IEXPLORER.EXE לחטוף וירוס pls לעיין ביומן

nitingaur · #1 21 ספטמבר 2008, 12:02

Logfile of Trend Micro HijackThis v2.0.2
סרוק שנשמר בשעה 12:01:37 בערב, על 9/21/2008
פלטפורמה: Windows XP SP2 (Winnt 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
אתחול במצב: בדרך כלל
הפעלת תהליכים:
C: \ Windows \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ csrss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ ibmpmsvc.exe
C: \ WINDOWS \ system32 \ היישום Svchost.exe
C: \ WINDOWS \ system32 \ היישום Svchost.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ S24EvMon.exe
C: \ WINDOWS \ system32 \ היישום Svchost.exe
C: \ WINDOWS \ system32 \ היישום Svchost.exe
C: \ WINDOWS \ system32 \ היישום Svchost.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-מודעת \ aawservice.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ WINDOWS \ system32 \ היישום Svchost.exe
C: \ Centenn.ial \ ביקורת \ CAgent32.exe
C: \ Centenn.ial \ ביקורת \ xferwan.exe
C: \ Program Files \ Cisco VPN לקוח \ cvpnd.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ EvtEng.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.EXE
C: \ Program Files \ Intel \ Wireless \ Bin \ RegSrvc.exe
C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ Windows \ System32 \ TPHDEXLG.exe
C: \ Program Files \ Common Files \ Lenovo \ מתזמן \ tvtsched.exe
C: \ _integra \ bin \ ccmagent.exe
C: \ Program Files \ Lenovo \ System עדכון \ suservice.exe
C: \ Windows \ System32 \ alg.exe
C: \ WINDOWS \ system32 \ calc.exe
C: \ WINDOWS \ system32 \ calc.exe
C: \ _integra \ bin \ shstart.exe
C: \ WINDOWS \ explorer.exe
C: \ WINDOWS \ system32 \ tp4mon.exe
C: \ WINDOWS \ system32 \ igfxtray.exe
C: \ WINDOWS \ system32 \ hkcmd.exe
C: \ WINDOWS \ system32 \ igfxpers.exe
C: \ WINDOWS \ system32 \ NWTRAY.EXE
C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe
C: \ progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe
C: \ Program Files \ Lenovo \ HOTKEY \ TPOSDSVC.exe
C: \ WINDOWS \ system32 \ igfxsrvc.exe
C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe
C: \ progra ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
C: \ progra ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
C: \ WINDOWS \ system32 \ TpShocks.exe
C: \ Program Files \ Lenovo \ HOTKEY \ TPONSCR.exe
C: \ Program Files \ Common Files \ Lenovo \ מתזמן \ scheduler_proxy.exe
C: \ Program Files \ Lenovo \ קרב \ TpScrex.exe
C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Program Files \ Yahoo! \ Messenger \ ymsgr_tray.exe
C: \ WINDOWS \ system32 \ taskmgr.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ WINDOWS \ system32 \ WBEM \ wmiprvse.exe
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe
C: \ WINDOWS \ system32 \ WBEM \ wmiprvse.exe
F2 - רג: System.ini: UserInit = C: \ Windows \ system32 \ Userinit.exe, C: \ _inte Gra \ bin \ shstart.exe
O2 - BHO: AcroIEHlprObj Class - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Adobe \ Acrobat 7.0 \ ActiveX \ AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - (5CA3D70E-1895-11CF-8E15-001234567890) - C: \ WINDOWS \ system32 \ dla \ tfswshx.dll
O4 - HKLM \ .. \ Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe
O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe
O4 - HKLM \ .. \ Run: [התמדה] C: \ WINDOWS \ system32 \ igfxpers.exe
O4 - HKLM \ .. \ Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - HKLM \ .. \ Run: [vptray] C: \ progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Run: [TPHOTKEY] C: \ Program Files \ Lenovo \ HOTKEY \ TPOSDSVC.exe
O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Program Files \ Common Files \ קולי \ Update Manager \ sgtray.exe" / R
O4 - HKLM \ .. \ Run: [dla] C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe
O4 - HKLM \ .. \ Run: [EZEJMNAP] C: \ progra ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
O4 - HKLM \ .. \ Run: [LPManager] C: \ progra ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 - HKLM \ .. \ Run: [TpShocks] TpShocks.exe
O4 - HKLM \ .. \ Run: [TVT מתזמן פרוקסי] C: \ Program Files \ Common Files \ Lenovo \ מתזמן \ scheduler_proxy.exe
O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe"-osboot
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [Yahoo! זימונית], "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" שקט
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (משתמש 'שירות רשת')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'SYSTEM')
O4 - HKUS \. ברירת המחדל \ .. \ Run: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'Default user')
O8 - Extra context בתפריט: E & xport ל-Microsoft Excel - res: / / c: \ progra ~ 1 \ מיקרו ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - Extra כפתור: מחקר - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ progra ~ 1 \ מיקרו ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Extra כפתור: @ C: \ Program Files \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: @ C: \ Program Files \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (215B8138-A3CF-44C5-803F-8226143CFC0A) (Trend Micro ActiveX Scan Agent 6.6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (B8E7B489-2160-4DE7-B592-9FD03D16CC74): תחום = keane.com
O23 - Service: Lavasoft Ad-מודעת שירות (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-מודעת \ aawservice.exe
O23 - Service: שירות ניהול יישומים (AppMgSvc) - לא ידוע בעל - C: \ Program.exe (חסר קובץ)
O23 - Service: BHCP השירות (BHsrv) - לא ידוע בעל - C: \ Program.exe (חסר קובץ)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
O23 - Service: CentennialClientAgent - Centennial תוכנה בע"מ - C: \ Centenn.ial \ ביקורת \ CAgent32.exe
O23 - Service: CentennialIPTransferAgent - Centennial תוכנה בע"מ - C: \ Centenn.ial \ ביקורת \ xferwan.exe
O23 - Service: עדכונים שירות הלקוחות של נובל (cusrvc) - נובל, Inc - C: \ WINDOWS \ system32 \ cusrvc.exe
O23 - Service: Cisco Systems, Inc שירותי VPN (CVPND) - Cisco Systems, Inc - C: \ Program Files \ Cisco VPN לקוח \ cvpnd.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
O23 - Service: Intel (R) PROSet / אלחוטי יומן אירועים (EvtEng) - Intel Corporation - C: \ Program Files \ Intel \ Wireless \ Bin \ EvtEng.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C: \ WINDOWS \ system32 \ ibmpmsvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C: \ progra ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Service: Intel (R) PROSet / שירות אלחוטי הרישום (RegSrvc) - Intel Corporation - C: \ Program Files \ Intel \ Wireless \ Bin \ RegSrvc.exe
O23 - Service: Intel (R) PROSet / שירות אלחוטי (S24EventMonitor) - Intel Corporation - C: \ Program Files \ Intel \ Wireless \ Bin \ S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
O23 - Service: מערכת עדכונים (SUService) - Lenovo Group Limited - C: \ Program Files \ Lenovo \ System עדכון \ suservice.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
O23 - Service: ThinkVantage הרישום צג שירות - Lenovo Group Limited - C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe
O23 - Service: ThinkPad HDD APS רישום לשירות (TPHDEXLGSVC) - Lenovo. - C: \ Windows \ System32 \ TPHDEXLG.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C: \ Program Files \ Common Files \ Lenovo \ מתזמן \ tvtsched.exe
O23 - Service: Symantec LiveState סוכן עבור Windows (WControl) - Symantec Corporation - C: \ _integra \ bin \ ccmagent.exe
--
סוף הקובץ - 8621 בייטים

