LSASSMGR.exe (& други) инфектирани! Всяка информация / помощ?

teddynicholas · #1 9-ти септември 2008, 10:31

Здравейте всички,

Аз съм съвсем нова за вашия сайт, но изключително благодарни, че сте тук. Аз попаднали на нея, защото на последните инфекция на майка ми на лаптопа (ние го споделите) и аз съм сигурен как да го разрешите.

Около четири дни, IE прозорци с изскачащи реклами изведнъж ще се случи с балон в моя Deskbar, че чете, "Spyware открит! Натиснете тук за да изтеглите анти-шпионски софтуер"

Тичах Symantec и Spybot S & D Пълно сканиране (не сте сигурни как този вирус се е от двете) и не намери нищо! Тогава започнах googling и изтеглени Malwarebyte на противодействие на зловредния софтуер и се завтече това. Той намери някои неща, но това не се оправите проблема.

Свалих PrevxCSI, но аз не разполагат с достатъчно $ $ $ да закупи лиценз (но ако е необходимо ще бъде) и тя изброява следните:

C: \ Windows \ System32 \ DS fmon.dll - зловреден софтуер
C: \ Windows \ System32 \ CSRLT.exe - злонамерен софтуер пипетка
C: \ Windows \ MSBLT.exe - злонамерен софтуер пипетка
C: \ Windows \ System32 \ LSASSMGR.exe - Cloaked злонамерени програми
C: \ Program Files \ Mozilla Firefox \ firefoxe.exe - Cloaked злонамерени програми
C: \ Program Files \ Internet Explorer \ iexplor.exe - Cloaked злонамерени програми
C: \ Windows \ System32 \ spool.exe - Cloaked злонамерени програми
C: \ Windows \ System32 \ srtsrv32.exe - Cloaked злонамерени програми
C: \ Windows \ System32 \ LSSMON.exe - злонамерен софтуер пипетка
C: \ Windows \ divx32.dll - злонамерен софтуер пипетка
C: \ Windows \ System32 \ msupd32.exe - злонамерен софтуер пипетка
C: \ Windows \ System32 \ upd01.exe - злонамерен софтуер пипетка

Това изглежда и звучи като много за мен и аз съм много притеснен.

Някой има всякакви полезни предложения за мен? Ще трябва да похарчите много пари, за да поправя това?

Благодаря ви много!

**evilfantasy** · #2 9-ти септември 2008, 11:32

Здравейте teddynicholas. Добре дошли в CJ.

Изтегли ComboFix от sUBs от една от връзките по-долу. Бъдете сигурни нагоре го запишете на Desktop.

Линк # 1
Линк # 2

** Забележка: Важно е, че тя се записва директно на вашия Desktop

Затворете всички отворени уеб браузъри. (Firefox, Internet Explorer, и т.н.), преди да започне ComboFix.

Временно изключвам твоя антивирусни, Както и всички antispyware защита в реално време преди изпълнение на сканиране. Документа този линк за да видите списък на програмите за сигурност, които трябва да бъдат извадени от строя, и как да ги прекъснем.

Щракнете два пъти combofix.exe & следвайте указанията.
Когато завърши ComboFix ще представи дневник за вас.
Пост на ComboFix Дневник в следващата си реплика.

Важно: Не mouseclick ComboFix в прозореца, докато тя работи. Това може да доведе до обора.

Не забравяйте да включите вашата антивирусна и antispyware защита, когато ComboFix е пълна.

teddynicholas · #3 16-ти септември 2008, 14:27

ComboFix 08-09-15.02 - Теди 2008-09-16 16:34:04.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.550 [GMT -4:00]
Работещи от: C: \ Documents и Settings \ Теди \ Desktop \ ComboFix.exe
* Created нова точка за възстановяване

ПРЕДУПРЕЖДЕНИЕ-тази машина не разполага с конзолата за възстановяване инсталиран!
.

((((((((((((((((((((((((((((((((((((((( Други заличавания ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

C: \ Documents и Settings \ LocalService \ Cookies \ system@ad.yieldmanag е [1]. TXT
C: \ Documents и Settings \ Теди \ Cookies \ teddy@ad.yieldmanager [1]. TXT
C: \ WINDOWS \ Downloaded Program Files \ setup.inf
C: \ Windows \ System32 \ spool.exe

.
((((((((((((((((((((((((( Файлове Създаден от 2008-08-16 до 2008-09-16 ))))))))))) ))))))))))))))))))))
.

