IEXPLORER.EXE вируса PLS преглед отвличане Дневник

nitingaur · #1 21-ви септември 2008, 12:02

Logfile на Тренд Микро HijackThis v2.0.2
Сканиране, записани в 12:01:37 ч., на 9/21/2008
Платформа: Windows XP SP2 (Winnt 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Обувка готовност: Нормално
Работещи процеси:
C: \ Windows \ System32 \ smss.exe
C: \ Windows \ System32 \ csrss.exe
C: \ Windows \ System32 \ winlogon.exe
C: \ Windows \ System32 \ services.exe
C: \ Windows \ System32 \ lsass.exe
C: \ Windows \ System32 \ ibmpmsvc.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Program Files \ Intel \ Безжични \ Бин \ S24EvMon.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ ccSetMgr.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ ccEvtMgr.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe
C: \ Windows \ System32 \ spoolsv.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Centenn.ial \ Одит \ CAgent32.exe
C: \ Centenn.ial \ Одит \ xferwan.exe
C: \ Program Files \ Cisco VPN клиент \ cvpnd.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Intel \ Безжични \ Бин \ EvtEng.exe
C: \ Program Files \ Общи файлове \ Microsoft споделени \ VS7DEBUG \ MDM.EXE
C: \ Program Files \ Intel \ Безжични \ Бин \ RegSrvc.exe
C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Общи файлове \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ Windows \ System32 \ TPHDEXLG.exe
C: \ Program Files \ Общи файлове \ Lenovo \ Планировчик \ tvtsched.exe
C: \ _integra \ бен \ ccmagent.exe
C: \ Program Files \ Lenovo \ System обновяване \ suservice.exe
C: \ Windows \ System32 \ alg.exe
C: \ Windows \ System32 \ calc.exe
C: \ Windows \ System32 \ calc.exe
C: \ _integra \ бен \ shstart.exe
C: \ Windows \ Explorer.exe
C: \ Windows \ System32 \ tp4mon.exe
C: \ Windows \ System32 \ igfxtray.exe
C: \ Windows \ System32 \ hkcmd.exe
C: \ Windows \ System32 \ igfxpers.exe
C: \ Windows \ System32 \ NWTRAY.EXE
C: \ Program Files \ Общи файлове \ Symantec общо \ ccApp.exe
C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
C: \ Program Files \ Lenovo \ клавиш \ TPOSDSVC.exe
C: \ Windows \ System32 \ igfxsrvc.exe
C: \ Windows \ System32 \ DLA \ tfswctrl.exe
C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
C: \ Windows \ System32 \ TpShocks.exe
C: \ Program Files \ Lenovo \ клавиш \ TPONSCR.exe
C: \ Program Files \ Общи файлове \ Lenovo \ Планировчик \ scheduler_proxy.exe
C: \ Program Files \ Lenovo \ Zoom \ TpScrex.exe
C: \ Program Files \ Общи файлове \ недвижими \ Update_OB \ realsched.exe
C: \ Windows \ System32 \ Ctfmon.exe
C: \ Program Files \ Yahoo! \ Messenger \ ymsgr_tray.exe
C: \ Windows \ System32 \ taskmgr.exe
C: \ Program Files \ Internet Explorer \ Iexplore.exe
C: \ Program Files \ Internet Explorer \ Iexplore.exe
C: \ Program Files \ Internet Explorer \ Iexplore.exe
C: \ Windows \ System32 \ wuauclt.exe
C: \ Windows \ System32 \ wbem \ wmiprvse.exe
C: \ Program Files \ Trend Микро \ HijackThis \ HijackThis.exe
C: \ Windows \ System32 \ wbem \ wmiprvse.exe
F2 - REG: system.ini: UserInit = C: \ Windows \ System32 \ userinit.exe, C: \ _inte GRA \ бен \ shstart.exe
O2 - BHO: AcroIEHlprObj клас - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Adobe \ Acrobat 7,0 \ ActiveX \ AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - (5CA3D70E-1895-11CF-8E15-001234567890) - C: \ Windows \ System32 \ DLA \ tfswshx.dll
O4 - HKLM \ .. \ Пусни: [TrackPointSrv] tp4mon.exe
O4 - HKLM \ .. \ Пусни: [IgfxTray] C: \ Windows \ System32 \ igfxtray.exe
O4 - HKLM \ .. \ Пусни: [HotKeysCmds] C: \ Windows \ System32 \ hkcmd.exe
O4 - HKLM \ .. \ Пусни: [Устойчивост] C: \ Windows \ System32 \ igfxpers.exe
O4 - HKLM \ .. \ Пусни: [NWTRAY] NWTRAY.EXE
O4 - HKLM \ .. \ Пусни: [ccApp] "C: \ Program Files \ Общи файлове \ Symantec общо \ ccApp.exe"
O4 - HKLM \ .. \ Пусни: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Пусни: [TPHOTKEY] C: \ Program Files \ Lenovo \ клавиш \ TPOSDSVC.exe
O4 - HKLM \ .. \ Пусни: [UpdateManager] "C: \ Program Files \ Общи файлове \ Sonic \ Update мениджър \ sgtray.exe" / R
O4 - HKLM \ .. \ Пусни: [DLA] C: \ Windows \ System32 \ DLA \ tfswctrl.exe
O4 - HKLM \ .. \ Пусни: [EZEJMNAP] C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
O4 - HKLM \ .. \ Пусни: [LPManager] C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 - HKLM \ .. \ Пусни: [TpShocks] TpShocks.exe
O4 - HKLM \ .. \ Пусни: [TVT Планировчик Прокси] C: \ Program Files \ Общи файлове \ Lenovo \ Планировчик \ scheduler_proxy.exe
O4 - HKLM \ .. \ Пусни: [TkBellExe] "C: \ Program Files \ Общи файлове \ недвижими \ Update_OB \ realsched.exe"-osboot
O4 - HKCU \ .. \ Пусни: [Ctfmon.exe] C: \ Windows \ System32 \ Ctfmon.exe
O4 - HKCU \ .. \ Пусни: [Yahoo! Пейджър] "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe"-тихо
O4 - HKUS \ S-1-5-19 \ .. \ Пусни: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'местна услуга ")
O4 - HKUS \ S-1-5-20 \ .. \ Пусни: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User "мрежата")
O4 - HKUS \ S-1-5-18 \ .. \ Пусни: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User "Система")
O4 - HKUS \. DEFAULT \ .. \ Пусни: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'Default потребител ")
O8 - Extra контекст менюто: E & Експортиране към Microsoft Excel - RES: / / C: \ PROGRA ~ 1 \ Micros ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - Extra бутона: Изследвания - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ Micros ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Extra бутона: @ C: \ Program Files \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra "Инструменти" MENUITEM: @ C: \ Program Files \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (215B8138-A3CF-44C5-803F-8226143CFC0A) (Тренд Микро ActiveX Сканирай Агент 6.6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \ System \ УСВ \ Services \ TCPIP \ .. \ (B8E7B489-2160-4DE7-B592-9FD03D16CC74): Домейн = keane.com
O23 - Обслужване: Lavasoft Ad-Aware служба (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe
O23 - Обслужване: Заявление за управление служба (AppMgSvc) - Неизвестен собственик - C: \ Program.exe (файл липсва)
O23 - Обслужване: BHCP служба (BHsrv) - Неизвестен собственик - C: \ Program.exe (файл липсва)
O23 - Обслужване: Symantec Събитие Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ ccEvtMgr.exe
O23 - Обслужване: Symantec Настройки Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ ccSetMgr.exe
O23 - Обслужване: CentennialClientAgent - стогодишнина Софтуер Limited - C: \ Centenn.ial \ Одит \ CAgent32.exe
O23 - Обслужване: CentennialIPTransferAgent - стогодишнина Софтуер Limited - C: \ Centenn.ial \ Одит \ xferwan.exe
O23 - Обслужване: Клиент Update служба за Novell (cusrvc) - Novell, Inc - C: \ Windows \ System32 \ cusrvc.exe
O23 - Обслужване: Cisco Systems, Inc VPN служба (CVPND) - Cisco Systems, Inc - C: \ Program Files \ Cisco VPN клиент \ cvpnd.exe
O23 - Обслужване: Symantec AntiVirus Определение Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
O23 - Обслужване: Intel (R) PROSet / Безжични Събитие Дневник (EvtEng) - Intel Corporation - C: \ Program Files \ Intel \ Безжични \ Бин \ EvtEng.exe
O23 - Обслужване: ThinkPad PM служба (IBMPMSVC) - Lenovo - C: \ Windows \ System32 \ ibmpmsvc.exe
O23 - Обслужване: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Обслужване: Intel (R) PROSet / Безжични Служба по вписванията (RegSrvc) - Intel Corporation - C: \ Program Files \ Intel \ Безжични \ Бин \ RegSrvc.exe
O23 - Обслужване: Intel (R) PROSet / безжични услуги (S24EventMonitor) - Intel Corporation - C: \ Program Files \ Intel \ Безжични \ Бин \ S24EvMon.exe
O23 - Обслужване: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
O23 - Обслужване: Symantec мрежа Драйвери служба (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ SNDSrvc.exe
O23 - Обслужване: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ SPBBC \ SPBBCSvc.exe
O23 - Обслужване: Система Update (SUService) - Lenovo Group Limited - C: \ Program Files \ Lenovo \ System обновяване \ suservice.exe
O23 - Обслужване: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
O23 - Обслужване: ThinkVantage регистър Монитор служба - Lenovo Group Limited - C: \ Program Files \ Общи файлове \ Lenovo \ tvt_reg_monitor_svc.exe
O23 - Обслужване: ThinkPad HDD ГПС Влизане служба (TPHDEXLGSVC) - Lenovo. - C: \ Windows \ System32 \ TPHDEXLG.exe
O23 - Обслужване: TVT Планировчик - Lenovo Group Limited - C: \ Program Files \ Общи файлове \ Lenovo \ Планировчик \ tvtsched.exe
O23 - Обслужване: Symantec LiveState Агент за Windows (WControl) - Symantec Corporation - C: \ _integra \ бен \ ccmagent.exe
--
Краят на файла - 8621 байта