**evilfantasy** · #2 21 ספטמבר 2008, 15:30

להוריד Malwarebytes' Anti-Malware (MBAM)

לחץ פעמיים על mbam-setup.exe ובצע את ההוראות כדי להתקין את התוכנית.
בסוף, הקפד על checkmark ממוקם ליד הבאות:
- עדכן Malwarebytes' Anti-Malware
- הפעלה Malwarebytes' Anti-Malware
לאחר מכן לחץ על סיום.
אם עדכון הוא נמצא, הוא להוריד ולהתקין את הגרסה האחרונה.
לאחר שהתוכנית נטען, בחר בצע סריקה מהירה, ולאחר מכן לחץ על סרוק.
כאשר הסריקה הסתיימה, לחץ אישור, אז הצג תוצאות כדי להציג את התוצאות.
תהיה בטוח שהכל מסומן, ולחץ על הסר נבחרים.
חטוי כאשר יושלם, יומן רישום ייפתח ב 'פנקס רשימות' ו אתה עשוי להתבקש לבצע הפעלה מחדש. (ראה הערה מאוד)
ביומן הוא נשמר באופן אוטומטי על ידי MBAM וכן ניתן לצפות בקבצי היומן על ידי לחיצה על הכרטיסייה MBAM.
העתק והדבק את כל הדו"ח הבא שלך תגובה.

הערה נוספת: אם MBAM מפגשים קובץ זה קשה להסיר, תהיה בפניך 1 של מבקש 2, לחץ על אישור כדי לתמחר ולתת MBAM חטוי להמשיך את התהליך, אם תתבקש להפעיל מחדש את המחשב, יש לעשות זאת באופן מיידי.

nitingaur · #3 21 ספטמבר 2008, 18:18

לא נמצאו תוכנות זדוניות, כאן הוא הדו"ח
-------------------------------------------------- ----
Windows 5.1.2600 Service Pack 2
9/21/2008 6:16:07 PM
mbam-Log-2008-09-21 (18-16-07). txt
סוג סריקה: סריקה מהירה
סריקת אובייקטים: 52621
שעה elapsed: 4 דקות (S), השני 41 (S)
זיכרון תהליכים מזוהמים: 0
זיכרון מודולים מזוהמים: 0
מפתחות רישום מזוהמים: 0
ערכי הרישום מזוהמים: 0
הרישום נתונים מזוהמים פריטים: 0
תיקיות מזוהמים: 0
קבצים מזוהמים: 0
זיכרון תהליכים מזוהמים:
(לא זדוני שזוהו פריטים)
זיכרון מודולים מזוהמים:
(לא זדוני שזוהו פריטים)
מפתחות רישום מזוהמים:
(לא זדוני שזוהו פריטים)
ערכי הרישום מזוהמים:
(לא זדוני שזוהו פריטים)
הרישום של פריטי נתונים מזוהמים:
(לא זדוני שזוהו פריטים)
תיקיות מזוהמים:
(לא זדוני שזוהו פריטים)
קבצים מזוהמים:
(לא זדוני שזוהו פריטים)

**evilfantasy** · #4 21 ספטמבר 2008, 18:40

אין שום תוכנה זדונית מופיעה בשני יומן.

מה בדיוק קרה?

nitingaur · #5 21 ספטמבר 2008, 19:23

תהליך IEXPLORER.EXE מרובים הם spwaning בעיבוד ברשימה. הם מיד pop up אם אני הורג אותם אחד אחד. לפעמים אני שומע גם קצת נשמע כמו אחד מאותם רצים כל חלון הדפדפן, אבל לא נראה לעין. יש בהחלט לא בסדר הם לא אמורים להתקיים.

**evilfantasy** · #6 21 ספטמבר 2008, 19:26

הורד ComboFix על ידי sUBs על אחד הקישורים למטה. הדף הקפד לשמור את זה שולחן עבודה.

קישור # 1
קישור # 2

** הערה: חשוב כי זה נשמר ישירות לשולחן העבודה שלך

סגור פתוח כל דפדפני האינטרנט. (Firefox, Internet Explorer, וכו ') לפני הפעלת ComboFix.

באופן זמני להשבית שלך AntiVirus, וכל AntiSpyware הגנה בזמן אמת לפני ביצוע סריקה. לחץ קישור זה כדי לראות רשימה של תוכנות אבטחה שאמורים להיות מבוטל וכיצד להשבית אותם.

לחץ לחיצה כפולה על combofix.exe & פעל לפי ההנחיות.
לאחר שתסיים ComboFix יהיה להפיק יומן עבורך.
לפרסם את ComboFix יומן חדשה HijackThis Log תגובה הבא שלך.

חשוב: אל mouseclick ComboFix של החלון בזמן שהוא פועל. כי זה עלול לגרום ל הזדקרות.

