|
|
#1
31 אוקטובר 2008, 03:00
|
|||
|
|||
אמא להוריד משהו
הי,
ובכן, אמא שלי להוריד את חומת האש ואת משהו, ניגש אלי עם כמה הודעות. איכשהו יש את זה מותקן לפני שהיא סיפרה לי. לכן, סריקות פועלות כעת, זה עלול לקחת קצת זמן מכיוון שהוא איטי המחשב. אני לא יודע איך זה נקרא אבל זה מוזר כל הסמלים, ו unreadable. יש לי יומן HijackThis אבל לפחות דבר אחד לא לקח זמן רב ... Logfile of Trend Micro HijackThis v2.0.2 סרוק נשמרה ב 8:53:31 PM ב 31/10/2008 פלטפורמה: Windows XP SP3 (Winnt 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) אתחול במצב: בדרך כלל הפעלת תהליכים: C: \ Windows \ System32 \ smss.exe C: \ WINDOWS \ SYSTEM32 \ Winlogon.exe C: \ WINDOWS \ system32 \ services.exe C: \ WINDOWS \ system32 \ lsass.exe C: \ WINDOWS \ system32 \ Ati2evxx.exe C: \ WINDOWS \ system32 \ היישום Svchost.exe C: \ Windows \ System32 \ היישום Svchost.exe C: \ Program Files \ Avast4 \ aswUpdSv.exe C: \ Program Files \ Avast4 \ ashServ.exe C: \ WINDOWS \ system32 \ spoolsv.exe C: \ Program Files \ Common Files \ Epson \ EBAPI \ SAgent2.exe C: \ WINDOWS \ SYSTEM32 \ Ati2evxx.exe C: \ WINDOWS \ system32 \ היישום Svchost.exe C: \ WINDOWS \ system32 \ Ctfmon.exe C: \ WINDOWS \ explorer.exe C: \ WINDOWS \ system32 \ SearchIndexer.exe C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe C: \ progra ~ 1 \ Avast4 \ ashDisp.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe C: \ Program Files \ Avast4 \ ashMaiSv.exe C: \ Program Files \ Avast4 \ ashWebSv.exe C: \ Program Files \ DAP \ DAP.EXE C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe C: \ Program Files \ Malwarebytes' Anti-Malware \ mbam.exe C: \ Program Files \ Spybot - Search & תשמיד \ SpybotSD.exe C: \ Program Files \ Mozilla Firefox \ firefox.exe C: \ Program Files \ Avast4 \ ashSimpl.exe C: \ Documents and Settings \ VIP \ שולחן עבודה \ HiJackThis.exe C: \ Program Files \ Avast4 \ Setup \ avast.setup R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ ראשי, דף הפתיחה = http://www.yahoo.com.hk/ R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ ראשי, דף חיפוש = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ ראשי, דף הפתיחה = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, SearchAssistant = R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, כותר = חלון של Windows Internet Explorer שסופקו על ידי מנהל קווין R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ int ernet הגדרות, ProxyOverride = מקומית R3 - URLSearchHook: (ללא שם) - (0A94B116-4504-4e26-AB05-E61E474AA38B) - (ללא קובץ) O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O2 - BHO: RealPlayer הורד ולהקליט Plugin ל-Internet Explorer - (3049C3E9-B461-4BC5-8870-4C09146192CA) - C: \ Program Files \ Real \ RealPlayer \ rpbrowserrecordplugin.dll O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ progra ~ 1 \ SPYBOT ~ 1 \ SDHelper.dll O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O2 - BHO: (ללא שם) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (ללא קובץ) O2 - BHO: Windows Live הירשם ל-עוזר - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ WINDOWS \ system32 \ NeroCheck.exe O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe" O4 - HKLM \ .. \ Run: [ATICCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" Runtime עיכוב O4 - HKLM \ .. \ Run: [avast!] C: \ progra ~ 1 \ Avast4 \ ashDisp.exe O4 - HKLM \ .. \ RunOnce: [Malwarebytes' Anti-Malware] C: \ Program Files \ Malwarebytes' Anti-Malware \ mbamgui.exe / להתקין / אילם O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe O4 - HKUS \ S-1-5-19 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'LOCAL SERVICE') O4 - HKUS \ S-1-5-20 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (משתמש 'שירות רשת') O4 - HKUS \ S-1-5-18 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'SYSTEM') O4 - HKUS \. ברירת המחדל \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'Default user') O4 - Startup: Æô ¯ ¶ ¶ ¹ ÉËÙÍÁ. Lnk =? O8 - Extra context בתפריט: & נקה עקבות - C: \ Program Files \ DAP \ Privacy Package \ dapcleanerie.htm O8 - Extra context בתפריט: & הורד עם & DAP - C: \ Program Files \ DAP \ dapextie.htm O8 - Extra context בתפריט: הורד את כל עם & DAP - C: \ Program Files \ DAP \ dapextie2.htm O8 - Extra context בתפריט: E & xport ל-Microsoft Excel - res: / / c: \ progra ~ 1 \ מיקרו ~ 2 \ OFFICE11 \ EXCEL.EXE/3000 O9 - Extra כפתור: (ללא שם) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O9 - Extra כפתור: מחקר - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ progra ~ 1 \ מיקרו ~ 2 \ OFFICE11 \ REFIEBAR.DLL O9 - Extra כפתור: QQ - (c95fe080-8f5d-11d2-a20b-00aa003c157b) - C: \ WINDOWS \ system32 \ shdocvw.dll O9 - Extra 'Tools' menuitem:?? QQ - (c95fe080-8f5d-11d2-a20b-00aa003c157b) - C: \ WINDOWS \ system32 \ shdocvw.dll O9 - Extra כפתור: (ללא שם) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ progra ~ 1 \ SPYBOT ~ 1 \ SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & תשמיד תצורת - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ progra ~ 1 \ SPYBOT ~ 1 \ SDHelper.dll O9 - Extra כפתור: (ללא שם) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network לאבחון \ xpnetdiag.exe O9 - Extra 'Tools' menuitem: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network לאבחון \ xpnetdiag.exe O9 - Extra כפתור: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O16 - DPF: (17492023-C23A-453E-A040-C7C580BBF700) (Windows Genuine Advantage כלי אימות) -- http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: (4F1E5B1A-2A80-42CA-8532-2D05CB959537) -- http://by107fd.bay107.hotmail.msn.co...s/MsnPUpld.cab O16 - DPF: (5D6F45B3-9043-443D-A792-115447494D24) -- http://messenger.zone.msn.com/EN-AU/.../GAME_UNO1.cab O16 - DPF: (6E32070A-766D-4EE6-879C-DC1FA91D2FC3) (MUWebControl class) -- http://update.microsoft.com/microsof...?1133040258574 O16 - DPF: (8E0D4DE5-3180-4024-A327-4DFAD1796A8D) -- http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: (C3F79A2B-B9B4-4A66-B012-3EE46475B072) -- http://messenger.zone.msn.com/binary...t.cab56907.cab O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.DLL O23 - Service: Ad-מודעת 2007 Service (aawservice) - Lavasoft AB - C: \ Program Files \ Lavasoft \ מודעות מודעת-2007 \ aawservice.exe O23 - Service: avast! iAVS4 בקרת השירות (aswUpdSv) - ALWIL תוכנה - C: \ Program Files \ Avast4 \ aswUpdSv.exe O23 - Service: ATI HotKey Poller - ATI Technologies, Inc - C: \ WINDOWS \ system32 \ Ati2evxx.exe O23 - Service: ATI Smart - לא ידוע בעל - C: \ WINDOWS \ system32 \ ati2sgag.exe O23 - Service: avast! אנטי - ALWIL תוכנה - C: \ Program Files \ Avast4 \ ashServ.exe O23 - Service: avast! דואר הסורק - ALWIL תוכנה - C: \ Program Files \ Avast4 \ ashMaiSv.exe O23 - Service: avast! סורק אינטרנט - תוכנה ALWIL - C: \ Program Files \ Avast4 \ ashWebSv.exe O23 - Service: מדפסת Epson מצב Agent2 (EPSONStatusAgent2) - SEIKO Epson CORPORATION - C: \ Program Files \ Common Files \ Epson \ EBAPI \ SAgent2.exe -- סוף הקובץ - 7692 בייטים _______________________________________________ כל עזרה היא ךיתורעה. BTW. אני לא מוצא סמל שנראה כמו 'להסיר את ההתקנה של' לי, אז הסרת ההתקנה לא תהיה אפשרות ...