**evilfantasy** · #2 21-ви септември 2008, 15:30

Изтеглям Malwarebytes "Анти-злонамерени програми (MBAM)

Щракнете два пъти върху mbam-setup.exe и следвайте указанията, за да инсталирате програмата.
В крайна сметка, не забравяйте един отметка е поставено в непосредствена близост до следното:
- Update Malwarebytes "Анти-злонамерени програми
- Стартиране Malwarebytes "Анти-злонамерени програми
След това кликнете върху Завърши.
Ако дадена актуализация е установено, тя ще изтеглите и инсталирате последната версия.
След като програмата е заредена, изберете Направете бързо сканиране, След това кликнете върху Сканиране.
Когато сканирането приключи, кликнете OK, Тогава Показване на резултатите за да видите резултатите.
Бъдете сигурни, че всичко е проверено и кликнете Премахване на избраните.
Когато дезинфекция е попълнен, дневник ще се отвори в Notepad и може да ви бъде поискано да рестартирате. (Виж Екстра Забележка)
В дневника се записват автоматично от MBAM и могат да бъдат открити чрез натискане на Дневници раздела в MBAM.
Копирайте и поставете целия доклад през следващата отговор.

Екстри Забележка: Ако MBAM срещи файл, който е трудно да се премахне, ще бъде представен с 1 от 2 подсказва, натиснете ОК, за да било и нека MBAM ход на процеса дезинфекция, ако е поискано да рестартирате компютъра, направете го веднага.

nitingaur · #3 21-ви септември 2008, 18:18

Не зловредния софтуер намери, тук е в доклада
-------------------------------------------------- ----
Windows 5.1.2600 Service Pack 2
9/21/2008 6:16:07 PM
mbam-дневник-2008-09-21 (18-16-07). TXT
Сканиране тип: Бързо сканиране
Обекти сканирани: 52621
Време изминали: 4 минути (а), 41 секунди (а)
Памет процеси Заразени: 0
Заразени модули памет: 0
Ключове в регистъра Заразени: 0
Заразени стойности в системния регистър: 0
Регистър на данните Заразени Точки: 0
Заразени папки: 0
Заразени файлове: 0
Памет Заразени процеси:
(№ злонамерени статии открит)
Заразени модули памет:
(№ злонамерени статии открит)
Ключове в регистъра Заразени:
(№ злонамерени статии открит)
Заразени стойности в системния регистър:
(№ злонамерени статии открит)
Регистър на данните Точки заболяване:
(№ злонамерени статии открит)
Заразени папки:
(№ злонамерени статии открит)
Заразени файлове:
(№ злонамерени статии открит)

**evilfantasy** · #4 21-ви септември 2008, 18:40

Не е вреден софтуер, способен да се показват и в двата дневника.

Какво точно се случва?

nitingaur · #5 21-ви септември 2008, 19:23

Многократни IEXPLORER.EXE процес са spwaning в процес списък. Те веднага се появяват, ако ги убиват един по един. Понякога аз чувам някои звучи като едно от лицата, които осъществяват всеки прозорец на браузъра, но не вижда. Налице е определено лошо те не трябва да съществува.

**evilfantasy** · #6 21-ви септември 2008, 19:26

Изтегли ComboFix от sUBs от една от връзките по-долу. Бъдете сигурни нагоре го запишете на Desktop.

Линк # 1
Линк # 2

** Забележка: Важно е, че тя се записва директно на вашия Desktop

Затворете всички отворени уеб браузъри. (Firefox, Internet Explorer, и т.н.), преди да започне ComboFix.