2008-09-16 16:21. 2008-09-16 16:50 <DIR> г -------- C: \ Windows \ System32 \ CatRoot_bak
2008-09-16 13:23. 2008-09-16 13:23 <DIR> г -------- C: \ Windows \ LastGood
2008-09-13 13:19. 2008-09-13 13:19 <DIR> г -------- C: \ Program Files \ iTunes
2008-09-13 13:19. 2008-09-13 13:19 <DIR> г -------- C: \ Program Files \ iPod
2008-09-13 13:19. 2008-09-13 13:19 <DIR> г -------- C: \ Documents и Settings \ Всички Users \ Прилагане Data \ (3276BE95_AF08_429F_A64F_CA64CB79BCF6)
2008-09-13 13:12. 2008-09-13 13:16 <DIR> г -------- C: \ Program Files \ Общи файлове \ Apple
2008-09-08 16:10. 2008-09-08 16:10 <DIR> г -------- C: \ Program Files \ Лесен SpyRemover
2008-09-08 15:45. 2008-09-06 00:59 741376 - A ------ C: \ Windows \ System32 \ LSSMON.EXE
2008-09-08 15:45. 2008-09-04 21:59 17920 - A ------ C: \ Windows \ System32 \ LSASSMGR.EXE
2008-09-07 22:34. 2008-09-02 00:16 38528 - A ------ C: \ Windows \ System32 \ Drivers \ mbamswissarmy.sys
2008-09-07 22:33. 2008-09-07 22:34 <DIR> г -------- C: \ Program Files \ Malwarebytes "Анти-злонамерени програми
2008-09-07 22:33. 2008-09-07 22:33 <DIR> г -------- C: \ Documents и Settings \ Теди \ Прилагане Data \ Malwarebytes
2008-09-07 22:33. 2008-09-07 22:33 <DIR> г -------- C: \ Documents и Settings \ Всички Users \ Прилагане Data \ Malwarebytes
2008-09-07 22:33. 2008-09-02 00:16 17200 - A ------ C: \ Windows \ System32 \ Drivers \ mbam.sys
2008-09-06 15:09. 2008-09-06 15:09 90112 - A ------ C: \ Windows \ System32 \ QuickTimeVR.qtx
2008-09-06 15:09. 2008-09-06 15:09 57344 - A ------ C: \ Windows \ System32 \ QuickTime.qts
2008-09-05 10:44. 2008-09-06 00:59 741376 - A ------ C: \ Windows \ System32 \ msupd32.exe
2008-09-04 21:59. 2008-09-07 12:59 741376 - A ------ C: \ Windows \ System32 \ upd01.exe
2008-09-04 21:59. 2008-09-06 00:59 741376 - A ------ C: \ Windows \ divx32.dll
2008-09-04 21:59. 2008-09-04 21:59 17920 - A ------ C: \ Windows \ System32 \ srtsrv32.exe
2008-09-04 21:59. 2008-09-16 16:24 5903 - A ------ C: \ Windows \ System32 \ mssc32.dll
2008-09-04 21:59. 2008-09-16 16:24 5903 - A ------ C: \ Windows \ System32 \ bsc32.dll
2008-09-02 13:23. 2008-09-02 13:23 <DIR> г -------- C: \ Program Files \ PrevxCSI
2008-09-02 13:23. 2008-09-16 13:32 <DIR> г -------- C: \ Documents и Settings \ Всички Users \ Прилагане Data \ PrevxCSI
2008-09-02 13:23. 2008-09-02 13:23 17408 - A ------ C: \ Windows \ System32 \ Drivers \ pxark.sys
2008-09-01 01:30. 2008-09-02 13:10 <DIR> DA ------ C: \ Documents и Settings \ Всички Users \ Прилагане Data \ ТЕМП
2008-09-01 01:20. 2008-09-07 22:19 0 - A ------ C: \ Windows \ System32 \ sc02.sc
2008-08-31 01:46. 2007-02-20 16:04 2463976 - A ------ C: \ Windows \ System32 \ NPSWF32.dll
2008-08-31 01:46. 2007-02-20 16:04 190696 - A ------ C: \ Windows \ System32 \ NPSWF32_FlashUtil.exe
2008-08-30 09:59. 2008-08-30 21:34 <DIR> г -------- C: \ Program Files \ Macromedia
2008-08-30 09:59. 2008-08-30 21:27 <DIR> г -------- C: \ Program Files \ Общи файлове \ Macromedia
2008-08-30 01:25. 2008-09-13 13:18 <DIR> г -------- C: \ Program Files \ Бонжур
2008-08-29 14:33. 2006-09-18 17:55 109744 - A ------ C: \ Windows \ System32 \ Drivers \ SYMEVENT.SYS
2008-08-29 14:33. 2006-09-18 17:55 48816 - A ------ C: \ Windows \ System32 \ S32EVNT1.DLL
2008-08-29 10:18. 2008-08-29 10:18 87336 - A ------ C: \ Windows \ System32 \ DNS-sd.exe
2008-08-29 09:53. 2008-08-29 09:53 61440 - A ------ C: \ Windows \ System32 \ dnssd.dll
2008-08-27 04:05. 2008-04-07 05:38 45392-р ------ C: \ Windows \ System32 \ AdobePDF.dll
2008-08-27 04:05. 2008-04-07 05:38 22872-р ------ C: \ Windows \ System32 \ AdobePDFUI.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Доклад )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-16 20:53 --------- г ----- w C: \ Program Files \ Symantec AntiVirus
2008-09-13 17:17 --------- г ----- w C: \ Program Files \ QuickTime
2008-09-13 17:13 --------- г ----- w C: \ Program Files \ Apple Software Update
2008-09-08 18:53 249956 ---- О C: \ Windows \ System32 \ dsfMon.dll
2008-09-01 07:50 --------- г ----- w C: \ Documents и Settings \ Всички Users \ Прилагане Data \ Spybot - Търсене & Унищожи
2008-09-01 05:56 --------- г ----- w C: \ Program Files \ Spybot - Търсене & Унищожи
2008-08-30 05:24 --------- г ----- w C: \ Program Files \ Общи файлове \ Adobe
2008-08-29 18:34 --------- г ----- w C: \ Program Files \ Общи файлове \ Symantec общо
2008-08-29 18:33 --------- г ----- w C: \ Program Files \ Symantec
2008-08-29 18:32 --------- г ----- w C: \ Documents и Settings \ Всички Users \ Прилагане Data \ Symantec
2008-08-27 08:22 --------- г ----- w C: \ Documents и Settings \ Всички Users \ Прилагане Data \ FLEXnet
2008-08-26 00:52 --------- г ----- w C: \ Documents и Settings \ Теди \ Прилагане Data \ OpenOffice.org2
2008-08-13 21:33 --------- г ----- w C: \ Program Files \ Microsoft Silverlight
2008-08-12 02:46 --------- г ----- w C: \ Program Files \ PHM
2008-07-26 08:55 --------- г ----- w C: \ Program Files \ OpenOffice.org 2,4
2008-07-26 08:54 --------- г ----- w C: \ Program Files \ Java
2008-07-19 02:10 94920 ---- О C: \ Windows \ System32 \ cdm.dll
2008-07-19 02:10 53448 ---- О C: \ Windows \ System32 \ wuauclt.exe
2008-07-19 02:09 563912 ---- О C: \ Windows \ System32 \ wuapi.dll
2008-07-19 02:09 325832 ---- О C: \ Windows \ System32 \ wucltui.dll
2008-07-19 02:09 205000 ---- О C: \ Windows \ System32 \ wuweb.dll
2008-07-19 02:09 1811656 ---- О C: \ Windows \ System32 \ Wuaueng.dll
2008-07-07 20:32 253952 ---- О C: \ Windows \ System32 \ es.dll
2008-06-24 22:12 295936 ------ w C: \ Windows \ System32 \ wmpeffects.dll
2008-06-24 16:23 74240 ---- О C: \ Windows \ System32 \ mscms.dll
2008-06-23 16:57 826368 ---- О C: \ Windows \ System32 \ wininet.dll
2008-06-20 17:41 245248 ---- О C: \ Windows \ System32 \ mswsock.dll
2008-04-19 16:57 32 ---- О C: \ Documents и Settings \ Всички Users \ Прилагане Data \ ezsid.dat
.

((((((((((((((((((((((((((((((((((((( Рег. Loading Точки )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Забележка * празна вписванията & legit подразбиране вписванията не са показани
REGEDIT4

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Пусни]
"swg" = "C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe" [2007-04-02 68856]
"QuickTime Задача" = "C: \ Program Files \ QuickTime \ qttask.exe" [2008-09-06 413696]
"Н / PC връзка Агент" = "C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe" [2006-11-13 1289000]
"Ctfmon.exe" = "C: \ Windows \ System32 \ Ctfmon.exe" [2004-08-04 15360]
"IndxStoreSvr_ (79662E04-7C6C-4d9f-84C7-88D8A56B10AA)" = "C: \ Program Files \ Общи файлове \ Nero \ Lib \ NMIndexStoreSvr.exe" [2008-02-28 1828136]
"SpybotSD TeaTimer" = "C: \ Program Files \ Spybot - Търсене & Изтреби \ TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Пусни]
"RemoteControl" = "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe" [2004-05-14 32768]
"RoxioEngineUtility" = "C: \ Program Files \ Общи файлове \ Roxio общо \ System \ EngUtil.exe" [2003-05-01 65536]
"RoxioAudioCentral" = "C: \ Program Files \ Roxio \ Лесен CD Създател 6 \ AudioCentral \ RxMon.exe" [2003-07-15 319488]
"SIS Windows KeyHook" = "C: \ Windows \ System32 \ keyhook.exe" [2004-09-02 249856]
"SiSUSBRG" = "C: \ Windows \ SiSUSBrg.exe" [2004-09-22 106496]
"Apoint" = "C: \ Program Files \ Apoint2K \ Apoint.exe" [2003-12-05 159744]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_07 \ бен \ jusched.exe" [2008-06-10 144784]
"DSFHost" = "C: \ Program Files \ Staples \ easyprint \ dsfhost.exe" [2006-01-05 2142301]
"Синхронизиране мениджър" = "C: \ Windows \ System32 \ mobsync.exe" [2004-08-04 143360]
"Zune българско" = "C: \ Program Files \ Zune \ ZuneLauncher.exe" [2007-03-14 24104]
"GrooveMonitor" = "C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe" [2006-10-27 31016]
"Adobe Reader Speed българско" = "C: \ Program Files \ Adobe \ Reader 8,0 \ Reader \ Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck" = "C: \ Program Files \ Общи файлове \ Nero \ Lib \ NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan" = "C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBKeyScan.exe" [2008-02-18 2221352]
"Adobe Acrobat Speed българско" = "C: \ Program Files \ Adobe \ Acrobat 9,0 \ Acrobat \ Acrobat_sl.exe" [2008-06-12 37232]
"ccApp" = "C: \ Program Files \ Общи файлове \ Symantec общо \ ccApp.exe" [2006-07-19 52896]
"vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-09-27 125168]
"Layersecurity Servicemonitor" = "C: \ Windows \ System32 \ LSSMON.EXE" [2008-09-06 741376]
"iTunesHelper" = "C: \ Program Files \ iTunes \ iTunesHelper.exe" [2008-09-10 289576]
"SoundMan" = "SOUNDMAN.EXE" [2004-09-22 C: \ WINDOWS \ SOUNDMAN.EXE]
"AGRSMMSG" = "AGRSMMSG.exe" [2004-09-22 C: \ Windows \ AGRSMMSG.exe]
"SiSPower" = "SiSPower.dll" [2004-09-22 C: \ Windows \ System32 \ SiSPower.dll]