זכור להפעיל מחדש את האנטי וירוס ו AntiSpyware הגנה בזמן ComboFix הושלמה.

nitingaur · #7 21 ספטמבר 2008, 19:42

ComboFix התחבר
-----------------------
ComboFix 08-09-20.05 - 012466 2008-09-21 19:31:50.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.473 [GMT -7:00]
הפעלת מ: C: \ Keanetools \ ComboFix.exe
* נוצרה נקודת שחזור חדשה
אזהרה זו מכונה אין את השחזור הותקן!
.
((((((((((((((((((((((((((((((((((((((( אחר Deletions ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ Documents and Settings \ LocalService \ עוגיות \ system@ad.yieldmanag ER [1]. Txt
C: \ WINDOWS \ system32 \ x64
.
((((((((((((((((((((((((((((((((((((((( Drivers / שירותים )))))))) )))))))))))))))))))))))))))))))))))))))))
.
------- \ Legacy_BHSRV
------- \ Service_BHsrv

((((((((((((((((((((((((( קבצים שנוצרו מ 2008-08-22 ל 2008-09-22 ))))))))))) ))))))))))))))))))))
.
2008-09-21 18:09. 2008-09-21 18:10 <DIR> d -------- C: \ Program Files \ Malwarebytes' Anti-Malware
2008-09-21 18:09. 2008-09-21 18:09 <DIR> d -------- C: \ Documents and Settings \ All Users \ Application Data \ Malwarebytes
2008-09-21 18:09. 2008-09-21 18:09 <DIR> d -------- C: \ Documents and Settings \012466 \ Application Data \ Malwarebytes
2008-09-21 18:09. 2008/09/10 00:04 38,528 - א ------ C: \ WINDOWS \ system32 \ drivers \ mbamswissarmy.sys
2008-09-21 18:09. 2008/09/10 00:03 17,200 - א ------ C: \ WINDOWS \ system32 \ drivers \ mbam.sys
2008-09-21 11:07. 2008-09-21 11:07 <DIR> d -------- C: \ Program Files \ Lavasoft
2008-09-21 11:07. 2008-09-21 11:08 <DIR> d -------- C: \ Documents and Settings \ All Users \ Application Data \ Lavasoft
2008-09-21 11:06. 2008-09-21 11:06 <DIR> d -------- C: \ Program Files \ Common Files \ וייז אשף ההתקנה
2008-09-20 23:40. 2008-09-20 23:40 <DIR> d -------- C: \ Program Files \ Trend Micro
2008-09-19 09:03. 2008-09-19 09:08 <DIR> d -------- C: \ WINDOWS \ SxsCaPendDel
2008-09-19 00:49. 2008-09-19 00:52 <DIR> d -------- C: \ Documents and Settings \012466 \. Housecall6.6
2008-09-19 00:27. 2008-09-19 09:04 <DIR> da ------ C: \ Documents and Settings \ All Users \ Application Data \ TEMP
2008-09-18 20:25. 2002/02/04 06:22 1230336 - a ------ C: \ WINDOWS \ system32 \ Msxml4.dll
2008-09-18 20:25. 2007/09/14 05:01 --------- 922920 C: \ WINDOWS \ system32 \ ahlprun.exe
2008-09-18 20:25. 2002/02/04 06:13 82,432 - א ------ C: \ WINDOWS \ system32 \ Msxml4r.dll
2008-09-18 20:25. 2002/02/04 06:13 44,544 - א ------ C: \ WINDOWS \ system32 \ msxml4a.dll
2008-09-18 20:25. 2002/02/07 18:43 9679 - א ------ C: \ WINDOWS \ system32 \ msxml4r.cat
2008-09-18 20:25. 2002/02/07 18:43 9675 - א ------ C: \ WINDOWS \ system32 \ msxml4.cat
2008-09-18 20:25. 2002/02/06 20:31 3489 - א ------ C: \ WINDOWS \ system32 \ msxml4.Manifest
2008-09-18 20:25. 2002/02/06 20:31 500 - a ------ C: \ WINDOWS \ system32 \ msxml4r.Manifest
2008-09-18 20:21. 2008-09-18 20:21 <DIR> d -------- C: \ Program Files \ Common Files \ Lenovo
2008-09-18 18:27. 2008/09/21 11:54 21,272 - א ------ C: \ WINDOWS \ system32 \ bynpea.key
2008-09-18 18:25. 2008-09-18 18:25 1 - a ------ C: \ WINDOWS \ system32 \004fdb9.imi
2008-09-15 14:23. 2008/09/15 14:23 332,800 ---- --- HS-C: \ WINDOWS \ system32 \ _Bhsrv.msi
2008-09-15 12:15. 2008/09/18 15:57 69,942 - א ------ C: \ WINDOWS \ system32 \ rrjack.key
2008-09-15 12:15. 2008-09-15 12:15 1 - a ------ C: \ WINDOWS \ system32 \0048444.imi
2008-09-13 19:27. 2008-09-13 19:27 24 - a ------ C: \ WINDOWS \ cdplayer.ini
2008-09-13 19:26. 2008-09-13 19:26 <DIR> d -------- C: \ Program Files \ נדל
2008-09-13 19:26. 2008-09-13 19:26 <DIR> d -------- C: \ Program Files \ Common Files \ xing משותף
2008-09-13 19:26. 2008-09-13 19:26 <DIR> d -------- C: \ Program Files \ Common Files \ נדל
.
(((((((((((((((((((((((((((((((((((((((( Find3M דווח )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 02:33 --------- d ----- w C: \ Program Files \ Symantec AntiVirus
2008-09-22 02:33 --------- d ----- w C: \ Program Files \ Cisco VPN לקוח
2008-09-21 18:56 16 - sh - R-C: \ MSCIOTL.SYS
2008/09/21 18:55 8,416 ---- AW-C: \ WINDOWS \ system32 \ drivers \ CDProbe.SYS
2008/09/20 19:26 430816 - sh - W-C: \ Program Files \ _MsInfo.msi
2008-09-19 03:25 --------- d - H - W-C: \ Program Files \ InstallShield, מידע על ההתקנה
2008-09-19 03:25 --------- d ----- w C: \ Program Files \ ThinkVantage
2008-09-19 03:21 --------- d ----- w C: \ Program Files \ Lenovo
.
רג טוען ((((((((((((((((((((((((((((((((((((( נקודות )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* הערה * ריק ערכי & לגיטימי ערכי ברירת המחדל הם לא מוצגות
REGEDIT4
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ הפעלה]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 15360]
"Yahoo! זימונית" = "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 4670704]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ הפעלה]
"IgfxTray" = "C: \ WINDOWS \ system32 \ igfxtray.exe" [2007-08-15 141848]
"HotKeysCmds" = "C: \ WINDOWS \ system32 \ hkcmd.exe" [2007-08-15 162328]
"התמדה" = "C: \ WINDOWS \ system32 \ igfxpers.ex E" [2007-08-15 137752]
"ccApp" = "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" [2006-03-24 53408]
"vptray" = "C: \ progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656]
"TPHOTKEY" = "C: \ Program Files \ Lenovo \ HOTKEY \ TPOSDSVC.exe" [2007-03-09 66176]