__________________
Hi:) |
|
#2
31 אוקטובר 2008, 15:21
|
|||
|
|||
|
אמא להוריד משהו
טוב. עזבתי את סריקות לרוץ בין לילה, אך SuperAntiSpyware המשיכו נתקל בבעיות סגור ... יש לי MalwareBytes התחבר כאן:
Malwarebytes' Anti-Malware 1.30 מסד נתונים גרסה: 1343 Windows 5.1.2600 Service Pack 3 1/11/2008 9:19:03 AM mbam-Log-2008-11-01 (09-19-03). txt סוג סריקה: סריקה מלאה (C: \ | D: \ | e: \ |) סריקת אובייקטים: 190626 שעה elapsed: 3 שעות (S), 56 דקות (s), 28 שנייה (ות) זיכרון תהליכים מזוהמים: 0 זיכרון מודולים מזוהמים: 0 מפתחות רישום מזוהמים: 0 ערכי הרישום מזוהמים: 0 הרישום נתונים מזוהמים פריטים: 0 תיקיות מזוהמים: 0 קבצים מזוהמים: 2 זיכרון תהליכים מזוהמים: (לא זדוני שזוהו פריטים) זיכרון מודולים מזוהמים: (לא זדוני שזוהו פריטים) מפתחות רישום מזוהמים: (לא זדוני שזוהו פריטים) ערכי הרישום מזוהמים: (לא זדוני שזוהו פריטים) הרישום של פריטי נתונים מזוהמים: (לא זדוני שזוהו פריטים) תיקיות מזוהמים: (לא זדוני שזוהו פריטים) קבצים מזוהמים: C: \ WINDOWS \ system32 \ _005069_.tmp.dll (Trojan.Agent) -> ו Quarantined נמחקה בהצלחה. C: \ WINDOWS \ system32 \ _005101_.tmp.dll (Trojan.Agent) -> ו Quarantined נמחקה בהצלחה.
__________________
Hi:) |
|
#3
31 אוקטובר 2008, 15:24
|
||||||||||||
|
||||||||||||
|
אמא להוריד משהו
הי
__________________
המשך עם סורק אתה מפעיל, ולאחר מכן בצע את ההוראות. להוריד ComboFix אחד המקומות האלה: קישור 1 קישור 2 קישור 3 * חשוב! שמור ComboFix.exe לשולחן העבודה שלך
 לאחר השחזור של Microsoft Windows מותקן באמצעות ComboFix, אתה אמור לראות את ההודעה הבאה:  לחץ על כן, להמשיך סריקה לאיתור תוכנות זדוניות. לאחר שתסיים, ComboFix יהיה להפיק יומן עבורך. אנא צרף את C: \ ComboFix.txt תגובה הבא שלך, alog עם השני יתחבר. המערכת שלי: כל זה שלי ...
|
|
#4
31 אוקטובר 2008, 15:52
|
|||
|
|||
|
אמא להוריד משהו
מסיבה כלשהי, ComboFix סגור SuperAntiSpyware סריקה בזמן שהוא היה, כך עכשיו מחדש. ו avast! לא לקפוץ על ברירת המחדל יותר ... אני פותח את התוכנית, אבל זה עדיין לא במערכת מגש דבר ... וגם את התוכנית כי אמא שלי היא שהורדת בחר לפעול על הפעלה ... התחבר כאן בכל מקרה:
ComboFix 08-10-30.13 - VIP 2008-11-01 9:36:52.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.732 [11:00 GMT] הפעלת מ: C: \ Documents and Settings \ VIP \ שולחן עבודה \ ComboFix.exe * נוצרה נקודת שחזור חדשה . ((((((((((((((((((((((((((((((((((((((( אחר Deletions ))))))))) )))))))))))))))))))))))))))))))))))))))) . C: \ Program Files \ Warcraft III \ _desktop.ini C: \ WINDOWS \ system32 \ _005058_.tmp.dll C: \ WINDOWS \ system32 \ _005059_.tmp.dll C: \ WINDOWS \ system32 \ _005060_.tmp.dll C: \ WINDOWS \ system32 \ _005061_.tmp.dll C: \ WINDOWS \ system32 \ _005068_.tmp.dll C: \ WINDOWS \ system32 \ _005070_.tmp.dll C: \ WINDOWS \ system32 \ _005071_.tmp.dll C: \ WINDOWS \ system32 \ _005072_.tmp.dll C: \ WINDOWS \ system32 \ _005073_.tmp.dll C: \ WINDOWS \ system32 \ _005074_.tmp.dll C: \ WINDOWS \ system32 \ _005075_.tmp.dll C: \ WINDOWS \ system32 \ _005076_.tmp.dll C: \ WINDOWS \ system32 \ _005077_.tmp.dll C: \ WINDOWS \ system32 \ _005078_.tmp.dll C: \ WINDOWS \ system32 \ _005079_.tmp.dll C: \ WINDOWS \ system32 \ _005080_.tmp.dll C: \ WINDOWS \ system32 \ _005081_.tmp.dll C: \ WINDOWS \ system32 \ _005082_.tmp.dll C: \ WINDOWS \ system32 \ _005084_.tmp.dll C: \ WINDOWS \ system32 \ _005087_.tmp.dll C: \ WINDOWS \ system32 \ _005088_.tmp.dll C: \ WINDOWS \ system32 \ _005092_.tmp.dll C: \ WINDOWS \ system32 \ _005093_.tmp.dll C: \ WINDOWS \ system32 \ _005094_.tmp.dll C: \ WINDOWS \ system32 \ _005095_.tmp.dll C: \ WINDOWS \ system32 \ _005096_.tmp.dll C: \ WINDOWS \ system32 \ _005097_.tmp.dll C: \ WINDOWS \ system32 \ _005098_.tmp.dll C: \ WINDOWS \ system32 \ _005099_.tmp.dll C: \ WINDOWS \ system32 \ _005100_.tmp.dll C: \ WINDOWS \ system32 \ _005102_.tmp.dll C: \ WINDOWS \ system32 \ _005103_.tmp.dll C: \ WINDOWS \ system32 \ _005104_.tmp.dll C: \ WINDOWS \ system32 \ _005106_.tmp.dll C: \ WINDOWS \ system32 \ _005107_.tmp.dll C: \ WINDOWS \ system32 \ _005108_.tmp.dll C: \ WINDOWS \ system32 \ _005109_.tmp.dll C: \ WINDOWS \ system32 \ _005110_.tmp.dll C: \ WINDOWS \ system32 \ _005111_.tmp.dll C: \ WINDOWS \ system32 \ _005112_.tmp.dll C: \ WINDOWS \ system32 \ _005115_.tmp.dll C: \ WINDOWS \ system32 \ _005116_.tmp.dll C: \ WINDOWS \ system32 \ _005117_.tmp.dll C: \ WINDOWS \ system32 \ _005118_.tmp.dll C: \ WINDOWS \ system32 \ _005119_.tmp.dll C: \ WINDOWS \ system32 \ _005121_.tmp.dll C: \ WINDOWS \ system32 \ _005122_.tmp.dll C: \ WINDOWS \ system32 \ _005123_.tmp.dll C: \ WINDOWS \ system32 \ _005125_.tmp.dll C: \ WINDOWS \ system32 \ _005128_.tmp.dll C: \ WINDOWS \ system32 \ _005129_.tmp.dll C: \ WINDOWS \ system32 \ _005133_.tmp.dll C: \ WINDOWS \ system32 \ _005134_.tmp.dll C: \ WINDOWS \ system32 \ _005136_.tmp.dll C: \ WINDOWS \ system32 \ _005137_.tmp.dll C: \ WINDOWS \ system32 \ _005139_.tmp.dll C: \ WINDOWS \ system32 \ _005141_.tmp.dll C: \ WINDOWS \ system32 \ _005142_.tmp.dll C: \ WINDOWS \ system32 \ _005143_.tmp.dll C: \ WINDOWS \ system32 \ _005144_.tmp.dll C: \ WINDOWS \ system32 \ _005147_.tmp.dll C: \ WINDOWS \ system32 \ _005148_.tmp.dll C: \ WINDOWS \ system32 \ _005149_.tmp.dll C: \ WINDOWS \ system32 \ _005150_.tmp.dll C: \ WINDOWS \ system32 \ _005151_.tmp.dll C: \ WINDOWS \ system32 \ _005156_.tmp.dll C: \ WINDOWS \ system32 \ _005158_.tmp.dll C: \ WINDOWS \ system32 \ מטמון C: \ WINDOWS \ system32 \ Cfx32.lic C: \ WINDOWS \ system32 \ cfx32.ocx . ((((((((((((((((((((((((((((((((((((((( Drivers / שירותים )))))))) ))))))))))))))))))))))))))))))))))))))))) . ------- \ Legacy_NPF ((((((((((((((((((((((((( קבצים שנוצרו מ 2008-09-28 ל 2008-10-31 ))))))))))) )))))))))))))))))))) . 