C: \ Documents и Settings \ Теди \ Старт Меню \ Програми \ Startup \
Adobe Gamma.lnk - C: \ Program Files \ Общи файлове \ Adobe \ Калибриране \ Adobe Гама Loader.exe [2005-03-16 113664]
OneNote 2007 екран CLIPPER и Launcher.lnk - C: \ Program Files \ Microsoft Office \ Office12 \ ONENOTEM.EXE [2006-10-26 98632]

C: \ Documents и Settings \ Всички Users \ Старт Меню \ Програми \ Startup \
Windows Desktop Search.lnk - C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe [2007-02-05 118784]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ curr entversion \ Explorer \ ShellExecuteHooks]
"(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows]
"AppInit_DLLs" = acaptuser32.dll

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ имидж файл изпълнение опции \ firefox.exe]
"Дебъгер" = C: \ Program Files \ Mozilla Firefox \ firefoxe.exe

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ имидж файл изпълнение опции \ Iexplore.exe]
"Дебъгер" = C: \ Program Files \ Internet Explorer \ iexplor.exe

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ имидж файл изпълнение опции \ spoolsv.exe]
"Дебъгер" = C: \ Windows \ System32 \ spool.exe

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ сигурност център \ мониторинг \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001

[HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ Списък]
"% Windir% \ \ System32 \ \ sessmgr.exe" =
"C: \ \ Program Files \ \ Общи файлове \ \ AOL \ \ Loader \ \ aolload.exe" =
"C: \ \ Program Files \ \ BitLord \ \ BitLord.exe" =
"C: \ \ Program Files \ \ Soulseek \ \ slsk.exe" =
"C: \ \ Program Files \ \ Mozilla Firefox \ \ firefox.exe" =
"C: \ \ StubInstaller.exe" =
"C: \ \ Program Files \ \ LimeWire \ \ LimeWire.exe" =
"% Windir% \ \ мрежа за диагностика \ \ xpnetdiag.exe" =
"C: \ \ Program Files \ \ Messenger \ \ msmsgs.exe" =
"C: \ \ Program Files \ \ AIM \ \ aim.exe" =
"C: \ Program Files \ Microsoft ActiveSync \ rapimgr.exe" = C: \ Program Files \ Microsoft ActiveSync \ rapimgr.exe: 169.254.2.0/255.255.255.0: Активирана: ActiveSync RAPI мениджър
"C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe" = C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe: 169.254.2.0/255.255.255.0: Активирана: ActiveSync връзката мениджър
"C: \ Program Files \ Microsoft ActiveSync \ WCESMgr.exe" = C: \ Program Files \ Microsoft ActiveSync \ WCESMgr.exe: 169.254.2.0/255.255.255.0: Активирана: ActiveSync Прилагане
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ OUTLOOK.EXE" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ GROOVE.EXE" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ ONENOTE.EXE" =
"C: \ \ Program Files \ \ Isadora \ \ isadora.exe" =
"C: \ \ Program Files \ \ Skype \ \ Телефон \ \ Skype.exe" =
"C: \ \ Program Files \ \ Бонжур \ \ mDNSResponder.exe" =
"C: \ \ Program Files \ \ iTunes \ \ iTunes.exe" =

[HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ Списък]
"3389: TCP" = 3389: TCP: @ xpsp2res.dll, -22009
"1500: TCP" = 1500: TCP: безопасен достъп Агент Port
"26675: TCP" = 26675: TCP: 169.254.2.0/255.255.255.0: Активирана: ActiveSync служба

* Новосъздадена служба * - CATCHME
* Новосъздадена служба * - PROCEXP90
.
Съдържание на "Класифицирани Задачи" папка
.
- - - - СИРАЦИ Премахнато - - - --

HKLM-навечерието CSRLT.EXE - C: \ Windows \ System32 \ CSRLT.EXE

.
------- Допълнителни Сканирай -------
.
FireFox -: Профил - C: \ Documents и Settings \ Теди \ Прилагане Data \ Mozilla \ Firefox \ Профили \ 6xzfp0sa.default \
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp: / / www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q =
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit / стелт зловреден софтуер детектор с Gmer, http://www.gmer.net
Rootkit сканира 2008-09-16 16:51:46
Windows 5.1.2600 Service Pack 2 NTFS

сканиране скрити процеси ...

сканиране скрити autostart вписванията ...

сканиране скритите файлове ...

сканирането приключи успешно
скритите файлове: 0

************************************************** ************************
.
Приключване време: 2008-09-16 17:15:59
ComboFix-карантина-files.txt 2008-09-16 21:15:16

Предварително Пусни: 10478669824 байта свободно
Пост-писта: 10446106624 байта свободно

190 --- EOF --- 2008-09-11 20:07:51

**evilfantasy** · #4 16-ти септември 2008, 14:45

Забележка: на инструкциите по-долу, са създадени специално за този потребител. Ако не сте този потребител, НЕ следните направления, тъй като те биха могли да повреди работата на вашата система

Изтрийте тези файлове / папки, както следва:

1. Отиди на Започвам > Бягам > Тип Notepad.exe и натиснете OK за да отворите Notepad.
Него трябва се Notepad, не WordPad.
2. Копиране на текст в полето по-долу код Отбелязването на всички текстови и пресоване Ctrl + C

Код:

KillAll:: Файл:: C: \ Program Files \ SpyRemover Лесен C: \ Windows \ System32 \ LSSMON.EXE C: \ Windows \ System32 \ LSASSMGR.EXE C: \ Windows \ System32 \ msupd32.exe C: \ Windows \ System32 \ upd01.exe C: \ Windows \ System32 \ srtsrv32.exe C: \ Windows \ System32 \ mssc32.dll C: \ Windows \ System32 \ bsc32.dll Регистратура:: [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ изображение файл изпълнение опции \ Iexplore.exe] "дебъгер" =- [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ имидж файл изпълнение опции \ spoolsv.exe] "дебъгер" =-

3. Отидете в Notepad прозорец и кликнете Редактиране > Залепване
4. След това кликнете върху Картотекирам > Спасявам
5. Име на файла CFScript.txt - Запазете файла на вашия работен плот
6. След това плъзнете CFScript (задръжте левия бутон на мишката, докато изтеглите файл) и пусни я (съобщение на левия бутон на мишката) в ComboFix.exe както виждате на екрана по-долу. Важно: Изпълнете тази инструкция внимателно!

ComboFix ще започнат да се изпълняват, просто следвайте указанията.
След като рестартирате (в случай, че иска да се рестартира), тя ще представи дневник за вас.
Пост този дневник (Combofix.txt) в следващата си реплика.