"UpdateManager" = "C: \ Program Files \ Common Files \ קולי \ Update Manager \ sgtray.exe" [2003-08-18 110592]
"dla" = "C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe" [2005-05-19 127037]
"EZEJMNAP" = "C: \ progra ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp. EXE" [2007-04-26 243248]
"LPManager" = "C: \ progra ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368]
"מתזמן TVT פרוקסי" = "C: \ Program Files \ Common Files \ Lenovo \ מתזמן \ scheduler_proxy.exe" [2008-03-04 487424]
"TkBellExe" = "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe" [2008-09-13 185896]
"TrackPointSrv" = "tp4mon.exe" [2004-08-03 C: \ WINDOWS \ system32 \ tp4mon.exe]
"NWTRAY" = "NWTRAY.EXE" [2002-03-12 C: \ WINDOWS \ system32 \ nwtray.exe]
"TpShocks" = "TpShocks.exe" [2007-03-29 C: \ WINDOWS \ system32 \ TpShocks.exe]
[HKEY_USERS \. Default \ Software \ Microsoft \ Windows \ כלב rentVersion \ הפעלה]
"Communicator" = "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" [2005-05-12 4167376]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ curr entversion \ Policies \ System]
"CompatibleRUPSecurity" = 1 (0x1)
[HKEY_USERS \. ברירת המחדל \ Software \ Microsoft \ Windows \ rentversion כלב \ Policies \ Explorer]
"StartMenuLogOff" = 1 (0x1)
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ להודיע \ tpfnf2]
2006-09-06 13:37 34344 C: \ Program Files \ Lenovo \ HOTKEY \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ להודיע \ tphotkey]
2006/12/14 08:06 28672 C: \ Program Files \ Lenovo \ HOTKEY \ tphklock.dll
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ contro L \ lsa]
אימות חבילות REG_MULTI_SZ msv1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ ניטור \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001
[HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ רשימה]
"% windir% \ \ system32 \ \ sessmgr.exe" =
"C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YahooMessenger.exe" =
"C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YServer.exe" =
R0 Shockprf; Shockprf; C: \ WINDOWS \ system32 \ drivers \ Apsx 86.sys [2007-03-02 100656]
R0 TPDIGIMN; TPDIGIMN; C: \ WINDOWS \ system32 \ drivers \ ApsH M86.sys [2007-03-02 19760]
R2 smefs; SMEFileSystem; C: \ WINDOWS \ system32 \ drivers \ SM efs.sys [2006-02-08 20508]
R3 CdProbe; CdProbe; C: \ WINDOWS \ system32 \ drivers \ cdprob e.sys [2008-09-21 8416]
R3 smedrv; SMEDriver; C: \ WINDOWS \ system32 \ drivers \ smedr v.sys [2006-02-08 9516]
S2 AppMgSvc; שירותי ניהול יישומים; C: \ Program Files \ Common Files \ Microsoft Shared \ MSINFO \ MsInfo.msi [2008-09-20 430816]
S2 yraebbgi; yraebbgi; C: \ WINDOWS \ system32 \ drivers \ bynp ea.sys []
S2 yrtxzgwh; yrtxzgwh; C: \ WINDOWS \ system32 \ drivers \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ svchost]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
.
.
------- משלים סריקה -------
.
R0 -: HKCU-ראשי, דף הפתיחה = hxxp: / / www.google.com/
O8 -: E & xport ל-Microsoft Excel - C: \ progra ~ 1 \ מיקרו ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
.
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - rootkit / התגנבות תוכנות זדוניות על ידי גלאי Gmer, http://www.gmer.net
Rootkit סריקה 2008-09-21 19:35:12
Windows 5.1.2600 Service Pack 2 NTFS
סריקת תהליכים נסתרים ...
סריקה מוסתרת autostart ערכים ...
סריקת קבצים מוסתרים ...
הסריקה הסתיימה בהצלחה
קבצים מוסתרים: 0
************************************************** ************************
[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ ת ppMgSvc]
"תמונה" = "C: \ Program Files \ Common Files \ Microsoft Shared \ MSINFO \ MsInfo.msi"
.
--------------------- DLLs טעון תחת הפעלת תהליכים ---------------------
Process: C: \ WINDOWS \ system32 \ Winlogon.exe
-> C: \ Program Files \ Lenovo \ HOTKEY \ tphklock.dll
.
------------------------ אחר הפעלת תהליכי ----------------------- --
.
C: \ WINDOWS \ system32 \ ibmpmsvc.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ S24EvMon.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-מודעת \ aawservice.exe
C: \ _integra \ bin \ shstart.exe
C: \ WINDOWS \ system32 \ igfxsrvc.exe
C: \ Program Files \ Lenovo \ HOTKEY \ TPONSCR.exe
C: \ Program Files \ Lenovo \ Zoom \ TpScrex.exe
C: \ Program Files \ Symantec AntiVirus \ DoScan.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ CENTENN.IAL \ ביקורת \ CAgent32.exe
C: \ CENTENN.IAL \ ביקורת \ xferwan.exe
C: \ Program Files \ Cisco VPN לקוח \ cvpnd.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ EvtEng.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.EXE
C: \ Program Files \ Intel \ Wireless \ Bin \ RegSrvc.exe
C: \ Program Files \ Yahoo! \ Messenger \ Ymsgr_tray.exe
C: \ WINDOWS \ system32 \ calc.exe
C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ WINDOWS \ system32 \ TPHDEXLG.exe
C: \ Program Files \ Common Files \ Lenovo \ מתזמן \ tvtsched.exe
C: \ _integra \ bin \ ccmagent.exe
C: \ Program Files \ Lenovo \ System Update \ SUService.exe
C: \ WINDOWS \ system32 \ wscntfy.exe
C: \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
זמן סיום: 2008-09-21 19:36:58 - מכונת היה rebooted
ComboFix-quarantined-files.txt 2008-09-22 02:36:54
טרום הפעלה: 64.333.811.712 בתים בחינם
אחרי הפעלה: 64.523.264.000 בתים בחינם
175