2008-10-31 20:45. 2008-10-31 20:45 <DIR> d -------- C: \ Documents and Settings \ VIP \ Application Data \ SUPERAntiSpyware.com 2008-10-31 20:45. 2008-10-31 20:45 <DIR> d -------- C: \ Documents and Settings \ VIP \ Application Data \ Malwarebytes 2008-10-31 20:33. 2008-10-31 20:33 <DIR> d -------- C: \ Program Files \ Tudou 2008-10-24 12:04. 2008/10/16 03:34 337408 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ Netapi32.dll 2008-10-15 20:43. 2008/09/15 23:12 1846400 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ win32k.sys 2008-10-15 20:43. 2008/09/08 21:41 333824 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ srv.sys 2008-10-15 20:42. 2008/08/14 21:11 2189184 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ ntoskrnl.exe 2008-10-15 20:42. 2008/08/14 21:09 2145280 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ ntkrnlmp.exe 2008-10-15 20:42. 2008/08/14 20:33 2066048 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ ntkrnlpa.exe 2008-10-15 20:42. 2008/08/14 20:33 2023936 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ ntkrpamp.exe 2008-09-18 19:05. 2008-10-31 20:52 <DIR> d -------- C: \ Program Files \ Avast4 . (((((((((((((((((((((((((((((((((((((((( Find3M דווח )))))))) )))))))))))))))))))))))))))))))))))))))))))) . 2008-10-31 22:38 --------- d ----- w C: \ Program Files \ Warcraft III 2008-10-31 22:30 --------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ Spybot - Search & תשמיד 2008-10-31 09:47 --------- d ----- w C: \ Program Files \ Malwarebytes' Anti-Malware 2008-10-31 09:32 --------- d --- AW-C: \ Documents and Settings \ All Users \ Application Data \ TEMP 2008/10/22 05:10 38,496 ---- AW-C: \ WINDOWS \ system32 \ drivers \ mbamswissarmy.sys 2008/10/22 05:10 15,504 ---- AW-C: \ WINDOWS \ system32 \ drivers \ mbam.sys 2008-10-09 06:46 --------- d ----- w C: \ Program Files \ PPStream 2008-10-09 03:31 --------- d ----- w C: \ Program Files \ SUPERAntiSpyware 2008-10-09 03:28 --------- d ----- w C: \ Program Files \ Spybot - Search & תשמיד 2008-09-18 08:42 --------- d ----- w C: \ Documents and Settings \ VIP \ Application Data \ קדימה 2008/09/08 10:41 333,824 ---- AW-C: \ WINDOWS \ system32 \ drivers \ srv.sys . רג טוען ((((((((((((((((((((((((((((((((((((( נקודות )))))))))) )))))))))))))))))))))))))))))))))))))))) . . * הערה * ריק ערכי & לגיטימי ערכי ברירת המחדל הם לא מוצגות REGEDIT4 [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ הפעלה] "Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ הפעלה] "NeroFilterCheck" = "C: \ WINDOWS \ system32 \ NeroCheck.e רכיבת" [2001-07-09 155648] "SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe" [2008-06-10 144784] "ATICCC" = "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" [2006-01-02 45056] [HKEY_USERS \. Default \ Software \ Microsoft \ Windows \ כלב rentVersion \ הפעלה] "Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2008-04-14 15360] C: \ Documents and Settings \ VIP \ תפריט התחלה \ תוכניות \ הפעלה \ ' "Ôîú ÓëÖμôû.lnk - C: \ Program Files \ Tudou \ U ÓëTudou \ TudouVa.exe [2008-07-06 3248128] [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ Policies \ System] "DisableChangePassword" = 1 (0x1) [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ Policies \ Explorer] "NoAutoUpdate" = 1 (0x1) "MaxRecentDocs" = 1 (0x1) [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ curr entversion \ Explorer \ ShellExecuteHooks] "(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2006-04-24 282624] "(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = "C: \ Program Files \ SUPERAntiSpyware \ SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon] "UIHost" = "C: \ \ WINDOWS \ \ system32 \ \ logonuiX.exe" [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ להודיע \! SASWinLogon] 2008/10/09 14:31 352256 C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.DLL [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ drivers32] "VIDC.I420" = i420vfw.dll "aux" = ctwdm32.dll "VIDC.HFYU" = huffyuv.dll "VIDC.X264" = x264vfw.dll "VIDC.3iv2" = 3ivxVfWCodec.dll "VIDC.VP31" = vp31vfw.dll "msacm.l3fhg" = mp3fhg.acm "msacm.ac3filter" = ac3filter.acm [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings ^ All Users ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ Adobe Reader Speed Launch.lnk] גיבוי = C: \ WINDOWS \ PSS \ Adobe Reader Speed Launch.lnkCommon הפעלה [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings ^ All Users ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ Adobe Reader Synchronizer.lnk] גיבוי = C: \ WINDOWS \ PSS \ Adobe Reader Synchronizer.lnkCommon הפעלה [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings ^ All Users ^ תפריט התחלה ^ תוכניות ^ ^-WinZip הפעלה מהירה Pick.lnk] גיבוי = C: \ WINDOWS \ PSS \ WinZip Pick.lnkCommon הפעלה מהירה [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ Azureus Turbo Accelerator.lnk] גיבוי = C: \ WINDOWS \ PSS \ Azureus Turbo Accelerator.