Забележка: Не mouseclick ComboFix в прозореца, докато тя работи. Това може да доведе до вашата система, за да се замразява

teddynicholas · #5 16-ти септември 2008, 15:32

ComboFix 08-09-15.02 - Теди 2008-09-16 17:49:20.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.850 [GMT -4:00]
Работещи от: C: \ Documents и Settings \ Теди \ Desktop \ ComboFix.exe
Команда превключватели използвани:: C: \ Documents и Settings \ Теди \ Desktop \ CFScript.txt
* Created нова точка за възстановяване

ПРЕДУПРЕЖДЕНИЕ-тази машина не разполага с конзолата за възстановяване инсталиран!
.

((((((((((((((((((((((((((((((((((((((( Други заличавания ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

C: \ Windows \ System32 \ bsc32.dll
C: \ Windows \ System32 \ LSASSMGR.EXE
C: \ Windows \ System32 \ LSSMON.EXE
C: \ Windows \ System32 \ mssc32.dll
C: \ Windows \ System32 \ msupd32.exe
C: \ Windows \ System32 \ spool.exe
C: \ Windows \ System32 \ srtsrv32.exe
C: \ Windows \ System32 \ upd01.exe

.
((((((((((((((((((((((((( Файлове Създаден от 2008-08-16 до 2008-09-16 ))))))))))) ))))))))))))))))))))
.

2008-09-16 16:21. 2008-09-16 16:50 <DIR> г -------- C: \ Windows \ System32 \ CatRoot_bak
2008-09-13 13:19. 2008-09-13 13:19 <DIR> г -------- C: \ Program Files \ iTunes
2008-09-13 13:19. 2008-09-13 13:19 <DIR> г -------- C: \ Program Files \ iPod
2008-09-13 13:19. 2008-09-13 13:19 <DIR> г -------- C: \ Documents и Settings \ Всички Users \ Прилагане Data \ (3276BE95_AF08_429F_A64F_CA64CB79BCF6)
2008-09-13 13:12. 2008-09-13 13:16 <DIR> г -------- C: \ Program Files \ Общи файлове \ Apple
2008-09-08 16:10. 2008-09-08 16:10 <DIR> г -------- C: \ Program Files \ Лесен SpyRemover
2008-09-07 22:34. 2008-09-02 00:16 38528 - A ------ C: \ Windows \ System32 \ Drivers \ mbamswissarmy.sys
2008-09-07 22:33. 2008-09-07 22:34 <DIR> г -------- C: \ Program Files \ Malwarebytes "Анти-злонамерени програми
2008-09-07 22:33. 2008-09-07 22:33 <DIR> г -------- C: \ Documents и Settings \ Теди \ Прилагане Data \ Malwarebytes
2008-09-07 22:33. 2008-09-07 22:33 <DIR> г -------- C: \ Documents и Settings \ Всички Users \ Прилагане Data \ Malwarebytes
2008-09-07 22:33. 2008-09-02 00:16 17200 - A ------ C: \ Windows \ System32 \ Drivers \ mbam.sys
2008-09-06 15:09. 2008-09-06 15:09 90112 - A ------ C: \ Windows \ System32 \ QuickTimeVR.qtx
2008-09-06 15:09. 2008-09-06 15:09 57344 - A ------ C: \ Windows \ System32 \ QuickTime.qts
2008-09-04 21:59. 2008-09-06 00:59 741376 - A ------ C: \ Windows \ divx32.dll
2008-09-02 13:23. 2008-09-02 13:23 <DIR> г -------- C: \ Program Files \ PrevxCSI
2008-09-02 13:23. 2008-09-16 13:32 <DIR> г -------- C: \ Documents и Settings \ Всички Users \ Прилагане Data \ PrevxCSI
2008-09-02 13:23. 2008-09-02 13:23 17408 - A ------ C: \ Windows \ System32 \ Drivers \ pxark.sys
2008-09-01 01:30. 2008-09-02 13:10 <DIR> DA ------ C: \ Documents и Settings \ Всички Users \ Прилагане Data \ ТЕМП
2008-09-01 01:20. 2008-09-07 22:19 0 - A ------ C: \ Windows \ System32 \ sc02.sc
2008-08-31 01:46. 2007-02-20 16:04 2463976 - A ------ C: \ Windows \ System32 \ NPSWF32.dll
2008-08-31 01:46. 2007-02-20 16:04 190696 - A ------ C: \ Windows \ System32 \ NPSWF32_FlashUtil.exe
2008-08-30 09:59. 2008-08-30 21:34 <DIR> г -------- C: \ Program Files \ Macromedia
2008-08-30 09:59. 2008-08-30 21:27 <DIR> г -------- C: \ Program Files \ Общи файлове \ Macromedia
2008-08-30 01:25. 2008-09-13 13:18 <DIR> г -------- C: \ Program Files \ Бонжур
2008-08-29 14:33. 2006-09-18 17:55 109744 - A ------ C: \ Windows \ System32 \ Drivers \ SYMEVENT.SYS
2008-08-29 14:33. 2006-09-18 17:55 48816 - A ------ C: \ Windows \ System32 \ S32EVNT1.DLL
2008-08-29 10:18. 2008-08-29 10:18 87336 - A ------ C: \ Windows \ System32 \ DNS-sd.exe
2008-08-29 09:53. 2008-08-29 09:53 61440 - A ------ C: \ Windows \ System32 \ dnssd.dll
2008-08-27 04:05. 2008-04-07 05:38 45392-р ------ C: \ Windows \ System32 \ AdobePDF.dll
2008-08-27 04:05. 2008-04-07 05:38 22872-р ------ C: \ Windows \ System32 \ AdobePDFUI.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Доклад )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-16 21:33 --------- г ----- w C: \ Program Files \ Symantec AntiVirus
2008-09-13 17:17 --------- г ----- w C: \ Program Files \ QuickTime
2008-09-13 17:13 --------- г ----- w C: \ Program Files \ Apple Software Update
2008-09-01 07:50 --------- г ----- w C: \ Documents и Settings \ Всички Users \ Прилагане Data \ Spybot - Търсене & Унищожи
2008-09-01 05:56 --------- г ----- w C: \ Program Files \ Spybot - Търсене & Унищожи
2008-08-30 05:24 --------- г ----- w C: \ Program Files \ Общи файлове \ Adobe
2008-08-29 18:34 --------- г ----- w C: \ Program Files \ Общи файлове \ Symantec общо
2008-08-29 18:33 --------- г ----- w C: \ Program Files \ Symantec
2008-08-29 18:32 --------- г ----- w C: \ Documents и Settings \ Всички Users \ Прилагане Data \ Symantec
2008-08-27 08:22 --------- г ----- w C: \ Documents и Settings \ Всички Users \ Прилагане Data \ FLEXnet
2008-08-26 00:52 --------- г ----- w C: \ Documents и Settings \ Теди \ Прилагане Data \ OpenOffice.org2
2008-08-13 21:33 --------- г ----- w C: \ Program Files \ Microsoft Silverlight
2008-08-12 02:46 --------- г ----- w C: \ Program Files \ PHM
2008-07-26 08:55 --------- г ----- w C: \ Program Files \ OpenOffice.org 2,4
2008-07-26 08:54 --------- г ----- w C: \ Program Files \ Java
2008-04-19 16:57 32 ---- О C: \ Documents и Settings \ Всички Users \ Прилагане Data \ ezsid.dat
.