HijackThis התחבר
-----------------------------------
Logfile of Trend Micro HijackThis v2.0.2
סרוק נשמרה ב 7:38:41 PM ב 9/21/2008
פלטפורמה: Windows XP SP2 (Winnt 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
אתחול במצב: בדרך כלל
הפעלת תהליכים:
C: \ Windows \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ ibmpmsvc.exe
C: \ WINDOWS \ system32 \ היישום Svchost.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ S24EvMon.exe
C: \ WINDOWS \ system32 \ היישום Svchost.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-מודעת \ aawservice.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ _integra \ bin \ shstart.exe
C: \ WINDOWS \ system32 \ tp4mon.exe
C: \ WINDOWS \ system32 \ igfxtray.exe
C: \ WINDOWS \ system32 \ hkcmd.exe
C: \ WINDOWS \ system32 \ igfxpers.exe
C: \ WINDOWS \ system32 \ NWTRAY.EXE
C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe
C: \ progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe
C: \ WINDOWS \ system32 \ igfxsrvc.exe
C: \ Program Files \ Lenovo \ HOTKEY \ TPOSDSVC.exe
C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe
C: \ progra ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
C: \ Program Files \ Lenovo \ HOTKEY \ TPONSCR.exe
C: \ Program Files \ Lenovo \ קרב \ TpScrex.exe
C: \ progra ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
C: \ WINDOWS \ system32 \ TpShocks.exe
C: \ Program Files \ Common Files \ Lenovo \ מתזמן \ scheduler_proxy.exe
C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ WINDOWS \ system32 \ היישום Svchost.exe
C: \ Centenn.ial \ ביקורת \ CAgent32.exe
C: \ Centenn.ial \ ביקורת \ xferwan.exe
C: \ Program Files \ Cisco VPN לקוח \ cvpnd.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ EvtEng.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.EXE
C: \ Program Files \ Intel \ Wireless \ Bin \ RegSrvc.exe
C: \ Program Files \ Yahoo! \ Messenger \ ymsgr_tray.exe
C: \ WINDOWS \ system32 \ calc.exe
C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ Windows \ System32 \ TPHDEXLG.exe
C: \ Program Files \ Common Files \ Lenovo \ מתזמן \ tvtsched.exe
C: \ _integra \ bin \ ccmagent.exe
C: \ Program Files \ Lenovo \ System עדכון \ suservice.exe
C: \ WINDOWS \ system32 \ wscntfy.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ WINDOWS \ Explorer.exe
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ ראשי, דף חיפוש = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Adobe \ Acrobat 7.0 \ ActiveX \ AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - (5CA3D70E-1895-11CF-8E15-001234567890) - C: \ WINDOWS \ system32 \ dla \ tfswshx.dll
O4 - HKLM \ .. \ Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe
O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe
O4 - HKLM \ .. \ Run: [התמדה] C: \ WINDOWS \ system32 \ igfxpers.exe
O4 - HKLM \ .. \ Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - HKLM \ .. \ Run: [vptray] C: \ progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Run: [TPHOTKEY] C: \ Program Files \ Lenovo \ HOTKEY \ TPOSDSVC.exe
O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Program Files \ Common Files \ קולי \ Update Manager \ sgtray.exe" / R
O4 - HKLM \ .. \ Run: [dla] C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe
O4 - HKLM \ .. \ Run: [EZEJMNAP] C: \ progra ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
O4 - HKLM \ .. \ Run: [LPManager] C: \ progra ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 - HKLM \ .. \ Run: [TpShocks] TpShocks.exe
O4 - HKLM \ .. \ Run: [TVT מתזמן פרוקסי] C: \ Program Files \ Common Files \ Lenovo \ מתזמן \ scheduler_proxy.exe
O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe"-osboot
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [Yahoo! זימונית], "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" שקט
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (משתמש 'שירות רשת')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'SYSTEM')
O4 - HKUS \. ברירת המחדל \ .. \ Run: [Communicator] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'Default user')
O8 - Extra context בתפריט: E & xport ל-Microsoft Excel - res: / / c: \ progra ~ 1 \ מיקרו ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - Extra כפתור: מחקר - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ progra ~ 1 \ מיקרו ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Extra כפתור: @ C: \ Program Files \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: @ C: \ Program Files \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (215B8138-A3CF-44C5-803F-8226143CFC0A) (Trend Micro ActiveX Scan Agent 6.6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (B8E7B489-2160-4DE7-B592-9FD03D16CC74): תחום = keane.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (D239A412-22C2-4683-95BC-1FFAA687D0DF): NameServer = 172.21.18.101,172.21.18.102
O23 - Service: Lavasoft Ad-מודעת שירות (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-מודעת \ aawservice.exe
O23 - Service: שירות ניהול יישומים (AppMgSvc) - לא ידוע בעל - C: \ Program.exe (חסר קובץ)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
O23 - Service: CentennialClientAgent - Centennial תוכנה בע"מ - C: \ Centenn.ial \ ביקורת \ CAgent32.exe
O23 - Service: CentennialIPTransferAgent - Centennial תוכנה בע"מ - C: \ Centenn.ial \ ביקורת \ xferwan.exe
O23 - Service: עדכונים שירות הלקוחות של נובל (cusrvc) - נובל, Inc - C: \ WINDOWS \ system32 \ cusrvc.exe
O23 - Service: Cisco Systems, Inc שירותי VPN (CVPND) - Cisco Systems, Inc - C: \ Program Files \ Cisco VPN לקוח \ cvpnd.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
O23 - Service: Intel (R) PROSet / אלחוטי יומן אירועים (EvtEng) - Intel Corporation - C: \ Program Files \ Intel \ Wireless \ Bin \ EvtEng.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C: \ WINDOWS \ system32 \ ibmpmsvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C: \ progra ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Service: Intel (R) PROSet / שירות אלחוטי הרישום (RegSrvc) - Intel Corporation - C: \ Program Files \ Intel \ Wireless \ Bin \ RegSrvc.exe
O23 - Service: Intel (R) PROSet / שירות אלחוטי (S24EventMonitor) - Intel Corporation - C: \ Program Files \ Intel \ Wireless \ Bin \ S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
O23 - Service: מערכת עדכונים (SUService) - Lenovo Group Limited - C: \ Program Files \ Lenovo \ System עדכון \ suservice.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
O23 - Service: ThinkVantage הרישום צג שירות - Lenovo Group Limited - C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe
O23 - Service: ThinkPad HDD APS רישום לשירות (TPHDEXLGSVC) - Lenovo. - C: \ Windows \ System32 \ TPHDEXLG.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C: \ Program Files \ Common Files \ Lenovo \ מתזמן \ tvtsched.exe
O23 - Service: Symantec LiveState סוכן עבור Windows (WControl) - Symantec Corporation - C: \ _integra \ bin \ ccmagent.exe
--
סוף הקובץ - 8581 בייטים