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ Azureus Ultra Accelerator.lnk] גיבוי = C: \ WINDOWS \ PSS \ Azureus Ultra Accelerator.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ BitTorrent Turbo Accelerator.lnk] גיבוי = C: \ WINDOWS \ PSS \ BitTorrent Turbo Accelerator.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ eMule Turbo Accelerator.lnk] גיבוי = C: \ WINDOWS \ PSS \ eMule Turbo Accelerator.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ ב LimeWire Startup.lnk] גיבוי = C: \ WINDOWS \ PSS \ LimeWire ב Startup.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ LimeWire Turbo Accelerator.lnk] גיבוי = C: \ WINDOWS \ PSS \ LimeWire Turbo Accelerator.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ PowerReg מתזמן V3.exe] גיבוי = C: \ WINDOWS \ PSS \ PowerReg מתזמן V3.exeStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ הרשמה טום Clancy's Rainbow Six] גיבוי = C: \ WINDOWS \ PSS \ הרשמה טום Clancy's Rainbow SixStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ SpeedFan.lnk] גיבוי = C: \ WINDOWS \ PSS \ SpeedFan.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ Thoosje Sidebar.lnk] [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ WordWeb.lnk] גיבוי = C: \ WINDOWS \ PSS \ WordWeb.lnkStartup HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \! ממוצע נגד תוכנות ריגול HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ BitTorrent HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ בוס מפתח HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ CmCardRun HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ CursorXP HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ EasyTuneVPro HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ iTunesHelper HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ LogonStudio HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ OrderReminder HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ RecordPadRun HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ SpeedOptimizer HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ swg HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ Veoh [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ Adobe Downloader תמונה] - א ------ 2005/09/09 01:18 57344 C: \ Program Files \ Adobe \ Photoshop Elements 4.0 \ apdproxy.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ BgMonitor_ (79662E04-7C6C-4d9f-84C7-88D8A56B10AA)] - א ------ 2006/04/21 18:03 94208 C: \ Program Files \ Common Files \ קדימה \ Lib \ NMBgMonitor.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ DAEMON כלים] - 2005/12/11 01:57 א ------ 133016 C: \ Program Files \ DAEMON Tools \ daemon.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ LanguageShortcut] - א ------ 2006/04/13 12:09 49152 C: \ Program Files \ CyberLink \ PowerDVD \ Language \ Language.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ QuickTime Task] - 2008/03/29 00:37 א ------ 413696 C: \ Program Files \ K-Lite Codec Pack \ QuickTime \ QTTask.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ RemoteControl] - א ------ 2005/12/07 23:57 30208 C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ SpybotSD TeaTimer] -rahs ---- 2008/09/16 12:16 1833296 C: \ Program Files \ Spybot - Search & תשמיד \ TeaTimer.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ קיטור] - 2008/03/29 09:39 א ------ 1271032 C: \ valve \ אדים \ Steam.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ Uniblue RegistryBooster 2] - 2007/12/05 16:06 א ------ 1885464 C: \ Program Files \ Uniblue \ RegistryBooster 2 \ RegistryBooster.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ Uniblue SpeedUpMyPC] - 2008/01/29 09:46 א ------ 9442584 C: \ Program Files \ Uniblue \ SpeedUpMyPC 3 \ SpeedUpMyPC.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ WinampAgent] - א ------ 2008/04/02 05:49 36352 C: \ Program Files \ Winamp \ winampa.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ BluetoothAuthenticationA ג 'נטלמן] - 2008/04/14 06:42 א ------ 110592 C: \ WINDOWS \ system32 \ bthprops.cpl [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ C-Media מיקסר] - 2003/03/20 17:21 א ------ 1855488 C: \ WINDOWS \ mixer.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ Services] "WMPNetworkSvc" = 3 (0x3) "gusvc" = 3 (0x3) "RichVideo" = 2 (0x2) "BthServ" = 2 (0x2) "שירות iPod" = 3 (0x3) "Apple Mobile Device" = 2 (0x2) "שים לב שירות LiveUpdate" = 2 (0x2) "VideoAcceleratorEngine" = 3 (0x3) "MDM" = 2 (0x2) "IDriverT" = 3 (0x3) "aawservice" = 3 (0x3) "PDEngine" = 3 (0x3) "PDAgent" = 3 (0x3) "Pml מנהל התקן HPZ12" = 3 (0x3) "CPUCooLServer" = 2 (0x2) "usnjsvc" = 3 (0x3) "AdobeActiveFileMonitor4.0" = 2 (0x2) "WLSetupSvc" = 3 (0x3) "cmdAgent" = 2 (0x2) "FLEXnet שירות רישוי" = 3 (0x3) "שירות Bonjour" = 2 (0x2) "ose" = 3 (0x3) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ ניטור] "DisableMonitoring" = DWORD: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ ניטור \ SymantecAntiVirus] "DisableMonitoring" = DWORD: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ ניטור \ SymantecFirewall] "DisableMonitoring" = DWORD: 00000001 [HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ רשימה] "% windir% \ \ system32 \ \ sessmgr.exe" = "C: \ \ Program Files \ \ DAP \ \ DAP.exe" = "C: \ \ Program Files \ \ Messenger \ \ msmsgs.exe" = "<NO שם" = "C: \ \ Program Files \ \ PPStream \ \ PPStream.exe", "C: \ \ Program Files \ \ PPStream \ \ PPStream.exe "% windir% \ \ Network לאבחון \ \ xpnetdiag.exe" = "C: \ \ Program Files \ \ Windows Live \ \ Messenger \ \ msnmsgr.exe" = "C: \ \ Program Files \ \ Windows Live \ \ Messenger \ \ livecall.exe" = "C: \ \ Program Files \ \ UT2004 \ \ System \ \ UT2004.exe" = "C: \ \ Program Files \ \ DeusEx \ \ System \ \ DeusEx.exe" = "C: \ \ Program Files \ \ Tudou \ \ ÉËÙTudou \ \ TudouVa.exe" = [HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ רשימה] "3389: TCP" = 3389: TCP: *: Disabled: @ xpsp2res.dll, -22009 "15394: TCP" = 15394: TCP: *: Disabled: BitComet TCP 15394 "15394: UDP" = 15394: UDP: *: Disabled: BitComet 15394 UDP "6555: TCP" = 6555: TCP: *: Disabled: BitComet 6555 TCP "6555: UDP" = 6555: UDP: *: Disabled: BitComet 6555 UDP R1 aswSP; avast! הגנה עצמית; C: \ WINDOWS \ system32 \ drivers \ aswSP.sys [2008-07-20 78416] R1 atitray; atitray; C: \ Program Files \ ריי אדמס \ ATI טריי כלים \ atitray.sys [2007-05-22 18088] R2 aswFsBlk; aswFsBlk; C: \ WINDOWS \ system32 \ drivers \ aswF sBlk.sys [2008-07-20 20560] R2 ROCKEYNT; ROCKEYNT; C: \ WINDOWS \ system32 \ drivers \ רוק eynt.sys [2005-01-04 18223] R2 SBKUPNT; SBKUPNT; C: \ WINDOWS \ system32 \ drivers \ SBKUPN T. SYS [2001-07-13 14976] S3 motccgp; מוטורולה מורכבת מנהל התקן USB; C: \ WINDOWS \ system32 \ drivers \ motccgp.sys [2007-06-18 17920] S3 motccgpfl; MotCcgpFlService; C: \ WINDOWS \ system32 \ DRI VERS \ motccgpfl.sys [2007-01-22 7680] S3 MotDev; מוטורולה בע"מ התקן USB; C: \ WINDOWS \ system32 \ drivers \ motodrv.sys [2007-05-07 42112] S3 RTLWUSB; NETGEAR WG111v2 54Mbps Wireless USB 2.0 מתאם NT מנהל התקן; C: \ WINDOWS \ system32 \ drivers \ wg111v2.sys [2006-03-16 167808] S3 XDva042; XDva042; C: \ WINDOWS \ system32 \ XDva042.sys [] . התוכן של 'משימות מתוזמנות' תיקייה 2008-10-01 C: \ WINDOWS \ משימות \ AppleSoftwareUpdate.job - C: \ Program Files \ Apple Software Update \ SoftwareUpdate.exe [2007-08-29 14:57] 2008-10-27 C: \ WINDOWS \ משימות \ Uniblue SpeedUpMyPC Nag.job - C: \ Program Files \ Uniblue \ SpeedUpMyPC \ SpeedUpMyPC.exe [] 2007-05-14 C: \ WINDOWS \ משימות \ Uniblue SpeedUpMyPC.job - C: \ Program Files \ Uniblue \ SpeedUpMyPC \ SpeedUpMyPC.exe [] 2008-10-25 C: \ WINDOWS \ משימות \ Uniblue SpyEraser Nag.job - C: \ Program Files \ Uniblue \ SpyEraser \ SpyEraser.exe [] . - - - - יתומים הוסר - - - -- URLSearchHooks-(0A94B116-4504-4e26-AB05-E61E474AA38B) - (ללא קובץ) ShellIconOverlayIdentifiers-hex (2): 7b, 38,41,34,32,44,46,42,46,2 D, 37,38,36,38,2 d, 34,30,32,39,2 d, 39, 35,38, \ - (ללא קובץ) ShellExecuteHooks-(E0D8FD38-6F36-4C9F-AE43-EDFA2BB266BA) - (ללא קובץ) MSConfigStartUp-Pro חומת האש COMODO - C: \ Program Files \ COMODO \ חומת האש \ cfp.exe MSConfigStartUp-EzPrint - C: \ Program Files \ Lexmark 4300 Series \ ezprint.exe MSConfigStartUp-FaxCenterServer - C: \ Program Files \ Lexmark פקס פתרונות \ fm3032.exe MSConfigStartUp-TkBellExe - C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe MSConfigStartUp-Uniblue SpyEraser - C: \ Program Files \ Uniblue \ SpyEraser \ SpyEraser.exe . ------- משלים סריקה ------- . Firefox -: פרופיל - C: \ Documents and Settings \ VIP \ Application Data \ Mozilla \ Firefox \ Profiles \ 19piaa5b.default \ Firefox -: prefs.js - STARTUP.HOMEPAGE - hxxp: / / hk.yahoo.com / . . ------- שיוכי קבצים ------- . txtfile = C: \ WINDOWS \ NOTEPAD.EXE% 1 . ************************************************** ************************ catchme 0.3.1367 W2K/XP/Vista - rootkit / התגנבות תוכנות זדוניות על ידי גלאי Gmer, http://www.gmer.net Rootkit סריקה 2008-11-01 09:42:02 Windows 5.1.2600 Service Pack 3 ב-NTFS סריקת תהליכים נסתרים ... סריקה מוסתרת autostart ערכים ... סריקת קבצים מוסתרים ... הסריקה הסתיימה בהצלחה קבצים מוסתרים: 0 ************************************************** ************************ . ------------------------ אחר הפעלת תהליכי ----------------------- -- . C: \ WINDOWS \ system32 \ ati2evxx.exe C: \ Program Files \ Avast4 \ aswUpdSv.exe C: \ Program Files \ Avast4 \ ashServ.exe C: \ WINDOWS \ system32 \ ati2evxx.exe C: \ Program Files \ Common Files \ Epson \ EBAPI \ SAgent2.exe C: \ WINDOWS \ system32 \ searchindexer.exe C: \ Program Files \ Avast4 \ ashMaiSv.exe C: \ Program Files \ Avast4 \ ashWebSv.exe C: \ WINDOWS \ system32 \ imapi.exe . ************************************************** ************************ . זמן סיום: 2008-11-01 9:47:03 - מכונת היה rebooted ComboFix-quarantined-files.txt 2008-10-31 22:46:53 טרום הפעלה: 17.476.198.400 בתים בחינם אחרי הפעלה: 17.429.176.320 בתים בחינם WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe [boot loader] timeout = 2 ברירת המחדל = רב (0) disk (0) rdisk (0) partition (1) \ חלון S [מערכות הפעלה] C: \ cmdcons \ BOOTSECT.DAT = "Microsoft Windows Recovery Console" / cmdcons בערך multi (0) disk (0) rdisk (0) partition (1) \ WINDOWS = "Micro soft Windows XP Professional" / noexecute = OptIn / fastdetect 335 --- EOF --- 2008-10-24 09:01:23 __________________________________________________ _________________________________________________ ערוך: הייתי לחיצה סביב ומצאתי סמל שנראתה כמו להסיר את ההתקנה. אני לחצת והוא התחיל בהסרת ההתקנה (או לפחות אני מקווה שזה היה), כי זה היה מוזר בסמלים.