((((((((((((((((((((((((((((( Snapshot@2008-09-16_17.03.48.82 )))))))))) )))))))))))))))))))))))))))))))
.
- 2007-07-30 23:18:40 33624-C - О C: \ Windows \ System32 \ dllcache \ wups.dll
+ 2008-07-19 02:10:20 36552-C - О C: \ Windows \ System32 \ dllcache \ wups.dll
- 2007-07-30 23:18:40 33624 ---- О C: \ Windows \ System32 \ wups.dll
+ 2008-07-19 02:10:20 36552 ---- О C: \ Windows \ System32 \ wups.dll
- 2007-07-30 23:19:12 43352 ---- О C: \ Windows \ System32 \ wups2.dll
+ 2008-07-19 02:10:40 45768 ---- О C: \ Windows \ System32 \ wups2.dll
.
((((((((((((((((((((((((((((((((((((( Рег. Loading Точки )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Забележка * празна вписванията & legit подразбиране вписванията не са показани
REGEDIT4

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Пусни]
"swg" = "C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe" [2007-04-02 68856]
"QuickTime Задача" = "C: \ Program Files \ QuickTime \ qttask.exe" [2008-09-06 413696]
"Н / PC връзка Агент" = "C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe" [2006-11-13 1289000]
"Ctfmon.exe" = "C: \ Windows \ System32 \ Ctfmon.exe" [2004-08-04 15360]
"IndxStoreSvr_ (79662E04-7C6C-4d9f-84C7-88D8A56B10AA)" = "C: \ Program Files \ Общи файлове \ Nero \ Lib \ NMIndexStoreSvr.exe" [2008-02-28 1828136]
"SpybotSD TeaTimer" = "C: \ Program Files \ Spybot - Търсене & Изтреби \ TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Пусни]
"RemoteControl" = "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe" [2004-05-14 32768]
"RoxioEngineUtility" = "C: \ Program Files \ Общи файлове \ Roxio общо \ System \ EngUtil.exe" [2003-05-01 65536]
"RoxioAudioCentral" = "C: \ Program Files \ Roxio \ Лесен CD Създател 6 \ AudioCentral \ RxMon.exe" [2003-07-15 319488]
"SIS Windows KeyHook" = "C: \ Windows \ System32 \ keyhook.exe" [2004-09-02 249856]
"SiSUSBRG" = "C: \ Windows \ SiSUSBrg.exe" [2004-09-22 106496]
"Apoint" = "C: \ Program Files \ Apoint2K \ Apoint.exe" [2003-12-05 159744]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_07 \ бен \ jusched.exe" [2008-06-10 144784]
"DSFHost" = "C: \ Program Files \ Staples \ easyprint \ dsfhost.exe" [2006-01-05 2142301]
"Синхронизиране мениджър" = "C: \ Windows \ System32 \ mobsync.exe" [2004-08-04 143360]
"Zune българско" = "C: \ Program Files \ Zune \ ZuneLauncher.exe" [2007-03-14 24104]
"GrooveMonitor" = "C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe" [2006-10-27 31016]
"Adobe Reader Speed българско" = "C: \ Program Files \ Adobe \ Reader 8,0 \ Reader \ Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck" = "C: \ Program Files \ Общи файлове \ Nero \ Lib \ NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan" = "C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBKeyScan.exe" [2008-02-18 2221352]
"Adobe Acrobat Speed българско" = "C: \ Program Files \ Adobe \ Acrobat 9,0 \ Acrobat \ Acrobat_sl.exe" [2008-06-12 37232]
"ccApp" = "C: \ Program Files \ Общи файлове \ Symantec общо \ ccApp.exe" [2006-07-19 52896]
"vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-09-27 125168]
"iTunesHelper" = "C: \ Program Files \ iTunes \ iTunesHelper.exe" [2008-09-10 289576]
"CSRLT.EXE" = "C: \ Windows \ System32 \ CSRLT.EXE" [BU]
"SoundMan" = "SOUNDMAN.EXE" [2004-09-22 C: \ WINDOWS \ SOUNDMAN.EXE]
"AGRSMMSG" = "AGRSMMSG.exe" [2004-09-22 C: \ Windows \ AGRSMMSG.exe]
"SiSPower" = "SiSPower.dll" [2004-09-22 C: \ Windows \ System32 \ SiSPower.dll]

C: \ Documents и Settings \ Теди \ Старт Меню \ Програми \ Startup \
Adobe Gamma.lnk - C: \ Program Files \ Общи файлове \ Adobe \ Калибриране \ Adobe Гама Loader.exe [2005-03-16 113664]
OneNote 2007 екран CLIPPER и Launcher.lnk - C: \ Program Files \ Microsoft Office \ Office12 \ ONENOTEM.EXE [2006-10-26 98632]

C: \ Documents и Settings \ Всички Users \ Старт Меню \ Програми \ Startup \
Windows Desktop Search.lnk - C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe [2007-02-05 118784]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ curr entversion \ Explorer \ ShellExecuteHooks]
"(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows]
"AppInit_DLLs" = acaptuser32.dll

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ имидж файл изпълнение опции \ firefox.exe]
"Дебъгер" = C: \ Program Files \ Mozilla Firefox \ firefoxe.exe

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ сигурност център \ мониторинг \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001

[HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ Списък]
"% Windir% \ \ System32 \ \ sessmgr.exe" =
"C: \ \ Program Files \ \ Общи файлове \ \ AOL \ \ Loader \ \ aolload.exe" =
"C: \ \ Program Files \ \ BitLord \ \ BitLord.exe" =
"C: \ \ Program Files \ \ Soulseek \ \ slsk.exe" =
"C: \ \ Program Files \ \ Mozilla Firefox \ \ firefox.exe" =
"C: \ \ StubInstaller.exe" =
"C: \ \ Program Files \ \ LimeWire \ \ LimeWire.exe" =
"% Windir% \ \ мрежа за диагностика \ \ xpnetdiag.exe" =
"C: \ \ Program Files \ \ Messenger \ \ msmsgs.exe" =
"C: \ \ Program Files \ \ AIM \ \ aim.exe" =
"C: \ Program Files \ Microsoft ActiveSync \ rapimgr.exe" = C: \ Program Files \ Microsoft ActiveSync \ rapimgr.exe: 169.254.2.0/255.255.255.0: Активирана: ActiveSync RAPI мениджър
"C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe" = C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe: 169.254.2.0/255.255.255.0: Активирана: ActiveSync връзката мениджър
"C: \ Program Files \ Microsoft ActiveSync \ WCESMgr.exe" = C: \ Program Files \ Microsoft ActiveSync \ WCESMgr.exe: 169.254.2.0/255.255.255.0: Активирана: ActiveSync Прилагане
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ OUTLOOK.EXE" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ GROOVE.EXE" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ ONENOTE.EXE" =
"C: \ \ Program Files \ \ Isadora \ \ isadora.exe" =
"C: \ \ Program Files \ \ Skype \ \ Телефон \ \ Skype.exe" =
"C: \ \ Program Files \ \ Бонжур \ \ mDNSResponder.exe" =
"C: \ \ Program Files \ \ iTunes \ \ iTunes.exe" =

[HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ Списък]
"3389: TCP" = 3389: TCP: @ xpsp2res.dll, -22009
"1500: TCP" = 1500: TCP: безопасен достъп Агент Port
"26675: TCP" = 26675: TCP: 169.254.2.0/255.255.255.0: Активирана: ActiveSync служба

R0 pxark; pxark; C: \ Windows \ System32 \ Drivers \ pxark.sys [2008-09-02 17408]
R2 CSIScanner; CSIScanner; C: \ Program Files \ PrevxCSI \ prevxcsi.exe [2008-09-02 618040]
R2 SafeAccessAgent; безопасен достъп агент; C: \ Program Files \ StillSecure \ безопасен достъп Агент \ SAService.exe [2006-01-27 880640]
R2 гледна точка Ръководител служба; гледна точка Ръководител служба; C: \ Program Files \ гледна точка \ Обща \ ViewpointService.exe [2007-01-04 24652]
S3 HwIOctl; HwIOctl; C: \ Documents и Settings \ Собственик \ Desktop \ HwIOctl.sys []
S3 Ktp3; Elantech тъчпада (KTP3); C: \ Windows \ System32 \ Drivers \ Ktp3.sy S [2004-09-22 24704]
S3 Memctl; Memctl; C: \ Documents и Settings \ Собственик \ Desktop \ Memctl.sys []
.
Съдържание на "Класифицирани Задачи" папка
.
- - - - СИРАЦИ Премахнато - - - --

HKLM-навечерието Layersecurity Servicemonitor - C: \ Windows \ System32 \ LSSMON.EXE
HKLM-RunOnce-MSBLT.EXE - C: \ Windows \ MSBLT.EXE

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit / стелт зловреден софтуер детектор с Gmer, http://www.gmer.net
Rootkit сканира 2008-09-16 18:00:27
Windows 5.1.2600 Service Pack 2 NTFS

сканиране скрити процеси ...