**evilfantasy** · #8 21 ספטמבר 2008, 21:24

הערה: את ההוראות שלהלן נוצרו במיוחד עבור משתמש זה. אם אתה לא משתמש זה, אינן בצע את ההוראות כפי שהם יכלו לפגוע פעולתו של המערכת

למחוק את הקבצים / תיקיות, כדלקמן:

1. עבור אל התחלה > ריצה > סוג Notepad.exe ולחץ על אישור כדי לפתוח את פנקס הרשימות.
זה חייב להיות פנקס רשימות, כתבן לא.
2. להעתיק את הטקסט להלן הקוד של התיבה על ידי הדגשת הטקסט ואת כל לחיצה Ctrl + C

קוד:

KillAll:: מנהל התקן:: BHSRV BHsrv קובץ:: C: \ WINDOWS \ system32 \ bynpea.key C: \ WINDOWS \ system32 \ 004fdb9.imi C: \ WINDOWS \ system32 \ _Bhsrv.msi C: \ WINDOWS \ system32 \ rrjack. מפתח C: \ WINDOWS \ system32 \ 0048444.imi C: \ WINDOWS \ system32 \ drivers \ bynpea.sys C: \ WINDOWS \ system32 \ drivers \ rrjack.sys C: \ WINDOWS \ system32 \ calc.exe

3. עבור אל החלון 'פנקס רשימות', ולחץ על עריכה > הדבק
4. לאחר מכן לחץ על קובץ > לשמור
5. שם הקובץ CFScript.txt - שמור את הקובץ בשולחן העבודה
6. לאחר מכן גרור את CFScript (לחיצה ארוכה על לחצן העכבר השמאלי תוך גרירת הקובץ) ו זרוק אותו (לשחרר את לחצן העכבר השמאלי) לתוך ComboFix.exe כפי שאתה רואה בלכידת המסך למטה. חשוב: בצע את ההוראות בקפידה!

ComboFix יתחילו לבצע, פעל לפי ההנחיות.
לאחר אתחול מחדש (במקרה זה מבקשת כדי אתחול מחדש), היא ליצור יומן עבורך.
שליחת כי יומן (Combofix.txt) תגובה הבא שלך.

הערה: אל mouseclick ComboFix של החלון בזמן שהוא פועל. זה עלול לגרום למערכת שלך להקפיא