Временно изключвам твоя антивирусни, Както и всички antispyware защита в реално време преди изпълнение на сканиране. Документа този линк за да видите списък на програмите за сигурност, които трябва да бъдат извадени от строя, и как да ги прекъснем.

Щракнете два пъти combofix.exe & следвайте указанията.
Когато завърши ComboFix ще представи дневник за вас.
Пост на ComboFix Дневник и нов HijackThis Дневник в следващата си реплика.

Важно: Не mouseclick ComboFix в прозореца, докато тя работи. Това може да доведе до обора.

Не забравяйте да включите вашата антивирусна и antispyware защита, когато ComboFix е пълна.

nitingaur · #7 21-ви септември 2008, 19:42

ComboFix Вход
-----------------------
ComboFix 08-09-20.05 - 012466 2008-09-21 19:31:50.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.473 [GMT -7:00]
Работещи от: C: \ Keanetools \ ComboFix.exe
* Created нова точка за възстановяване
ПРЕДУПРЕЖДЕНИЕ-тази машина не разполага с конзолата за възстановяване инсталиран!
.
((((((((((((((((((((((((((((((((((((((( Други заличавания ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ Documents и Settings \ LocalService \ Cookies \ system@ad.yieldmanag е [1]. TXT
C: \ Windows \ System32 \ x64
.
((((((((((((((((((((((((((((((((((((((( Драйвери / Услуги )))))))) )))))))))))))))))))))))))))))))))))))))))
.
------- \ Legacy_BHSRV
------- \ Service_BHsrv