сканиране скрити autostart вписванията ...

сканиране скритите файлове ...

************************************************** ************************
.
------------------------ Други Работещи процеси ----------------------- --
.
C: \ Program Files \ Общи файлове \ Symantec общо \ ccSetMgr.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ ccEvtMgr.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ Program Files \ Общи файлове \ Apple \ мобилно устройство Подкрепа \ бен \ AppleMobileDeviceService.exe
C: \ Program Files \ Symantec \ LiveUpdate \ AluSchedulerSvc.exe
C: \ Program Files \ Бонжур \ mDNSResponder.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBService.exe
C: \ Windows \ System32 \ IoctlSvc.exe
C: \ Windows \ System32 \ MsPMSPSv.exe
C: \ Windows \ System32 \ searchindexer.exe
C: \ Program Files \ гледна точка \ гледна точка мениджър \ ViewMgr.exe
C: \ Windows \ System32 \ rundll32.exe
C: \ PROGRA ~ 1 \ Micros ~ 3 \ rapimgr.exe
C: \ Program Files \ Roxio \ Лесен CD Създател 6 \ AudioCentral \ Playlist.exe
C: \ Program Files \ Apoint2K \ ApntEx.exe
C: \ Program Files \ Общи файлове \ Nero \ Lib \ NMIndexingService.exe
C: \ Program Files \ iPod \ бен \ iPodService.exe
C: \ Windows \ System32 \ searchprotocolhost.exe
C: \ Windows \ System32 \ searchfilterhost.exe
.
************************************************** ************************
.
Приключване време: 2008-09-16 18:24:56 - машината е rebooted
ComboFix-карантина-files.txt 2008-09-16 22:23:49
ComboFix2.txt 2008-09-16 21:16:14

Предварително Пусни: 10626510848 байта свободно
Пост-писта: 10616803328 байта свободно

205 --- EOF --- 2008-09-11 20:07:51

**evilfantasy** · #6 16-ти септември 2008, 15:50

Изтеглям TrendMicro HijackThis.exe (HJT) на работния плот.

Щракнете върху HJTInstall.
Кликнете върху Инсталирайте бутон.
Тя автоматично ще се проведе в HJT C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe.
При инсталиране, HijackThis трябва отворени за вас.
Кликнете върху Направи система, сканира и запишете регистрационния файл бутон
HijackThis ще сканира и след това влезте Ще се отвори в Notepad.
Копирайте и поставете цялото съдържание на дневника във вашия пост.
Да не се имат HijackThis определя нищо все още. По-голямата част от това, което той констатира, ще бъдат безвредни или дори да се изисква.

teddynicholas · #7 23ти септември 2008, 09:24

Logfile на Тренд Микро HijackThis v2.0.2
Сканиране, записани в 12:21:04 ч., на 9/23/2008
Платформа: Windows XP SP2 (Winnt 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Обувка готовност: Нормално