nitingaur · #9 21 ספטמבר 2008, 22:20

יומן ComboFix לאחר הרצת CFSCript
-------------------------------------------------- --------
ComboFix 08-09-20.05 - 012466 2008-09-21 22:11:45.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.598 [GMT -7:00]
הפעלת מ: C: \ Keanetools \ ComboFix.exe
פיקוד בבוררי שנוצלו:: C: \ Documents and Settings \012466 \ שולחן עבודה \ CFScript.txt
* נוצרה נקודת שחזור חדשה
אזהרה זו מכונה אין את השחזור הותקן!
קובץ::
C: \ WINDOWS \ system32 \ _Bhsrv.msi
C: \ WINDOWS \ system32 \0048444.imi
C: \ WINDOWS \ system32 \004fdb9.imi
C: \ WINDOWS \ system32 \ bynpea.key
C: \ WINDOWS \ system32 \ calc.exe
C: \ WINDOWS \ system32 \ drivers \ bynpea.sys
C: \ WINDOWS \ system32 \ drivers \ rrjack.sys
C: \ WINDOWS \ system32 \ rrjack.key
.
((((((((((((((((((((((((((((((((((((((( אחר Deletions ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ WINDOWS \ system32 \ _Bhsrv.msi
C: \ WINDOWS \ system32 \0048444.imi
C: \ WINDOWS \ system32 \004fdb9.imi
C: \ WINDOWS \ system32 \ bynpea.key
C: \ WINDOWS \ system32 \ calc.exe
C: \ WINDOWS \ system32 \ rrjack.key
.
((((((((((((((((((((((((( קבצים שנוצרו מ 2008-08-22 ל 2008-09-22 ))))))))))) ))))))))))))))))))))
.
2008-09-21 18:09. 2008-09-21 18:10 <DIR> d -------- C: \ Program Files \ Malwarebytes' Anti-Malware
2008-09-21 18:09. 2008-09-21 18:09 <DIR> d -------- C: \ Documents and Settings \ All Users \ Application Data \ Malwarebytes
2008-09-21 18:09. 2008-09-21 18:09 <DIR> d -------- C: \ Documents and Settings \012466 \ Application Data \ Malwarebytes
2008-09-21 18:09. 2008/09/10 00:04 38,528 - א ------ C: \ WINDOWS \ system32 \ drivers \ mbamswissarmy.sys
2008-09-21 18:09. 2008/09/10 00:03 17,200 - א ------ C: \ WINDOWS \ system32 \ drivers \ mbam.sys
2008-09-21 11:07. 2008-09-21 11:07 <DIR> d -------- C: \ Program Files \ Lavasoft
2008-09-21 11:07. 2008-09-21 11:08 <DIR> d -------- C: \ Documents and Settings \ All Users \ Application Data \ Lavasoft
2008-09-21 11:06. 2008-09-21 11:06 <DIR> d -------- C: \ Program Files \ Common Files \ וייז אשף ההתקנה
2008-09-20 23:40. 2008-09-20 23:40 <DIR> d -------- C: \ Program Files \ Trend Micro
2008-09-19 09:03. 2008-09-19 09:08 <DIR> d -------- C: \ WINDOWS \ SxsCaPendDel
2008-09-19 00:49. 2008-09-19 00:52 <DIR> d -------- C: \ Documents and Settings \012466 \. Housecall6.6
2008-09-19 00:27. 2008-09-19 09:04 <DIR> da ------ C: \ Documents and Settings \ All Users \ Application Data \ TEMP
2008-09-18 20:25. 2002/02/04 06:22 1230336 - a ------ C: \ WINDOWS \ system32 \ Msxml4.dll
2008-09-18 20:25. 2007/09/14 05:01 --------- 922920 C: \ WINDOWS \ system32 \ ahlprun.exe
2008-09-18 20:25. 2002/02/04 06:13 82,432 - א ------ C: \ WINDOWS \ system32 \ Msxml4r.dll
2008-09-18 20:25. 2002/02/04 06:13 44,544 - א ------ C: \ WINDOWS \ system32 \ msxml4a.dll
2008-09-18 20:25. 2002/02/07 18:43 9679 - א ------ C: \ WINDOWS \ system32 \ msxml4r.cat
2008-09-18 20:25. 2002/02/07 18:43 9675 - א ------ C: \ WINDOWS \ system32 \ msxml4.cat
2008-09-18 20:25. 2002/02/06 20:31 3489 - א ------ C: \ WINDOWS \ system32 \ msxml4.Manifest
2008-09-18 20:25. 2002/02/06 20:31 500 - a ------ C: \ WINDOWS \ system32 \ msxml4r.Manifest
2008-09-18 20:21. 2008-09-18 20:21 <DIR> d -------- C: \ Program Files \ Common Files \ Lenovo
2008-09-13 19:27. 2008-09-13 19:27 24 - a ------ C: \ WINDOWS \ cdplayer.ini
2008-09-13 19:26. 2008-09-13 19:26 <DIR> d -------- C: \ Program Files \ נדל
2008-09-13 19:26. 2008-09-13 19:26 <DIR> d -------- C: \ Program Files \ Common Files \ xing משותף
2008-09-13 19:26. 2008-09-13 19:26 <DIR> d -------- C: \ Program Files \ Common Files \ נדל
.
(((((((((((((((((((((((((((((((((((((((( Find3M דווח )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008/09/22 05:14 8,416 ---- AW-C: \ WINDOWS \ system32 \ drivers \ CDProbe.SYS
2008-09-22 05:14 16 - sh - R-C: \ MSCIOTL.SYS
2008-09-22 05:14 --------- d ----- w C: \ Program Files \ Symantec AntiVirus
2008-09-22 03:07 --------- d ----- w C: \ Program Files \ Cisco VPN לקוח
2008/09/20 19:26 430816 - sh - W-C: \ Program Files \ _MsInfo.msi
2008-09-19 03:25 --------- d - H - W-C: \ Program Files \ InstallShield, מידע על ההתקנה
2008-09-19 03:25 --------- d ----- w C: \ Program Files \ ThinkVantage
2008-09-19 03:21 --------- d ----- w C: \ Program Files \ Lenovo
.
((((((((((((((((((((((((((((( Snapshot@2008-09-21_19.36.38.64 )))))))))) )))))))))))))))))))))))))))))))
.
- 2008/09/21 18:59:45 71,370 ---- AW-C: \ WINDOWS \ system32 \ perfc009.dat
+ 2008-09-22 02:39:43 71.370 ---- AW-C: \ WINDOWS \ system32 \ perfc009.dat
- 2008/09/21 18:59:45 439,832 ---- AW-C: \ WINDOWS \ system32 \ perfh009.dat
+ 2008-09-22 02:39:43 439.832 ---- AW-C: \ WINDOWS \ system32 \ perfh009.dat
.
רג טוען ((((((((((((((((((((((((((((((((((((( נקודות )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* הערה * ריק ערכי & לגיטימי ערכי ברירת המחדל הם לא מוצגות
REGEDIT4
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ הפעלה]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 15360]
"Yahoo! זימונית" = "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 4670704]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ הפעלה]
"IgfxTray" = "C: \ WINDOWS \ system32 \ igfxtray.exe" [2007-08-15 141848]
"HotKeysCmds" = "C: \ WINDOWS \ system32 \ hkcmd.exe" [2007-08-15 162328]
"התמדה" = "C: \ WINDOWS \ system32 \ igfxpers.ex E" [2007-08-15 137752]
"ccApp" = "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" [2006-03-24 53408]
"vptray" = "C: \ progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656]
"TPHOTKEY" = "C: \ Program Files \ Lenovo \ HOTKEY \ TPOSDSVC.exe" [2007-03-09 66176]
"UpdateManager" = "C: \ Program Files \ Common Files \ קולי \ Update Manager \ sgtray.exe" [2003-08-18 110592]
"dla" = "C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe" [2005-05-19 127037]
"EZEJMNAP" = "C: \ progra ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp. EXE" [2007-04-26 243248]
"LPManager" = "C: \ progra ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368]
"מתזמן TVT פרוקסי" = "C: \ Program Files \ Common Files \ Lenovo \ מתזמן \ scheduler_proxy.exe" [2008-03-04 487424]
"TkBellExe" = "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe" [2008-09-13 185896]
"TrackPointSrv" = "tp4mon.exe" [2004-08-03 C: \ WINDOWS \ system32 \ tp4mon.exe]
"NWTRAY" = "NWTRAY.EXE" [2002-03-12 C: \ WINDOWS \ system32 \ nwtray.exe]
"TpShocks" = "TpShocks.exe" [2007-03-29 C: \ WINDOWS \ system32 \ TpShocks.exe]
[HKEY_USERS \. Default \ Software \ Microsoft \ Windows \ כלב rentVersion \ הפעלה]
"Communicator" = "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" [2005-05-12 4167376]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ curr entversion \ Policies \ System]
"CompatibleRUPSecurity" = 1 (0x1)
[HKEY_USERS \. ברירת המחדל \ Software \ Microsoft \ Windows \ rentversion כלב \ Policies \ Explorer]
"StartMenuLogOff" = 1 (0x1)
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ להודיע \ tpfnf2]
2006-09-06 13:37 34344 C: \ Program Files \ Lenovo \ HOTKEY \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ להודיע \ tphotkey]
2006/12/14 08:06 28672 C: \ Program Files \ Lenovo \ HOTKEY \ tphklock.dll
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ contro L \ lsa]
אימות חבילות REG_MULTI_SZ msv1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ ניטור \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001
[HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ רשימה]
"% windir% \ \ system32 \ \ sessmgr.exe" =
"C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YahooMessenger.exe" =
"C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YServer.exe" =
R0 Shockprf; Shockprf; C: \ WINDOWS \ system32 \ drivers \ Apsx 86.sys [2007-03-02 100656]
R0 TPDIGIMN; TPDIGIMN; C: \ WINDOWS \ system32 \ drivers \ ApsH M86.sys [2007-03-02 19760]
R2 smefs; SMEFileSystem; C: \ WINDOWS \ system32 \ drivers \ SM efs.sys [2006-02-08 20508]
R3 CdProbe; CdProbe; C: \ WINDOWS \ system32 \ drivers \ cdprob e.sys [2008-09-21 8416]
R3 smedrv; SMEDriver; C: \ WINDOWS \ system32 \ drivers \ smedr v.sys [2006-02-08 9516]
S2 AppMgSvc; שירותי ניהול יישומים; C: \ Program Files \ Common Files \ Microsoft Shared \ MSINFO \ MsInfo.msi [2008-09-20 430816]
S2 yraebbgi; yraebbgi; C: \ WINDOWS \ system32 \ drivers \ bynp ea.sys []
S2 yrtxzgwh; yrtxzgwh; C: \ WINDOWS \ system32 \ drivers \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ svchost]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
.
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - rootkit / התגנבות תוכנות זדוניות על ידי גלאי Gmer, http://www.gmer.net
Rootkit סריקה 2008-09-21 22:16:04
Windows 5.1.2600 Service Pack 2 NTFS
סריקת תהליכים נסתרים ...
סריקה מוסתרת autostart ערכים ...
סריקת קבצים מוסתרים ...

