http://www.update.microsoft.com/wind...?1203273577140 O18 - Протокол: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ PROGRA ~ 1 \ ОБЩА ~ 1 \ Skype \ SKYPE4 ~ 1.DLL O20 - Winlogon Уведомявай:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll O23 - Обслужване: Adobe LM служба - Неизвестен собственик - C: \ Program Files \ Общи файлове \ Adobe Systems общо \ служба \ Adobelmsvc.exe O23 - Обслужване: avast! iAVS4 контрол служба (aswUpdSv) - ALWIL Софтуер - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe O23 - Обслужване: avast! Antivirus - ALWIL Софтуер - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe O23 - Обслужване: avast! Mail Скенер - ALWIL Софтуер - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe O23 - Обслужване: avast! Уеб Скенер - ALWIL Софтуер - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe O23 - Обслужване: Diskeeper - Diskeeper Corporation - C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe O23 - Обслужване: Hamachi служба ( HamachiService) - LogMeIn Инк. - C: \ Program Files \ Hamachi \ hamachi.exe O23 - Обслужване: Java Бързо Начално (JavaQuickStarterService) - Sun Microsystems, Inc - C: \ Program Files \ Java \ jre6 \ бен \ jqs.exe O23 - Обслужване: NVIDIA Покажи Driver служба (NVSvc) - NVIDIA Corporation - C: \ Windows \ System32 \ nvsvc32.exe O23 - Обслужване: проникващ PSQL Workgroup Двигател (psqlWGE) - широко разпространен софтуер Инк. - C: \ Program Files \ проникващ Софтуер \ PSQL \ бен \ w3dbsmgr.exe O23 - Обслужване: TrueVector Интернет Монитор (vsmon) - Check Точка Софтуер Технологии ООД - C: \ Windows \ System32 \ ZoneLabs \ vsmon.exe - края на файла - 7090 байта

**sjb007** · #6 23 юни 2009 г., 12:14

Здравейте

Ние наистина трябва да си направим система за пълно сканиране на диска за да се уверите, нищо не е останал.

Едно нещо, което правя забележка е, че онлайн скенера качват на фишинг Scam имейл. Тя не ни каже точно кой е, но тя не ни каже, че е във вашата пощенска кутия. Фишинг scams опит да привлече вас в пускането ви информация в сайтовете, така че престъпниците могат да получат информация и да я използват за собствени ползи. За повече информация за фишинг, прочетете тази статия тук. В имейл, може да изглежда като него дойде от вашата банка или друга финансова институция и ще носят логото откраднати от оригиналния сайт. Никога не влезете в нито банковата сайт или друг сайт от връзки от имейли. Винаги отидете на началната страница и влезте в системата им. Аз ще ви уведомява, че празна изтритите елементи папка заедно с всички други подозрителни имейли.

Да се опитаме пълно сканиране с помощта на различни скенера.

Направете онлайн сканиране с Panda ActiveScan

Кликнете върху Сканирайте своя компютър Сега
А "Поп нагоре" Ще се появи прозорец, или нов раздел ще се отвори.
Кликнете върху Регистрация
Изберете опция ли най-много, но ние препоръчваме Безплатна регистрация.
Кликнете върху Регистрация
Въведете вашия е-мейл адрес, и да създадете парола.
Изберете "Аз не искам да получават всякакъв вид информация,". (Освен, ако не искат да получават такава информация)
Кликнете върху Изпращам
Потвърждение на регистрацията, и да продължат, като въведете вашето потребителско име и парола, след това кликнете върху Въведете
Изберете Пълно сканиране, а след това кликнете върху Сканиране Сега
Изчакайте компоненти да бъдат натоварени и инсталиран. Да не се затвори прозореца или да отидете на друга страница, докато е изтегляне. Можете да продължите да използвате интернет, като отваря друг прозорец във вашия браузър.
Ако се установи, всеки зловреден софтуер може да дезинфекция, за дезинфекция бутона ще бъдат активирани. Кликнете върху Обеззаразявам
Моля, игнорирайте офертата за закупуване на програмата. Кликнете върху За износ
Експорт дневника и го запишете на вашия работен плот.
Моля публикувате съдържанието на този дневник за Вашия отговор.

* Изключете реално време скенер на всички съществуващи антивирусна програма, докато извършвате онлайн сканиране.

Avast потребители бележка:

Моля, продължете с онлайн сканиране на Panda, ако получите предупреждение. Това е фалшиво положителни от Avast защото Panda Antivirus не шифровате му вируса на базата данни.

За някой причина HJT влезте подадохте е тежък за четене, а аз искам да публикувате различни вида на дневника

Моля, изтеглете DDS и го запишете на вашия работен плот.