__________________
Hi:) |
|
#5
31 אוקטובר 2008, 18:39
|
|||
|
|||
|
אמא להוריד משהו
SuperAntiSpyware יומן. הייתי צריך לעשות סריקה מהירה, כי זה היה תמיד עם שגיאה כאשר עשיתי סריקה מלאה.
SUPERAntiSpyware Scan התחבר http://www.superantispyware.com נוצר 11/01/2008 בשעה 11:45 Application Version: 4.21.1004 Core Rules Database Version: 3618 עקבות כללים נתונים גירסה: 1603 סוג סריקה: סריקה מהירה סה"כ סרוק שעה: 00:35:28 זיכרון סריקת פריטים: 490 זיכרון האיומים שזוהו: 0 הרישום סריקת פריטים: 436 הרישום זוהה איומים: 0 סריקת קבצים פריטים: 33788 קובץ האיומים שזוהו: 2 Trojan.Vundo-variant / F C: \ WINDOWS \ SYSTEM32 \ AZIPCONTMN.DLL C: \ WINDOWS \ SYSTEM32 \ SYSFOLDERAZIPCNT.DLL
__________________
Hi:) |
|
#6
1 נובמבר 2008, 10:16
|
|||
|
|||
|
אמא להוריד משהו
היי שוב
אנא אל תלחץ על שום דבר או להפעיל יותר סריקות, אלא אם כן אני מייעץ לך כל כך. זה פשוט עושה דברים מבלבלים לי - אני רואה ערך אחד יומן אבל נעלם מן הבא וכן הלאה - תודה. אני חושד שזה הבעיה C: \ Program Files \ Tudou אמא שלך, אלא אם כן הוא מעריץ של הגירסה הסינית של YouTube.  אני רוצה לראות את שני אלה הקבצים למצוא SAS. לך ל: VirusTotal
C: \ WINDOWS \ SYSTEM32 \ SYSFOLDERAZIPCNT.DLL Combofix
קוד:
תיקייה:: C: \ Program Files \ Tudou  שמור את זה בתור CFScript.txt, באותו מיקום כפי ComboFix.exe  ההפניה לתמונה לעיל, גרור CFScript על גבי ComboFix.exe. כאשר סיים, הוא יהיה להפיק יומן לך "C: \ ComboFix.txt" אל mouseclick combofix של חלון בעוד היא רצה. דבר זה עלול לגרום בו כדי להתחמק. זהירות! עוד מישהו חושב באמצעות סקריפט לעיל עושה זאת על אחריותם - בסופו של דבר, ייתכן שתצטרך להתקין מחדש את Windows! נא לכתוב ביומן C: \ ComboFix.txt , את התוצאות ואת VirusTotal טרי HijackThis התחבר להמשך בדיקה. |
|
#7
1 נובמבר 2008, 16:53
|
|||
|
|||
|
אמא להוריד משהו
כן אמא שלי שעונים קצת סינית Videos ... לא הצלחתי למצוא את הקבצים בעת הגלישה ב-VirusTotal. גם אני הלכתי אותם Explorer, ולא יכולתי למצוא את שניהם. יש את יומני:
ComboFix: ComboFix 08-11-01.01 - VIP 2008-11-02 10:36:20.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.865 [11:00 GMT] הפעלת מ: C: \ Documents and Settings \ VIP \ שולחן עבודה \ ComboFix.exe פיקוד בבוררי שנוצלו:: C: \ Documents and Settings \ VIP \ שולחן עבודה \ CFScript.txt * נוצרה נקודת שחזור חדשה . ((((((((((((((((((((((((((((((((((((((( אחר Deletions ))))))))) )))))))))))))))))))))))))))))))))))))))) . C: \ Program Files \ Tudou . ((((((((((((((((((((((((( קבצים שנוצרו מ 2008-10-01 ל 2008-11-01 ))))))))))) )))))))))))))))))))) . 2008-11-01 09:55. 2008-11-01 09:55 <DIR> d -------- C: \ Documents and Settings \ VIP \ Application Data \ Uniblue 2008-10-31 20:45. 2008-10-31 20:45 <DIR> d -------- C: \ Documents and Settings \ VIP \ Application Data \ SUPERAntiSpyware.com 2008-10-31 20:45. 2008-10-31 20:45 <DIR> d -------- C: \ Documents and Settings \ VIP \ Application Data \ Malwarebytes 2008-10-24 12:04. 2008/10/16 03:34 337408 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ Netapi32.dll 2008-10-15 20:43. 2008/09/15 23:12 1846400 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ win32k.sys 2008-10-15 20:43. 2008/09/08 21:41 333824 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ srv.sys 2008-10-15 20:42. 2008/08/14 21:11 2189184 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ ntoskrnl.exe 2008-10-15 20:42. 2008/08/14 21:09 2145280 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ ntkrnlmp.exe 2008-10-15 20:42. 2008/08/14 20:33 2066048 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ ntkrnlpa.exe 2008-10-15 20:42. 2008/08/14 20:33 2023936 ----- C --- C: \ WINDOWS \ system32 \ dllcache \ ntkrpamp.exe . (((((((((((((((((((((((((((((((((((((((( Find3M דווח )))))))) )))))))))))))))))))))))))))))))))))))))))))) . 2008-10-31 22:38 --------- d ----- w C: \ Program Files \ Warcraft III 2008-10-31 22:30 --------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ Spybot - Search & תשמיד 2008-10-31 09:52 --------- d ----- w C: \ Program Files \ Avast4 2008-10-31 09:47 --------- d ----- w C: \ Program Files \ Malwarebytes' Anti-Malware 2008-10-31 09:32 --------- d --- AW-C: \ Documents and Settings \ All Users \ Application Data \ TEMP 2008/10/22 05:10 38,496 ---- AW-C: \ WINDOWS \ system32 \ drivers \ mbamswissarmy.sys 2008/10/22 05:10 15,504 ---- AW-C: \ WINDOWS \ system32 \ drivers \ mbam.sys 2008-10-09 06:46 --------- d ----- w C: \ Program Files \ PPStream 2008-10-09 03:31 --------- d ----- w C: \ Program Files \ SUPERAntiSpyware 2008-10-09 03:28 --------- d ----- w C: \ Program Files \ Spybot - Search & תשמיד 2008-09-18 08:42 --------- d ----- w C: \ Documents and Settings \ VIP \ Application Data \ קדימה 2008/09/15 12:12 1,846,400 ---- AW-C: \ WINDOWS \ system32 \ win32k.sys 2008/09/08 10:41 333,824 ---- AW-C: \ WINDOWS \ system32 \ drivers \ srv.sys 2008/08/28 07:46 74,752 ---- AW-C: \ WINDOWS \ system32 \ msw3prt.dll 2008/08/28 07:46 104,960 ---- AW-C: \ WINDOWS \ system32 \ win32spl.dll 2008/08/26 07:24 826,368 ---- AW-C: \ WINDOWS \ system32 \ Wininet.dll 2008/08/14 10:11 2,189,184 ---- AW-C: \ WINDOWS \ system32 \ ntoskrnl.exe 2008/08/14 09:33 2,066,048 ---- AW-C: \ WINDOWS \ system32 \ ntkrnlpa.exe 2008/07/29 12:05 32,768 - sha-w C: \ WINDOWS \ system32 \ Config \ systemprofile \ Local Settings \ היסטוריה \ History.IE5 \ MSHist012008072920080 730 \ Index.dat . בעין המצלמה ((((((((((((((((((((((((((((( @ 2008-11-01_ 9.46.14.14 ))))))))))) )))))))))))))))))))))))))))))) . - 2008/10/31 22:41:26 16,384 ---- atw C: \ WINDOWS \ Temp \ Perflib_Perfdata_570.dat + 2008-11-01 23:26:02 16.384 ---- atw C: \ WINDOWS \ Temp \ Perflib_Perfdata_570.dat . רג טוען ((((((((((((((((((((((((((((((((((((( נקודות )))))))))) )))))))))))))))))))))))))))))))))))))))) . . * הערה * ריק ערכי & לגיטימי ערכי ברירת המחדל הם לא מוצגות REGEDIT4 [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ הפעלה] "Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ הפעלה] "NeroFilterCheck" = "C: \ WINDOWS \ system32 \ NeroCheck.e רכיבת" [2001-07-09 155648] "SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe" [2008-06-10 144784] "ATICCC" = "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" [2006-01-02 45056] "avast" = "C: \ Program Files \ Avast4 \ ashDisp.exe" [2008-07-20 78008] [HKEY_USERS \. Default \ Software \ Microsoft \ Windows \ כלב rentVersion \ הפעלה] "Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2008-04-14 15360] [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ Policies \ System] "DisableChangePassword" = 1 (0x1) [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ Policies \ Explorer] "NoAutoUpdate" = 1 (0x1) "MaxRecentDocs" = 1 (0x1) [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ curr entversion \ Explorer \ ShellExecuteHooks] "(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2006-04-24 282624] "(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = "C: \ Program Files \ SUPERAntiSpyware \ SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon] "UIHost" = "C: \ \ WINDOWS \ \ system32 \ \ logonuiX.exe" [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ להודיע \! SASWinLogon] 2008/10/09 14:31 352256 C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.DLL [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ drivers32] "VIDC.I420" = i420vfw.dll "aux" = ctwdm32.dll "VIDC.HFYU" = huffyuv.dll "VIDC.X264" = x264vfw.dll "VIDC.3iv2" = 3ivxVfWCodec.dll "VIDC.VP31" = vp31vfw.dll "msacm.l3fhg" = mp3fhg.acm "msacm.ac3filter" = ac3filter.acm [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings ^ All Users ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ Adobe Reader Speed Launch.lnk] גיבוי = C: \ WINDOWS \ PSS \ Adobe Reader Speed Launch.lnkCommon הפעלה [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings ^ All Users ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ Adobe Reader Synchronizer.lnk] גיבוי = C: \ WINDOWS \ PSS \ Adobe Reader Synchronizer.lnkCommon הפעלה [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings ^ All Users ^ תפריט התחלה ^ תוכניות ^ ^-WinZip הפעלה מהירה Pick.lnk] גיבוי = C: \ WINDOWS \ PSS \ WinZip Pick.lnkCommon הפעלה מהירה [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ Azureus Turbo Accelerator.lnk] גיבוי = C: \ WINDOWS \ PSS \ Azureus Turbo Accelerator.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ Azureus Ultra Accelerator.lnk] גיבוי = C: \ WINDOWS \ PSS \ Azureus Ultra Accelerator.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ BitTorrent Turbo Accelerator.lnk] גיבוי = C: \ WINDOWS \ PSS \ BitTorrent Turbo Accelerator.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ eMule Turbo Accelerator.lnk] גיבוי = C: \ WINDOWS \ PSS \ eMule Turbo Accelerator.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ ב LimeWire Startup.lnk] גיבוי = C: \ WINDOWS \ PSS \ LimeWire ב Startup.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ LimeWire Turbo Accelerator.lnk] גיבוי = C: \ WINDOWS \ PSS \ LimeWire Turbo Accelerator.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ PowerReg מתזמן V3.exe] גיבוי = C: \ WINDOWS \ PSS \ PowerReg מתזמן V3.exeStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ הרשמה טום Clancy's Rainbow Six] גיבוי = C: \ WINDOWS \ PSS \ הרשמה טום Clancy's Rainbow SixStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ SpeedFan.lnk] גיבוי = C: \ WINDOWS \ PSS \ SpeedFan.lnkStartup [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ Thoosje Sidebar.lnk] [HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings קווין ^ ^ תפריט התחלה ^ תוכניות ^ הפעלה ^ WordWeb.lnk] גיבוי = C: \ WINDOWS \ PSS \ WordWeb.lnkStartup HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \! ממוצע נגד תוכנות ריגול HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ BitTorrent HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ בוס מפתח HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ CmCardRun HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ CursorXP HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ EasyTuneVPro HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ iTunesHelper HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ LogonStudio HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ OrderReminder HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ RecordPadRun HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ SpeedOptimizer HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ swg HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ Veoh [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ Adobe Downloader תמונה] - א ------ 2005/09/09 01:18 57344 C: \ Program Files \ Adobe \ Photoshop Elements 4.0 \ apdproxy.