((((((((((((((((((((((((( Файлове Създаден от 2008-08-22 до 2008-09-22 ))))))))))) ))))))))))))))))))))
.
2008-09-21 18:09. 2008-09-21 18:10 <DIR> г -------- C: \ Program Files \ Malwarebytes "Анти-злонамерени програми
2008-09-21 18:09. 2008-09-21 18:09 <DIR> г -------- C: \ Documents и Settings \ Всички Users \ Прилагане Data \ Malwarebytes
2008-09-21 18:09. 2008-09-21 18:09 <DIR> г -------- C: \ Documents и Settings \012466 \ Прилагане Data \ Malwarebytes
2008-09-21 18:09. 2008-09-10 00:04 38528 - A ------ C: \ Windows \ System32 \ Drivers \ mbamswissarmy.sys
2008-09-21 18:09. 2008-09-10 00:03 17200 - A ------ C: \ Windows \ System32 \ Drivers \ mbam.sys
2008-09-21 11:07. 2008-09-21 11:07 <DIR> г -------- C: \ Program Files \ Lavasoft
2008-09-21 11:07. 2008-09-21 11:08 <DIR> г -------- C: \ Documents и Settings \ Всички Users \ Прилагане Data \ Lavasoft
2008-09-21 11:06. 2008-09-21 11:06 <DIR> г -------- C: \ Program Files \ Общи файлове \ Wise Инсталиране Wizard
2008-09-20 23:40. 2008-09-20 23:40 <DIR> г -------- C: \ Program Files \ Trend Микро
2008-09-19 09:03. 2008-09-19 09:08 <DIR> г -------- C: \ Windows \ SxsCaPendDel
2008-09-19 00:49. 2008-09-19 00:52 <DIR> г -------- C: \ Documents и Settings \012466 \. Housecall6.6
2008-09-19 00:27. 2008-09-19 09:04 <DIR> DA ------ C: \ Documents и Settings \ Всички Users \ Прилагане Data \ ТЕМП
2008-09-18 20:25. 2002-02-04 06:22 1230336 - A ------ C: \ Windows \ System32 \ msxml4.dll
2008-09-18 20:25. 2007-09-14 05:01 922920 --------- C: \ Windows \ System32 \ ahlprun.exe
2008-09-18 20:25. 2002-02-04 06:13 82432 - A ------ C: \ Windows \ System32 \ msxml4r.dll
2008-09-18 20:25. 2002-02-04 06:13 44544 - A ------ C: \ Windows \ System32 \ msxml4a.dll
2008-09-18 20:25. 2002-02-07 18:43 9679 - A ------ C: \ Windows \ System32 \ msxml4r.cat
2008-09-18 20:25. 2002-02-07 18:43 9675 - A ------ C: \ Windows \ System32 \ msxml4.cat
2008-09-18 20:25. 2002-02-06 20:31 3489 - A ------ C: \ Windows \ System32 \ msxml4.Manifest
2008-09-18 20:25. 2002-02-06 20:31 500 - A ------ C: \ Windows \ System32 \ msxml4r.Manifest
2008-09-18 20:21. 2008-09-18 20:21 <DIR> г -------- C: \ Program Files \ Общи файлове \ Lenovo
2008-09-18 18:27. 2008-09-21 11:54 21272 - A ------ C: \ Windows \ System32 \ bynpea.key
2008-09-18 18:25. 2008-09-18 18:25 1 - ------ C: \ Windows \ System32 \004fdb9.imi
2008-09-15 14:23. 2008-09-15 14:23 332800 HS --- ---- C: \ Windows \ System32 \ _Bhsrv.msi
2008-09-15 12:15. 2008-09-18 15:57 69942 - A ------ C: \ Windows \ System32 \ rrjack.key
2008-09-15 12:15. 2008-09-15 12:15 1 - ------ C: \ Windows \ System32 \0048444.imi
2008-09-13 19:27. 2008-09-13 19:27 24 - A ------ C: \ Windows \ cdplayer.ini
2008-09-13 19:26. 2008-09-13 19:26 <DIR> г -------- C: \ Program Files \ Недвижими
2008-09-13 19:26. 2008-09-13 19:26 <DIR> г -------- C: \ Program Files \ Общи файлове \ xing споделено
2008-09-13 19:26. 2008-09-13 19:26 <DIR> г -------- C: \ Program Files \ Общи файлове \ Недвижими
.
(((((((((((((((((((((((((((((((((((((((( Find3M Доклад )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 02:33 --------- г ----- w C: \ Program Files \ Symantec AntiVirus
2008-09-22 02:33 --------- г ----- w C: \ Program Files \ Cisco VPN клиент
2008-09-21 18:56 16 - дузпа - R C: \ MSCIOTL.SYS
2008-09-21 18:55 8416 ---- О C: \ Windows \ System32 \ Drivers \ CDProbe.SYS
2008-09-20 19:26 430816 - SH - w C: \ Program Files \ _MsInfo.msi
2008-09-19 03:25 --------- D - H - w C: \ Program Files \ InstallShield Инсталиране Информация
2008-09-19 03:25 --------- г ----- w C: \ Program Files \ ThinkVantage
2008-09-19 03:21 --------- г ----- w C: \ Program Files \ Lenovo
.
((((((((((((((((((((((((((((((((((((( Рег. Loading Точки )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Забележка * празна вписванията & legit подразбиране вписванията не са показани
REGEDIT4
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Пусни]
"Ctfmon.exe" = "C: \ Windows \ System32 \ Ctfmon.exe" [2004-08-04 15360]
"Yahoo! Пейджър" = "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 4670704]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Пусни]
"IgfxTray" = "C: \ Windows \ System32 \ igfxtray.exe" [2007-08-15 141848]
"HotKeysCmds" = "C: \ Windows \ System32 \ hkcmd.exe" [2007-08-15 162328]
"Устойчивост" = "C: \ Windows \ System32 \ igfxpers.ex Е" [2007-08-15 137752]
"ccApp" = "C: \ Program Files \ Общи файлове \ Symantec общо \ ccApp.exe" [2006-03-24 53408]
"vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656]
"TPHOTKEY" = "C: \ Program Files \ Lenovo \ клавиш \ TPOSDSVC.exe" [2007-03-09 66176]
"UpdateManager" = "C: \ Program Files \ Общи файлове \ Sonic \ Update мениджър \ sgtray.exe" [2003-08-18 110592]
"DLA" = "C: \ Windows \ System32 \ DLA \ tfswctrl.exe" [2005-05-19 127037]
"EZEJMNAP" = "C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp. EXE" [2007-04-26 243248]
"LPManager" = "C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368]
"TVT Планировчик прокси" = "C: \ Program Files \ Общи файлове \ Lenovo \ Планировчик \ scheduler_proxy.exe" [2008-03-04 487424]
"TkBellExe" = "C: \ Program Files \ Общи файлове \ недвижими \ Update_OB \ realsched.exe" [2008-09-13 185896]
"TrackPointSrv" = "tp4mon.exe" [2004-08-03 C: \ Windows \ System32 \ tp4mon.exe]
"NWTRAY" = "NWTRAY.EXE" [2002-03-12 C: \ Windows \ System32 \ nwtray.exe]
"TpShocks" = "TpShocks.exe" [2007-03-29 C: \ Windows \ System32 \ TpShocks.exe]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Пусни]
"Communicator" = "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" [2005-05-12 4167376]
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ curr entversion \ Policies \ System]
"CompatibleRUPSecurity" = 1 (0x1)
[HKEY_USERS \. Подразбиране \ Software \ Microsoft \ Windows \ пес rentversion \ Policies \ Explorer]
"StartMenuLogOff" = 1 (0x1)
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ уведомява \ tpfnf2]
2006-09-06 13:37 34344 C: \ Program Files \ Lenovo \ клавиш \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ уведомява \ tphotkey]
2006-12-14 08:06 28672 C: \ Program Files \ Lenovo \ клавиш \ tphklock.dll
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ contro л \ LSA]
Удостоверяване Пакети REG_MULTI_SZ msv1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ сигурност център \ мониторинг \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001
[HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ Списък]
"% Windir% \ \ System32 \ \ sessmgr.exe" =
"C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YahooMessenger.exe" =
"C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YServer.exe" =
R0 Shockprf; Shockprf; C: \ Windows \ System32 \ Drivers \ Apsx 86.sys [2007-03-02 100656]
R0 TPDIGIMN; TPDIGIMN; C: \ Windows \ System32 \ Drivers \ ApsH M86.sys [2007-03-02 19760]
R2 smefs; SMEFileSystem; C: \ Windows \ System32 \ Drivers \ см efs.sys [2006-02-08 20508]
R3 CdProbe; CdProbe; C: \ Windows \ System32 \ Drivers \ cdprob e.sys [2008-09-21 8416]
R3 smedrv; SMEDriver; C: \ Windows \ System32 \ Drivers \ smedr v.sys [2006-02-08 9516]
S2 AppMgSvc; приложения за управление на услуги; C: \ Program Files \ Общи файлове \ Microsoft споделени \ MSINFO \ MsInfo.msi [2008-09-20 430816]
S2 yraebbgi; yraebbgi; C: \ Windows \ System32 \ Drivers \ bynp ea.sys []
S2 yrtxzgwh; yrtxzgwh; C: \ Windows \ System32 \ Drivers \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Svchost]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
.
.
------- Допълнителни Сканирай -------
.
R0 -: HKCU-Main, Първа страница = hxxp: / / www.google.com/
O8 -: E & Експортиране към Microsoft Excel - C: \ PROGRA ~ 1 \ Micros ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
.
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - rootkit / стелт зловреден софтуер детектор с Gmer, http://www.gmer.net
Rootkit сканира 2008-09-21 19:35:12
Windows 5.1.2600 Service Pack 2 NTFS
сканиране скрити процеси ...
сканиране скрити autostart вписванията ...
сканиране скритите файлове ...
сканирането приключи успешно
скритите файлове: 0
************************************************** ************************
[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ A ppMgSvc]
"Път_към_образа" = "C: \ Program Files \ Общи файлове \ Microsoft споделени \ MSINFO \ MsInfo.msi"
.
--------------------- DLLs Loaded Под Работещи процеси ---------------------
ПРОЦЕС: C: \ Windows \ System32 \ winlogon.exe
-> C: \ Program Files \ Lenovo \ клавиш \ tphklock.dll
.
------------------------ Други Работещи процеси ----------------------- --
.
C: \ Windows \ System32 \ ibmpmsvc.exe
C: \ Program Files \ Intel \ Безжични \ Бин \ S24EvMon.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ ccSetMgr.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ ccEvtMgr.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe
C: \ _integra \ бен \ shstart.exe
C: \ Windows \ System32 \ igfxsrvc.exe
C: \ Program Files \ Lenovo \ клавиш \ TPONSCR.exe
C: \ Program Files \ Lenovo \ ZOOM \ TpScrex.exe
C: \ Program Files \ Symantec AntiVirus \ DoScan.exe
C: \ Program Files \ Internet Explorer \ Iexplore.exe
C: \ CENTENN.IAL \ ОДИТНИ \ CAgent32.exe
C: \ CENTENN.IAL \ ОДИТНИ \ xferwan.exe
C: \ Program Files \ Cisco VPN клиент \ cvpnd.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Intel \ Безжични \ Бин \ EvtEng.exe
C: \ Program Files \ Общи файлове \ Microsoft споделени \ VS7DEBUG \ MDM.EXE
C: \ Program Files \ Intel \ Безжични \ Бин \ RegSrvc.exe
C: \ Program Files \ Yahoo! \ Messenger \ Ymsgr_tray.exe
C: \ Windows \ System32 \ calc.exe
C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Общи файлове \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ Windows \ System32 \ TPHDEXLG.exe
C: \ Program Files \ Общи файлове \ Lenovo \ Планировчик \ tvtsched.exe
C: \ _integra \ бен \ ccmagent.exe
C: \ Program Files \ Lenovo \ System Update \ SUService.exe
C: \ Windows \ System32 \ wscntfy.exe
C: \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
Приключване време: 2008-09-21 19:36:58 - машината е rebooted
ComboFix-карантина-files.txt 2008-09-22 02:36:54
Предварително Пусни: 64333811712 байта свободно
Пост-писта: 64523264000 байта свободно
175