C: \ WINDOWS \ system32 \ calc.exe
הסריקה הסתיימה בהצלחה
קבצים מוסתרים: 1
************************************************** ************************
[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ ת ppMgSvc]
"תמונה" = "C: \ Program Files \ Common Files \ Microsoft Shared \ MSINFO \ MsInfo.msi"
.
--------------------- DLLs טעון תחת הפעלת תהליכים ---------------------
Process: C: \ WINDOWS \ system32 \ Winlogon.exe
-> C: \ Program Files \ Lenovo \ HOTKEY \ tphklock.dll
.
------------------------ אחר הפעלת תהליכי ----------------------- --
.
C: \ WINDOWS \ system32 \ ibmpmsvc.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ S24EvMon.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-מודעת \ aawservice.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ CENTENN.IAL \ ביקורת \ CAgent32.exe
C: \ CENTENN.IAL \ ביקורת \ xferwan.exe
C: \ Program Files \ Cisco VPN לקוח \ cvpnd.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ EvtEng.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.EXE
C: \ Program Files \ Intel \ Wireless \ Bin \ RegSrvc.exe
C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ WINDOWS \ system32 \ TPHDEXLG.exe
C: \ Program Files \ Common Files \ Lenovo \ מתזמן \ tvtsched.exe
C: \ _integra \ bin \ ccmagent.exe
C: \ Program Files \ Lenovo \ System Update \ SUService.exe
C: \ _integra \ bin \ shstart.exe
C: \ WINDOWS \ system32 \ igfxsrvc.exe
C: \ Program Files \ Lenovo \ HOTKEY \ TPONSCR.exe
C: \ Program Files \ Lenovo \ Zoom \ TpScrex.exe
C: \ Program Files \ Symantec AntiVirus \ DoScan.exe
C: \ Program Files \ Yahoo! \ Messenger \ Ymsgr_tray.exe
C: \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
זמן סיום: 2008-09-21 22:17:28 - מכונת היה rebooted
ComboFix-quarantined-files.txt 2008-09-22 05:17:23
ComboFix2.txt 2008-09-22 02:36:59
טרום הפעלה: 64.509.464.576 בתים בחינם
אחרי הפעלה: 64.505.421.824 בתים בחינם
181

**evilfantasy** · #10 21 ספטמבר 2008, 22:26

להוריד OTMoveIt2 על ידי OldTimerולשמור אותו שלך שולחן עבודה.

הערה: אם אתה מפעיל על Vista, לחץ באמצעות לחצן העכבר הימני על OTMoveIt2.exe ובחר הפעל כמנהל.

1. לחץ פעמיים על OTMoveIt2.exe כדי להפעיל אותו.
2. העתק את השורות של codebox להלן.

קוד:

[להרוג Explorer] C: \ WINDOWS \ system32 \ calc.exe HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ AppMgSvc EmptyTemp [התחלה Explorer]

3. חזור OTMoveIt2, ימין לחץ על הדבק רשימה של קבצים / תיקיות העבר חלון (תחת הפס הצהוב) ובחר הדבק
4. לחץ על האדום Moveit! כפתור.
5. העתק את כל תוצאות חלון (תחת ירוק בר) ולהדביק את זה לצד תגובה.
6. סגור OTMoveIt2

הערה: אם קובץ או תיקיה, לא ניתן להעביר מיד ייתכן שתתבקש כדי לאתחל את המחשב על מנת לסיים את תהליך המעבר. אם תתבקש לאתחל, בחר כן. אם לא, בכל מקרה אתחול מחדש.

פתילים דומים
חוט	Thread Starter	פורום	תגובות	הודעה אחרונה
הסרת וירוסים iexplore.exe / לחטוף יומן	xalice15x	וירוסים, תוכנות ריגול ואבטחה	16	12th נובמבר 2008 19:43
Iexplorer.exe וירוס - אנא עזרו לי!	ענק Panda	וירוסים, תוכנות ריגול ואבטחה	2	6 אוקטובר 2008 14:55
אני מקבל את bone.exe וירוס שלי iexplorer	damandg	וירוסים, תוכנות ריגול ואבטחה	12	14th יולי 2008 14:31
Iexplorer.exe וירוס	iuboy2006	וירוסים, תוכנות ריגול ואבטחה	9	26 מרץ 2008 08:12
Avssytemcare קופץ כאחד וירוס ו - (זה כולל חטיפה)	תחבלני	וירוסים, תוכנות ריגול ואבטחה	23	4 ספטמבר 2007 16:15

שרשרת כלים
הצג גרסה להדפסה אימייל דף זה