Работещи процеси:
C: \ Windows \ System32 \ smss.exe
C: \ Windows \ System32 \ winlogon.exe
C: \ Windows \ System32 \ services.exe
C: \ Windows \ System32 \ lsass.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ ccSetMgr.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ ccEvtMgr.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ Windows \ System32 \ spoolsv.exe
C: \ Program Files \ Общи файлове \ Apple \ мобилно устройство Подкрепа \ бен \ AppleMobileDeviceService.exe
C: \ Program Files \ Symantec \ LiveUpdate \ ALUSchedulerSvc.exe
C: \ Program Files \ PrevxCSI \ prevxcsi.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBService.exe
C: \ Windows \ System32 \ IoctlSvc.exe
C: \ Program Files \ StillSecure \ безопасен достъп Агент \ SAService.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Program Files \ гледна точка \ Обща \ ViewpointService.exe
C: \ Windows \ System32 \ MsPMSPSv.exe
C: \ Windows \ System32 \ SearchIndexer.exe
C: \ Windows \ Explorer.exe
C: \ Program Files \ PrevxCSI \ prevxcsi.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe
C: \ WINDOWS \ SOUNDMAN.EXE
C: \ Windows \ System32 \ keyhook.exe
C: \ Program Files \ Apoint2K \ Apoint.exe
C: \ Program Files \ Java \ jre1.6.0_07 \ бен \ jusched.exe
C: \ Program Files \ Staples \ easyprint \ dsfhost.exe
C: \ Program Files \ Zune \ ZuneLauncher.exe
C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe
C: \ Program Files \ Общи файлове \ Symantec общо \ ccApp.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Program Files \ Apoint2K \ Apntex.exe
C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe
C: \ Program Files \ Общи файлове \ Nero \ Lib \ NMIndexStoreSvr.exe
C: \ PROGRA ~ 1 \ Micros ~ 3 \ rapimgr.exe
C: \ Program Files \ Общи файлове \ Nero \ Lib \ NMIndexingService.exe
C: \ Program Files \ iPod \ бен \ iPodService.exe
C: \ Program Files \ гледна точка \ гледна точка мениджър \ ViewMgr.exe
C: \ Program Files \ Adobe \ Acrobat 9,0 \ Acrobat \ AcroTray.exe
C: \ Program Files \ Общи файлове \ Macrovision общо \ FLEXnet Publisher \ FNPLicensingService.exe
C: \ Windows \ System32 \ taskmgr.exe
C: \ Windows \ lsass.exe
C: \ Windows \ System32 \ SPOOLER.EXE
C: \ Windows \ System32 \ wscntfy.exe
C: \ Windows \ System32 \ Ctfmon.exe
C: \ Program Files \ Trend Микро \ HijackThis \ HijackThis.exe
C: \ Windows \ System32 \ SearchProtocolHost.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Първа страница = http://www.averatec.com
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, търсене Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Първа страница = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Интернет връзката Wizard, ShellNext = http://oqaserver-a/
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Настройки, ProxyOverride = *. местните
O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files \ Yahoo! \ Другар \ инсталира \ cpn \ yt.dll
O2 - BHO: Adobe PDF Reader Линк Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Общи файлове \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - (18DF081C-E8AD-4283-A596-FA578C2EBDC3) - C: \ Program Files \ Общи файлове \ Adobe \ Acrobat \ ActiveX \ AcroIEHelperShim.dll
O2 - BHO: Spybot-S & D IE защита - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ SPYBOT ~ 1 \ SDHelper.dll
O2 - BHO: Groove СПФ браузъра Helper - (72853161-30C5-4D22-B7F9-0BBC1D38A37E) - C: \ PROGRA ~ 1 \ Micros ~ 4 \ Office12 \ GRA8E1 ~ 1.DLL
O2 - BHO: SSVHelper клас - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_07 \ бен \ ssv.dll
O2 - BHO: AOL Toolbar българско - (7C554162-8CB7-45A4-B8F4-8EA1C75885F9) - C: \ Program Files \ AOL \ AOL Toolbar 2,0 \ aoltb.dll
O2 - BHO: гледна точка Toolbar BHO - (A7327C09-B521-4EDB-8509-7D2660C9EC98) - C: \ Program Files \ гледна точка \ гледна точка Toolbar \ 3.8.0 \ ViewBarBHO.dll
O2 - BHO: Google Toolbar Helper - (AA58ED58-01DD-4d91-8333-CF10577473F7) - C: \ Program Files \ Google \ googletoolbar2.dll
O2 - BHO: Adobe PDF Конверсионно Toolbar Helper - (AE7CD045-E861-484f-8273-0445EE161910) - C: \ Program Files \ Общи файлове \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - (AF69DE43-7D58-4638-B6FA-CE66B5AD205D) - C: \ Program Files \ Google \ GoogleToolbarNotifier \ 3.1.807.1746 \ SW g.dll
O2 - BHO: SmartSelect - (F4971EE7-DAA0-4053-9964-665D8EE6A077) - C: \ Program Files \ Общи файлове \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files \ Yahoo! \ Другар \ инсталира \ cpn \ yt.dll
O3 - Toolbar: & Google - (2318C2B1-4965-11d4-9B18-009027A5CD4F) - C: \ Program Files \ Google \ googletoolbar2.dll
O3 - Toolbar: AOL Toolbar - (DE9C389F-3316-41A7-809B-AA305ED9D922) - C: \ Program Files \ AOL \ AOL Toolbar 2,0 \ aoltb.dll
O3 - Toolbar: гледна точка Toolbar - (F8AD5AA5-D966-4667-9DAF-2561D68B2012) - C: \ Program Files \ Общи файлове \ гледна точка \ Toolbar Runtime \ 3.8.0 \ IEViewBar.dll
O3 - Toolbar: Adobe PDF - (47833539-D0C5-4125-9FA8-0819E2EAAC93) - C: \ Program Files \ Общи файлове \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll
O4 - HKLM \ .. \ Пусни: [RemoteControl] "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe"
O4 - HKLM \ .. \ Пусни: [RoxioEngineUtility] "C: \ Program Files \ Общи файлове \ Roxio общо \ System \ EngUtil.exe"
O4 - HKLM \ .. \ Пусни: [RoxioAudioCentral] "C: \ Program Files \ Roxio \ Лесен CD Създател 6 \ AudioCentral \ RxMon.exe"
O4 - HKLM \ .. \ Пусни: [SoundMan] SOUNDMAN.EXE
O4 - HKLM \ .. \ Пусни: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM \ .. \ Пусни: [SiSPower] Rundll32.exe SiSPower.dll, ModeAgent
O4 - HKLM \ .. \ Пусни: [SIS Windows KeyHook] C: \ Windows \ System32 \ keyhook.exe
O4 - HKLM \ .. \ Пусни: [SiSUSBRG] C: \ Windows \ SiSUSBrg.exe
O4 - HKLM \ .. \ Пусни: [Apoint] C: \ Program Files \ Apoint2K \ Apoint.exe
O4 - HKLM \ .. \ Пусни: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_07 \ бен \ jusched.exe"
O4 - HKLM \ .. \ Пусни: [DSFHost] C: \ Program Files \ Staples \ easyprint \ dsfhost.exe
O4 - HKLM \ .. \ Пусни: [синхронизиране мениджър]% SystemRoot% \ System32 \ mobsync.exe / за влизане
O4 - HKLM \ .. \ Пусни: [Zune българско] "C: \ Program Files \ Zune \ ZuneLauncher.exe"
O4 - HKLM \ .. \ Пусни: [GrooveMonitor] "C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe"
O4 - HKLM \ .. \ Пусни: [Adobe Reader Speed българско] "C: \ Program Files \ Adobe \ Reader 8,0 \ Reader \ Reader_sl.exe"
O4 - HKLM \ .. \ Пусни: [NeroFilterCheck] C: \ Program Files \ Общи файлове \ Nero \ Lib \ NeroCheck.exe
O4 - HKLM \ .. \ Пусни: [NBKeyScan] "C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBKeyScan.exe"
O4 - HKLM \ .. \ Пусни: [Adobe Acrobat Speed българско] "C: \ Program Files \ Adobe \ Acrobat 9,0 \ Acrobat \ Acrobat_sl.exe"
O4 - HKLM \ .. \ Пусни: [ccApp] "C: \ Program Files \ Общи файлове \ Symantec общо \ ccApp.exe"
O4 - HKLM \ .. \ Пусни: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Пусни: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Пусни: [Layersecurity Servicemonitor] C: \ Windows \ System32 \ LSSMON.EXE
O4 - HKLM \ .. \ Пусни: [принтиране Spooler] C: \ Windows \ System32 \ SPOOLER.EXE
O4 - HKCU \ .. \ Пусни: [swg] C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
O4 - HKCU \ .. \ Пусни: [QuickTime Задача] "C: \ Program Files \ QuickTime \ qttask.exe"-atboottime
O4 - HKCU \ .. \ Пусни: [H / PC връзка Агент] "C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe"
O4 - HKCU \ .. \ Пусни: [Ctfmon.exe] C: \ Windows \ System32 \ Ctfmon.exe
O4 - HKCU \ .. \ Пусни: [IndxStoreSvr_ (79662E04-7C6C-4d9f-84C7-88D8A56B10AA)] "C: \ Program Files \ Общи файлове \ Nero \ Lib \ NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F -39A1E5104020
O4 - HKCU \ .. \ Пусни: [SpybotSD TeaTimer] C: \ Program Files \ Spybot - Търсене & Изтреби \ TeaTimer.exe
O4 - HKCU \ .. \ Пусни: [AdobeUpdater] C: \ Program Files \ Общи файлове \ Adobe \ Updater \ AdobeUpdater.exe
O4 - HKLM \ .. \ Policies \ Explorer \ Пусни: [LocalSecurityAuthoritySubsystem] C: \ Windows \ lsass.exe
O4 - Startup: Adobe Gamma.lnk = C: \ Program Files \ Общи файлове \ Adobe \ Калибриране \ Adobe Гама Loader.exe
O4 - Startup: OneNote 2007 екран CLIPPER и Launcher.lnk = C: \ Program Files \ Microsoft Office \ Office12 \ ONENOTEM.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe
O8 - Extra контекст менюто: & AOL Toolbar Търсене - C: \ Program Files \ AOL \ AOL Toolbar 2,0 \ ресурси \ BG-САЩ \ Local \ search.html
O8 - Extra контекст менюто: Добавете Връзка Целеви към съществуващи PDF - RES: / / C: \ Program Files \ Общи файлове \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll / AcroIEAppendSelLinks.html
O8 - Extra контекст менюто: Добавете към съществуващи PDF - RES: / / C: \ Program Files \ Общи файлове \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll / AcroIEAppend.html
O8 - Extra контекст менюто: Конвертирай Линк Цел на Adobe PDF - RES: / / C: \ Program Files \ Общи файлове \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll / AcroIECaptureSelLinks.html
O8 - Extra контекст менюто: Конвертирай към Adobe PDF - RES: / / C: \ Program Files \ Общи файлове \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll / AcroIECapture.html
O8 - Extra контекст менюто: E & Експортиране към Microsoft Excel - RES: / / C: \ PROGRA ~ 1 \ Micros ~ 4 \ Office12 \ EXCEL.EXE/3000
O9 - Extra бутона: (няма име) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ бен \ ssv.dll
O9 - Extra "Инструменти" MENUITEM: Sun Java конзолата - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ бен \ ssv.dll
O9 - Extra бутона: Изпрати към OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ Micros ~ 4 \ Office12 \ ONBttnIE.dll
O9 - Extra "Инструменти" MENUITEM: S & край OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ Micros ~ 4 \ Office12 \ ONBttnIE.dll
O9 - Extra бутона: Създаване на мобилен Любим - (2EAF5BB1-070F-11D3-9307-00C04FAE2D4F) - C: \ PROGRA ~ 1 \ Micros ~ 3 \ INetRepl.dll
O9 - Extra бутона: (няма име) - (2EAF5BB2-070F-11D3-9307-00C04FAE2D4F) - C: \ PROGRA ~ 1 \ Micros ~ 3 \ INetRepl.dll
O9 - Extra "Инструменти" MENUITEM: Създаване на мобилен Любим ... - (2EAF5BB2-070F-11D3-9307-00C04FAE2D4F) - C: \ PROGRA ~ 1 \ Micros ~ 3 \ INetRepl.dll
O9 - Extra бутона: AOL Toolbar - (3369AF0D-62E9-4bda-8103-B4C75499B578) - C: \ Program Files \ AOL \ AOL Toolbar 2,0 \ aoltb.dll
O9 - Extra бутона: Изследвания - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MIC273 ~ 1 \ Office12 \ REFIEBAR.DLL
O9 - Extra бутона: AIM - (AC9E2541-2814-11d5-BC6D-00B0D0A1DE45) - C: \ Program Files \ AIM \ aim.exe
O9 - Extra бутона: (няма име) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ SPYBOT ~ 1 \ SDHelper.dll
O9 - Extra "Инструменти" MENUITEM: Spybot - Търсене & Изтреби Конфигурация - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ SPYBOT ~ 1 \ SDHelper.dll
O9 - Extra бутона: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra "Инструменти" MENUITEM: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL = http://www.averatec.com
O16 - DPF: (0D6BB8B8-0257-420C-B9EB-CFA90DB1026C) -- http://svrnsec01.purchase.edu:88/setup.cab
O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl клас) -- http://v5.windowsupdate.microsoft.co...?1096453339343
O18 - Протокол: grooveLocalGWS - (88FED34C-F0CA-4636-A375-3CB6248B04CD) - C: \ PROGRA ~ 1 \ Micros ~ 4 \ Office12 \ GR99D3 ~ 1.DLL
O18 - Протокол: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ PROGRA ~ 1 \ ОБЩА ~ 1 \ Skype \ SKYPE4 ~ 1.DLL
O20 - AppInit_DLLs: acaptuser32.dll
O23 - Служба: Ad-Aware 2007 служба (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
O23 - Обслужване: Adobe LM служба - Adobe Systems - C: \ Program Files \ Общи файлове \ Adobe Systems общо \ служба \ Adobelmsvc.exe
O23 - Обслужване: Apple мобилно устройство - Apple Инк. - C: \ Program Files \ Общи файлове \ Apple \ мобилно устройство Подкрепа \ бен \ AppleMobileDeviceService.exe
O23 - Сервиз: Автоматично Планировчик LiveUpdate - Symantec Corporation - C: \ Program Files \ Symantec \ LiveUpdate \ ALUSchedulerSvc.exe
O23 - Обслужване: Бонжур служба - Apple Инк. - C: \ Program Files \ Бонжур \ mDNSResponder.exe
O23 - Обслужване: Symantec Събитие Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ ccEvtMgr.exe
O23 - Обслужване: Symantec Настройки Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ ccSetMgr.exe
O23 - Обслужване: CSIScanner - Prevx - C: \ Program Files \ PrevxCSI \ prevxcsi.exe
O23 - Обслужване: Symantec AntiVirus Определение Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
O23 - Обслужване: FLEXnet лицензиране служба - Macrovision Европа ООД - C: \ Program Files \ Общи файлове \ Macrovision общо \ FLEXnet Publisher \ FNPLicensingService.exe
O23 - Служба: Google Updater служба (gusvc) - Google - C: \ Program Files \ Google \ Обща \ Google Updater \ GoogleUpdaterService.exe
O23 - Обслужване: InstallDriver Таблица Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Общи файлове \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Обслужване: iPod служба - Apple Инк. - C: \ Program Files \ iPod \ бен \ iPodService.exe
O23 - Обслужване: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Обслужване: Nero BackItUp Планировчик 3 - Nero AG - C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBService.exe
O23 - Обслужване: NMIndexingService - Nero AG - C: \ Program Files \ Общи файлове \ Nero \ Lib \ NMIndexingService.exe
O23 - Обслужване: PLFlash DeviceIoControl служба - плодороден Технологии Инк. - C: \ Windows \ System32 \ IoctlSvc.exe
O23 - Обслужване: безопасен достъп Агент (SafeAccessAgent) - StillSecure - C: \ Program Files \ StillSecure \ безопасен достъп Агент \ SAService.exe
O23 - Обслужване: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
O23 - Обслужване: Symantec мрежа Драйвери служба (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ SNDSrvc.exe
O23 - Обслужване: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ SPBBC \ SPBBCSvc.exe
O23 - Обслужване: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
O23 - Обслужване: SymWMI служба (SymWSC) - Symantec Corporation - C: \ Program Files \ Общи файлове \ Symantec общо \ Сигурност Център \ SymWSC.exe
O23 - Обслужване: гледна точка Мениджър служба - гледна точка Corporation - C: \ Program Files \ гледна точка \ Обща \ ViewpointService.exe