HijackThis Вход
-----------------------------------
Logfile на Тренд Микро HijackThis v2.0.2
Сканиране, записани в 7:38:41 PM, на 9/21/2008
Платформа: Windows XP SP2 (Winnt 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Обувка готовност: Нормално
Работещи процеси:
C: \ Windows \ System32 \ smss.exe
C: \ Windows \ System32 \ winlogon.exe
C: \ Windows \ System32 \ services.exe
C: \ Windows \ System32 \ lsass.exe
C: \ Windows \ System32 \ ibmpmsvc.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Program Files \ Intel \ Безжични \ Бин \ S24EvMon.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ ccSetMgr.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ ccEvtMgr.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe
C: \ Windows \ System32 \ spoolsv.exe
C: \ _integra \ бен \ shstart.exe
C: \ Windows \ System32 \ tp4mon.exe
C: \ Windows \ System32 \ igfxtray.exe
C: \ Windows \ System32 \ hkcmd.exe
C: \ Windows \ System32 \ igfxpers.exe
C: \ Windows \ System32 \ NWTRAY.EXE
C: \ Program Files \ Общи файлове \ Symantec общо \ ccApp.exe
C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
C: \ Windows \ System32 \ igfxsrvc.exe
C: \ Program Files \ Lenovo \ клавиш \ TPOSDSVC.exe
C: \ Windows \ System32 \ DLA \ tfswctrl.exe
C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
C: \ Program Files \ Lenovo \ клавиш \ TPONSCR.exe
C: \ Program Files \ Lenovo \ Zoom \ TpScrex.exe
C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
C: \ Windows \ System32 \ TpShocks.exe
C: \ Program Files \ Общи файлове \ Lenovo \ Планировчик \ scheduler_proxy.exe
C: \ Program Files \ Общи файлове \ недвижими \ Update_OB \ realsched.exe
C: \ Windows \ System32 \ Ctfmon.exe
C: \ Program Files \ Internet Explorer \ Iexplore.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Centenn.ial \ Одит \ CAgent32.exe
C: \ Centenn.ial \ Одит \ xferwan.exe
C: \ Program Files \ Cisco VPN клиент \ cvpnd.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Intel \ Безжични \ Бин \ EvtEng.exe
C: \ Program Files \ Общи файлове \ Microsoft споделени \ VS7DEBUG \ MDM.EXE
C: \ Program Files \ Intel \ Безжични \ Бин \ RegSrvc.exe
C: \ Program Files \ Yahoo! \ Messenger \ ymsgr_tray.exe
C: \ Windows \ System32 \ calc.exe
C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Общи файлове \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ Windows \ System32 \ TPHDEXLG.exe
C: \ Program Files \ Общи файлове \ Lenovo \ Планировчик \ tvtsched.exe
C: \ _integra \ бен \ ccmagent.exe
C: \ Program Files \ Lenovo \ System обновяване \ suservice.exe
C: \ Windows \ System32 \ wscntfy.exe
C: \ Windows \ System32 \ wuauclt.exe
C: \ Windows \ System32 \ wuauclt.exe
C: \ Windows \ Explorer.exe
C: \ Program Files \ Trend Микро \ HijackThis \ HijackThis.exe
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, търсене Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj клас - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Adobe \ Acrobat 7,0 \ ActiveX \ AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - (5CA3D70E-1895-11CF-8E15-001234567890) - C: \ Windows \ System32 \ DLA \ tfswshx.dll
O4 - HKLM \ .. \ Пусни: [TrackPointSrv] tp4mon.exe
O4 - HKLM \ .. \ Пусни: [IgfxTray] C: \ Windows \ System32 \ igfxtray.exe
O4 - HKLM \ .. \ Пусни: [HotKeysCmds] C: \ Windows \ System32 \ hkcmd.exe
O4 - HKLM \ .. \ Пусни: [Устойчивост] C: \ Windows \ System32 \ igfxpers.exe
O4 - HKLM \ .. \ Пусни: [NWTRAY] NWTRAY.EXE
O4 - HKLM \ .. \ Пусни: [ccApp] "C: \ Program Files \ Общи файлове \ Symantec общо \ ccApp.exe"
O4 - HKLM \ .. \ Пусни: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Пусни: [TPHOTKEY] C: \ Program Files \ Lenovo \ клавиш \ TPOSDSVC.exe
O4 - HKLM \ .. \ Пусни: [UpdateManager] "C: \ Program Files \ Общи файлове \ Sonic \ Update мениджър \ sgtray.exe" / R
O4 - HKLM \ .. \ Пусни: [DLA] C: \ Windows \ System32 \ DLA \ tfswctrl.exe
O4 - HKLM \ .. \ Пусни: [EZEJMNAP] C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
O4 - HKLM \ .. \ Пусни: [LPManager] C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 - HKLM \ .. \ Пусни: [TpShocks] TpShocks.exe
O4 - HKLM \ .. \ Пусни: [TVT Планировчик Прокси] C: \ Program Files \ Общи файлове \ Lenovo \ Планировчик \ scheduler_proxy.exe
O4 - HKLM \ .. \ Пусни: [TkBellExe] "C: \ Program Files \ Общи файлове \ недвижими \ Update_OB \ realsched.exe"-osboot
O4 - HKCU \ .. \ Пусни: [Ctfmon.exe] C: \ Windows \ System32 \ Ctfmon.exe
O4 - HKCU \ .. \ Пусни: [Yahoo! Пейджър] "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe"-тихо
O4 - HKUS \ S-1-5-19 \ .. \ Пусни: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'местна услуга ")
O4 - HKUS \ S-1-5-20 \ .. \ Пусни: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User "мрежата")
O4 - HKUS \ S-1-5-18 \ .. \ Пусни: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User "Система")
O4 - HKUS \. DEFAULT \ .. \ Пусни: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'Default потребител ")
O8 - Extra контекст менюто: E & Експортиране към Microsoft Excel - RES: / / C: \ PROGRA ~ 1 \ Micros ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - Extra бутона: Изследвания - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ Micros ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Extra бутона: @ C: \ Program Files \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra "Инструменти" MENUITEM: @ C: \ Program Files \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (215B8138-A3CF-44C5-803F-8226143CFC0A) (Тренд Микро ActiveX Сканирай Агент 6.6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \ System \ УСВ \ Services \ TCPIP \ .. \ (B8E7B489-2160-4DE7-B592-9FD03D16CC74): Домейн = keane.com
O17 - HKLM \ System \ УСВ \ Services \ TCPIP \ .. \ (D239A412-22C2-4683-95BC-1FFAA687D0DF): NameServer = 172.21.18.101,172.21.18.102
O23 - Обслужване: Lavasoft Ad-Aware служба (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe
O23 - Обслужване: Заявление за управление служба (AppMgSvc) - Неизвестен собственик - C: \ Program.exe (файл липсва)
O23 - Обслужване: Symantec Събитие Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ ccEvtMgr.exe
O23 - Обслужване: Symantec Настройки Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ ccSetMgr.exe
O23 - Обслужване: CentennialClientAgent - стогодишнина Софтуер Limited - C: \ Centenn.ial \ Одит \ CAgent32.exe
O23 - Обслужване: CentennialIPTransferAgent - стогодишнина Софтуер Limited - C: \ Centenn.ial \ Одит \ xferwan.exe
O23 - Обслужване: Клиент Update служба за Novell (cusrvc) - Novell, Inc - C: \ Windows \ System32 \ cusrvc.exe
O23 - Обслужване: Cisco Systems, Inc VPN служба (CVPND) - Cisco Systems, Inc - C: \ Program Files \ Cisco VPN клиент \ cvpnd.exe
O23 - Обслужване: Symantec AntiVirus Определение Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
O23 - Обслужване: Intel (R) PROSet / Безжични Събитие Дневник (EvtEng) - Intel Corporation - C: \ Program Files \ Intel \ Безжични \ Бин \ EvtEng.exe
O23 - Обслужване: ThinkPad PM служба (IBMPMSVC) - Lenovo - C: \ Windows \ System32 \ ibmpmsvc.exe
O23 - Обслужване: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Обслужване: Intel (R) PROSet / Безжични Служба по вписванията (RegSrvc) - Intel Corporation - C: \ Program Files \ Intel \ Безжични \ Бин \ RegSrvc.exe
O23 - Обслужване: Intel (R) PROSet / безжични услуги (S24EventMonitor) - Intel Corporation - C: \ Program Files \ Intel \ Безжични \ Бин \ S24EvMon.exe
O23 - Обслужване: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
O23 - Обслужване: Symantec мрежа Драйвери служба (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ SNDSrvc.exe
O23 - Обслужване: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ SPBBC \ SPBBCSvc.exe
O23 - Обслужване: Система Update (SUService) - Lenovo Group Limited - C: \ Program Files \ Lenovo \ System обновяване \ suservice.exe
O23 - Обслужване: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
O23 - Обслужване: ThinkVantage регистър Монитор служба - Lenovo Group Limited - C: \ Program Files \ Общи файлове \ Lenovo \ tvt_reg_monitor_svc.exe
O23 - Обслужване: ThinkPad HDD ГПС Влизане служба (TPHDEXLGSVC) - Lenovo. - C: \ Windows \ System32 \ TPHDEXLG.exe
O23 - Обслужване: TVT Планировчик - Lenovo Group Limited - C: \ Program Files \ Общи файлове \ Lenovo \ Планировчик \ tvtsched.exe
O23 - Обслужване: Symantec LiveState Агент за Windows (WControl) - Symantec Corporation - C: \ _integra \ бен \ ccmagent.exe
--
Краят на файла - 8581 байта

**evilfantasy** · #8 21-ви септември 2008, 21:24

Забележка: на инструкциите по-долу, са създадени специално за този потребител. Ако не сте този потребител, НЕ следните направления, тъй като те биха могли да повреди работата на вашата система

Изтрийте тези файлове / папки, както следва:

1. Отиди на Започвам > Бягам > Тип Notepad.exe и натиснете OK за да отворите Notepad.
Него трябва се Notepad, не WordPad.
2. Копиране на текст в полето по-долу код Отбелязването на всички текстови и пресоване Ctrl + C

Код:

KillAll:: Шофьор:: BHSRV BHsrv Файл:: C: \ Windows \ System32 \ bynpea.key C: \ Windows \ System32 \ 004fdb9.imi C: \ Windows \ System32 \ _Bhsrv.msi C: \ Windows \ System32 \ rrjack. клавиша C: \ Windows \ System32 \ 0048444.imi C: \ Windows \ System32 \ Drivers \ bynpea.sys C: \ Windows \ System32 \ Drivers \ rrjack.sys C: \ Windows \ System32 \ calc.exe

3. Отидете в Notepad прозорец и кликнете Редактиране > Залепване
4. След това кликнете върху Картотекирам > Спасявам
5. Име на файла CFScript.txt - Запазете файла на вашия работен плот
6. След това плъзнете CFScript (задръжте левия бутон на мишката, докато изтеглите файл) и пусни я (съобщение на левия бутон на мишката) в ComboFix.exe както виждате на екрана по-долу. Важно: Изпълнете тази инструкция внимателно!

ComboFix ще започнат да се изпълняват, просто следвайте указанията.
След като рестартирате (в случай, че иска да се рестартира), тя ще представи дневник за вас.
Пост този дневник (Combofix.txt) в следващата си реплика.

Забележка: Не mouseclick ComboFix в прозореца, докато тя работи. Това може да доведе до вашата система, за да се замразява