--
Краят на файла - 14719 байта

**evilfantasy** · #8 23ти септември 2008, 10:25

Изтеглям Malwarebytes "Анти-злонамерени програми (MBAM)

Щракнете два пъти върху mbam-setup.exe и следвайте указанията, за да инсталирате програмата.
В крайна сметка, не забравяйте един отметка е поставено в непосредствена близост до следното:
- Update Malwarebytes "Анти-злонамерени програми
- Стартиране Malwarebytes "Анти-злонамерени програми
След това кликнете върху Завърши.
Ако дадена актуализация е установено, тя ще изтеглите и инсталирате последната версия.
След като програмата е заредена, изберете Направете бързо сканиране, След това кликнете върху Сканиране.
Когато сканирането приключи, кликнете OK, Тогава Показване на резултатите за да видите резултатите.
Бъдете сигурни, че всичко е проверено и кликнете Премахване на избраните.
Когато дезинфекция е попълнен, дневник ще се отвори в Notepad и може да ви бъде поискано да рестартирате. (Виж Екстра Забележка)
В дневника се записват автоматично от MBAM и могат да бъдат открити чрез натискане на Дневници раздела в MBAM.
Копирайте и поставете целия доклад през следващата отговор.

Екстри Забележка: Ако MBAM срещи файл, който е трудно да се премахне, ще бъде представен с 1 от 2 подсказва, натиснете ОК, за да било и нека MBAM ход на процеса дезинфекция, ако е поискано да рестартирате компютъра, направете го веднага.

----------

Сега пуснете нов HijackThis сканира и след дневника заедно с MBAM дневника.

Подобни Конци
Нишка	Нишка Начално	Форум	Отговори	Последно мнение
Помощ за почистване на заразени компютри	veritas9	Вирус, шпионски софтуер & Сигурност	52	11 Jan 2009 15:12
Lsassmgr.exe	Lovelyeyes	Вирус, шпионски софтуер & Сигурност	4	21 Дек 2008 13:28
LSASSMGR.exe	Sparky1567	Вирус, шпионски софтуер & Сигурност	1	16-ти септември 2008 11:48
LSSMON.exe LSASSMGR.exe и srtsrv.exe	krellda	Вирус, шпионски софтуер & Сигурност	8	15-ти септември 2008 12:58

Нишка Инструменти
Покажи версия за печат Email тази страница