nitingaur · #9 21-ви септември 2008, 22:20

ComboFix влезте след пускането CFSCript
-------------------------------------------------- --------
ComboFix 08-09-20.05 - 012466 2008-09-21 22:11:45.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.598 [GMT -7:00]
Работещи от: C: \ Keanetools \ ComboFix.exe
Команда превключватели използвани:: C: \ Documents и Settings \012466 \ Desktop \ CFScript.txt
* Created нова точка за възстановяване
ПРЕДУПРЕЖДЕНИЕ-тази машина не разполага с конзолата за възстановяване инсталиран!
ФАЙЛ::
C: \ Windows \ System32 \ _Bhsrv.msi
C: \ Windows \ System32 \0048444.imi
C: \ Windows \ System32 \004fdb9.imi
C: \ Windows \ System32 \ bynpea.key
C: \ Windows \ System32 \ calc.exe
C: \ Windows \ System32 \ Drivers \ bynpea.sys
C: \ Windows \ System32 \ Drivers \ rrjack.sys
C: \ Windows \ System32 \ rrjack.key
.
((((((((((((((((((((((((((((((((((((((( Други заличавания ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ Windows \ System32 \ _Bhsrv.msi
C: \ Windows \ System32 \0048444.imi
C: \ Windows \ System32 \004fdb9.imi
C: \ Windows \ System32 \ bynpea.key
C: \ Windows \ System32 \ calc.exe
C: \ Windows \ System32 \ rrjack.key
.
((((((((((((((((((((((((( Файлове Създаден от 2008-08-22 до 2008-09-22 ))))))))))) ))))))))))))))))))))
.
2008-09-21 18:09. 2008-09-21 18:10 <DIR> г -------- C: \ Program Files \ Malwarebytes "Анти-злонамерени програми
2008-09-21 18:09. 2008-09-21 18:09 <DIR> г -------- C: \ Documents и Settings \ Всички Users \ Прилагане Data \ Malwarebytes
2008-09-21 18:09. 2008-09-21 18:09 <DIR> г -------- C: \ Documents и Settings \012466 \ Прилагане Data \ Malwarebytes
2008-09-21 18:09. 2008-09-10 00:04 38528 - A ------ C: \ Windows \ System32 \ Drivers \ mbamswissarmy.sys
2008-09-21 18:09. 2008-09-10 00:03 17200 - A ------ C: \ Windows \ System32 \ Drivers \ mbam.sys
2008-09-21 11:07. 2008-09-21 11:07 <DIR> г -------- C: \ Program Files \ Lavasoft
2008-09-21 11:07. 2008-09-21 11:08 <DIR> г -------- C: \ Documents и Settings \ Всички Users \ Прилагане Data \ Lavasoft
2008-09-21 11:06. 2008-09-21 11:06 <DIR> г -------- C: \ Program Files \ Общи файлове \ Wise Инсталиране Wizard
2008-09-20 23:40. 2008-09-20 23:40 <DIR> г -------- C: \ Program Files \ Trend Микро
2008-09-19 09:03. 2008-09-19 09:08 <DIR> г -------- C: \ Windows \ SxsCaPendDel
2008-09-19 00:49. 2008-09-19 00:52 <DIR> г -------- C: \ Documents и Settings \012466 \. Housecall6.6
2008-09-19 00:27. 2008-09-19 09:04 <DIR> DA ------ C: \ Documents и Settings \ Всички Users \ Прилагане Data \ ТЕМП
2008-09-18 20:25. 2002-02-04 06:22 1230336 - A ------ C: \ Windows \ System32 \ msxml4.dll
2008-09-18 20:25. 2007-09-14 05:01 922920 --------- C: \ Windows \ System32 \ ahlprun.exe
2008-09-18 20:25. 2002-02-04 06:13 82432 - A ------ C: \ Windows \ System32 \ msxml4r.dll
2008-09-18 20:25. 2002-02-04 06:13 44544 - A ------ C: \ Windows \ System32 \ msxml4a.dll
2008-09-18 20:25. 2002-02-07 18:43 9679 - A ------ C: \ Windows \ System32 \ msxml4r.cat
2008-09-18 20:25. 2002-02-07 18:43 9675 - A ------ C: \ Windows \ System32 \ msxml4.cat
2008-09-18 20:25. 2002-02-06 20:31 3489 - A ------ C: \ Windows \ System32 \ msxml4.Manifest
2008-09-18 20:25. 2002-02-06 20:31 500 - A ------ C: \ Windows \ System32 \ msxml4r.Manifest
2008-09-18 20:21. 2008-09-18 20:21 <DIR> г -------- C: \ Program Files \ Общи файлове \ Lenovo
2008-09-13 19:27. 2008-09-13 19:27 24 - A ------ C: \ Windows \ cdplayer.ini
2008-09-13 19:26. 2008-09-13 19:26 <DIR> г -------- C: \ Program Files \ Недвижими
2008-09-13 19:26. 2008-09-13 19:26 <DIR> г -------- C: \ Program Files \ Общи файлове \ xing споделено
2008-09-13 19:26. 2008-09-13 19:26 <DIR> г -------- C: \ Program Files \ Общи файлове \ Недвижими
.
(((((((((((((((((((((((((((((((((((((((( Find3M Доклад )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 05:14 8416 ---- О C: \ Windows \ System32 \ Drivers \ CDProbe.SYS
2008-09-22 05:14 16 - дузпа - R C: \ MSCIOTL.SYS
2008-09-22 05:14 --------- г ----- w C: \ Program Files \ Symantec AntiVirus
2008-09-22 03:07 --------- г ----- w C: \ Program Files \ Cisco VPN клиент
2008-09-20 19:26 430816 - SH - w C: \ Program Files \ _MsInfo.msi
2008-09-19 03:25 --------- D - H - w C: \ Program Files \ InstallShield Инсталиране Информация
2008-09-19 03:25 --------- г ----- w C: \ Program Files \ ThinkVantage
2008-09-19 03:21 --------- г ----- w C: \ Program Files \ Lenovo
.
((((((((((((((((((((((((((((( Snapshot@2008-09-21_19.36.38.64 )))))))))) )))))))))))))))))))))))))))))))
.
- 2008-09-21 18:59:45 71370 ---- О C: \ Windows \ System32 \ perfc009.dat
+ 2008-09-22 02:39:43 71370 ---- О C: \ Windows \ System32 \ perfc009.dat
- 2008-09-21 18:59:45 439832 ---- О C: \ Windows \ System32 \ perfh009.dat
+ 2008-09-22 02:39:43 439832 ---- О C: \ Windows \ System32 \ perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Рег. Loading Точки )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Забележка * празна вписванията & legit подразбиране вписванията не са показани
REGEDIT4
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Пусни]
"Ctfmon.exe" = "C: \ Windows \ System32 \ Ctfmon.exe" [2004-08-04 15360]
"Yahoo! Пейджър" = "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 4670704]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Пусни]
"IgfxTray" = "C: \ Windows \ System32 \ igfxtray.exe" [2007-08-15 141848]
"HotKeysCmds" = "C: \ Windows \ System32 \ hkcmd.exe" [2007-08-15 162328]
"Устойчивост" = "C: \ Windows \ System32 \ igfxpers.ex Е" [2007-08-15 137752]
"ccApp" = "C: \ Program Files \ Общи файлове \ Symantec общо \ ccApp.exe" [2006-03-24 53408]
"vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656]
"TPHOTKEY" = "C: \ Program Files \ Lenovo \ клавиш \ TPOSDSVC.exe" [2007-03-09 66176]
"UpdateManager" = "C: \ Program Files \ Общи файлове \ Sonic \ Update мениджър \ sgtray.exe" [2003-08-18 110592]
"DLA" = "C: \ Windows \ System32 \ DLA \ tfswctrl.exe" [2005-05-19 127037]
"EZEJMNAP" = "C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp. EXE" [2007-04-26 243248]
"LPManager" = "C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368]
"TVT Планировчик прокси" = "C: \ Program Files \ Общи файлове \ Lenovo \ Планировчик \ scheduler_proxy.exe" [2008-03-04 487424]
"TkBellExe" = "C: \ Program Files \ Общи файлове \ недвижими \ Update_OB \ realsched.exe" [2008-09-13 185896]
"TrackPointSrv" = "tp4mon.exe" [2004-08-03 C: \ Windows \ System32 \ tp4mon.exe]
"NWTRAY" = "NWTRAY.EXE" [2002-03-12 C: \ Windows \ System32 \ nwtray.exe]
"TpShocks" = "TpShocks.exe" [2007-03-29 C: \ Windows \ System32 \ TpShocks.exe]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Пусни]
"Communicator" = "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" [2005-05-12 4167376]
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ curr entversion \ Policies \ System]
"CompatibleRUPSecurity" = 1 (0x1)
[HKEY_USERS \. Подразбиране \ Software \ Microsoft \ Windows \ пес rentversion \ Policies \ Explorer]
"StartMenuLogOff" = 1 (0x1)
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ уведомява \ tpfnf2]
2006-09-06 13:37 34344 C: \ Program Files \ Lenovo \ клавиш \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ уведомява \ tphotkey]
2006-12-14 08:06 28672 C: \ Program Files \ Lenovo \ клавиш \ tphklock.dll
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ contro л \ LSA]
Удостоверяване Пакети REG_MULTI_SZ msv1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ сигурност център \ мониторинг \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001
[HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ Списък]
"% Windir% \ \ System32 \ \ sessmgr.exe" =
"C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YahooMessenger.exe" =
"C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YServer.exe" =
R0 Shockprf; Shockprf; C: \ Windows \ System32 \ Drivers \ Apsx 86.sys [2007-03-02 100656]
R0 TPDIGIMN; TPDIGIMN; C: \ Windows \ System32 \ Drivers \ ApsH M86.sys [2007-03-02 19760]
R2 smefs; SMEFileSystem; C: \ Windows \ System32 \ Drivers \ см efs.sys [2006-02-08 20508]
R3 CdProbe; CdProbe; C: \ Windows \ System32 \ Drivers \ cdprob e.sys [2008-09-21 8416]
R3 smedrv; SMEDriver; C: \ Windows \ System32 \ Drivers \ smedr v.sys [2006-02-08 9516]
S2 AppMgSvc; приложения за управление на услуги; C: \ Program Files \ Общи файлове \ Microsoft споделени \ MSINFO \ MsInfo.msi [2008-09-20 430816]
S2 yraebbgi; yraebbgi; C: \ Windows \ System32 \ Drivers \ bynp ea.sys []
S2 yrtxzgwh; yrtxzgwh; C: \ Windows \ System32 \ Drivers \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Svchost]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
.
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - rootkit / стелт зловреден софтуер детектор с Gmer, http://www.gmer.net
Rootkit сканира 2008-09-21 22:16:04
Windows 5.1.2600 Service Pack 2 NTFS
сканиране скрити процеси ...
сканиране скрити autostart вписванията ...
сканиране скритите файлове ...

C: \ Windows \ System32 \ calc.exe
сканирането приключи успешно
скритите файлове: 1
************************************************** ************************
[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ A ppMgSvc]
"Път_към_образа" = "C: \ Program Files \ Общи файлове \ Microsoft споделени \ MSINFO \ MsInfo.msi"
.
--------------------- DLLs Loaded Под Работещи процеси ---------------------
ПРОЦЕС: C: \ Windows \ System32 \ winlogon.exe
-> C: \ Program Files \ Lenovo \ клавиш \ tphklock.dll
.
------------------------ Други Работещи процеси ----------------------- --
.
C: \ Windows \ System32 \ ibmpmsvc.exe
C: \ Program Files \ Intel \ Безжични \ Бин \ S24EvMon.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ ccSetMgr.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ ccEvtMgr.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe
C: \ Program Files \ Internet Explorer \ Iexplore.exe
C: \ CENTENN.IAL \ ОДИТНИ \ CAgent32.exe
C: \ CENTENN.IAL \ ОДИТНИ \ xferwan.exe
C: \ Program Files \ Cisco VPN клиент \ cvpnd.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Intel \ Безжични \ Бин \ EvtEng.exe
C: \ Program Files \ Общи файлове \ Microsoft споделени \ VS7DEBUG \ MDM.EXE
C: \ Program Files \ Intel \ Безжични \ Бин \ RegSrvc.exe
C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Общи файлове \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ Windows \ System32 \ TPHDEXLG.exe
C: \ Program Files \ Общи файлове \ Lenovo \ Планировчик \ tvtsched.exe
C: \ _integra \ бен \ ccmagent.exe
C: \ Program Files \ Lenovo \ System Update \ SUService.exe
C: \ _integra \ бен \ shstart.exe
C: \ Windows \ System32 \ igfxsrvc.exe
C: \ Program Files \ Lenovo \ клавиш \ TPONSCR.exe
C: \ Program Files \ Lenovo \ ZOOM \ TpScrex.exe
C: \ Program Files \ Symantec AntiVirus \ DoScan.exe
C: \ Program Files \ Yahoo! \ Messenger \ Ymsgr_tray.exe
C: \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
Приключване време: 2008-09-21 22:17:28 - машината е rebooted
ComboFix-карантина-files.txt 2008-09-22 05:17:23
ComboFix2.txt 2008-09-22 02:36:59
Предварително Пусни: 64509464576 байта свободно
Пост-писта: 64505421824 байта свободно
181

**evilfantasy** · #10 21-ви септември 2008, 22:26

Изтеглям OTMoveIt2 от OldTimerи го запишете на вашия Desktop.

Забележка: Ако работите на Vista, щракнете с десния бутон върху OTMoveIt2.exe и изберете Пусни като администратор.

1. Щракнете два пъти върху OTMoveIt2.exe за да го изпълним.
2. Копирайте линии в codebox долу.

Код:

[убие Explorer] C: \ Windows \ System32 \ calc.exe HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ AppMgSvc EmptyTemp [проекта Explorer]

3. Връщане в OTMoveIt2 десния клик в Поставете листа на файлове / папки за Премести прозорец (под жълтата лента) и изберете Залепване
4. Кликнете на червените Moveit! бутон.
5. Копирай всичко в резултатите прозорец (под зелената лента) и го поставете във Вашата следваща отговор.
6. Затварям OTMoveIt2

ЗабележкаАко даден файл или папка не може да се направи веднага може да ви бъде поискано да рестартирате компютъра си, за да завърши в движение процес. Ако поиска да се рестартира, изберете Да. Ако това не стане, рестартирайте така или иначе.

Подобни Конци
Нишка	Нишка Начално	Форум	Отговори	Последно мнение
Отстраняване Iexplore.exe вирус / отвличане Дневник	xalice15x	Вирус, шпионски софтуер & Сигурност	16	12 ноември 2008 19:43
Iexplorer.exe вирус - моля да ми помогне!	Giant Panda	Вирус, шпионски софтуер & Сигурност	2	6 октомври 2008 14:55
Аз съм се на bone.exe вируса за моята iexplorer	damandg	Вирус, шпионски софтуер & Сигурност	12	14 Юли 2008 14:31
Iexplorer.exe вирус	iuboy2006	Вирус, шпионски софтуер & Сигурност	9	26 Март 2008 08:12
Avssytemcare изскачащото вируса и така - (включва отвличане това)	хитър	Вирус, шпионски софтуер & Сигурност	23	4-ти септември 2007 16:15

Нишка Инструменти
Покажи версия за печат Email тази страница