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ BgMonitor_ (79662E04-7C6C-4d9f-84C7-88D8A56B10AA)] - א ------ 2006/04/21 18:03 94208 C: \ Program Files \ Common Files \ קדימה \ Lib \ NMBgMonitor.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ DAEMON כלים] - 2005/12/11 01:57 א ------ 133016 C: \ Program Files \ DAEMON Tools \ daemon.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ LanguageShortcut] - א ------ 2006/04/13 12:09 49152 C: \ Program Files \ CyberLink \ PowerDVD \ Language \ Language.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ QuickTime Task] - 2008/03/29 00:37 א ------ 413696 C: \ Program Files \ K-Lite Codec Pack \ QuickTime \ QTTask.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ RemoteControl] - א ------ 2005/12/07 23:57 30208 C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ SpybotSD TeaTimer] -rahs ---- 2008/09/16 12:16 1833296 C: \ Program Files \ Spybot - Search & תשמיד \ TeaTimer.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ קיטור] - 2008/03/29 09:39 א ------ 1271032 C: \ valve \ אדים \ Steam.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ Uniblue RegistryBooster 2] - 2007/12/05 16:06 א ------ 1885464 C: \ Program Files \ Uniblue \ RegistryBooster 2 \ RegistryBooster.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ Uniblue SpeedUpMyPC] - 2008/01/29 09:46 א ------ 9442584 C: \ Program Files \ Uniblue \ SpeedUpMyPC 3 \ SpeedUpMyPC.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ WinampAgent] - א ------ 2008/04/02 05:49 36352 C: \ Program Files \ Winamp \ winampa.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ BluetoothAuthenticationA ג 'נטלמן] - 2008/04/14 06:42 א ------ 110592 C: \ WINDOWS \ system32 \ bthprops.cpl [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ startupreg \ C-Media מיקסר] - 2003/03/20 17:21 א ------ 1855488 C: \ WINDOWS \ mixer.exe [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ כלים משותפים \ msconfig \ Services] "WMPNetworkSvc" = 3 (0x3) "gusvc" = 3 (0x3) "RichVideo" = 2 (0x2) "BthServ" = 2 (0x2) "שירות iPod" = 3 (0x3) "Apple Mobile Device" = 2 (0x2) "שים לב שירות LiveUpdate" = 2 (0x2) "VideoAcceleratorEngine" = 3 (0x3) "MDM" = 2 (0x2) "IDriverT" = 3 (0x3) "aawservice" = 3 (0x3) "PDEngine" = 3 (0x3) "PDAgent" = 3 (0x3) "Pml מנהל התקן HPZ12" = 3 (0x3) "CPUCooLServer" = 2 (0x2) "usnjsvc" = 3 (0x3) "AdobeActiveFileMonitor4.0" = 2 (0x2) "WLSetupSvc" = 3 (0x3) "cmdAgent" = 2 (0x2) "FLEXnet שירות רישוי" = 3 (0x3) "שירות Bonjour" = 2 (0x2) "ose" = 3 (0x3) [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ ניטור] "DisableMonitoring" = DWORD: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ ניטור \ SymantecAntiVirus] "DisableMonitoring" = DWORD: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ ניטור \ SymantecFirewall] "DisableMonitoring" = DWORD: 00000001 [HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ רשימה] "% windir% \ \ system32 \ \ sessmgr.exe" = "C: \ \ Program Files \ \ DAP \ \ DAP.exe" = "C: \ \ Program Files \ \ Messenger \ \ msmsgs.exe" = "<NO שם" = "C: \ \ Program Files \ \ PPStream \ \ PPStream.exe", "C: \ \ Program Files \ \ PPStream \ \ PPStream.exe "% windir% \ \ Network לאבחון \ \ xpnetdiag.exe" = "C: \ \ Program Files \ \ Windows Live \ \ Messenger \ \ msnmsgr.exe" = "C: \ \ Program Files \ \ Windows Live \ \ Messenger \ \ livecall.exe" = "C: \ \ Program Files \ \ UT2004 \ \ System \ \ UT2004.exe" = "C: \ \ Program Files \ \ DeusEx \ \ System \ \ DeusEx.exe" = [HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ רשימה] "3389: TCP" = 3389: TCP: *: Disabled: @ xpsp2res.dll, -22009 "15394: TCP" = 15394: TCP: *: Disabled: BitComet TCP 15394 "15394: UDP" = 15394: UDP: *: Disabled: BitComet 15394 UDP "6555: TCP" = 6555: TCP: *: Disabled: BitComet 6555 TCP "6555: UDP" = 6555: UDP: *: Disabled: BitComet 6555 UDP R1 aswSP; avast! הגנה עצמית; C: \ WINDOWS \ system32 \ drivers \ aswSP.sys [2008-07-20 78416] R1 atitray; atitray; C: \ Program Files \ ריי אדמס \ ATI טריי כלים \ atitray.sys [2007-05-22 18088] R2 aswFsBlk; aswFsBlk; C: \ WINDOWS \ system32 \ drivers \ aswF sBlk.sys [2008-07-20 20560] R2 ROCKEYNT; ROCKEYNT; C: \ WINDOWS \ system32 \ drivers \ רוק eynt.sys [2005-01-04 18223] R2 SBKUPNT; SBKUPNT; C: \ WINDOWS \ system32 \ drivers \ SBKUPN T. SYS [2001-07-13 14976] S3 motccgp; מוטורולה מורכבת מנהל התקן USB; C: \ WINDOWS \ system32 \ drivers \ motccgp.sys [2007-06-18 17920] S3 motccgpfl; MotCcgpFlService; C: \ WINDOWS \ system32 \ DRI VERS \ motccgpfl.sys [2007-01-22 7680] S3 MotDev; מוטורולה בע"מ התקן USB; C: \ WINDOWS \ system32 \ drivers \ motodrv.sys [2007-05-07 42112] S3 RTLWUSB; NETGEAR WG111v2 54Mbps Wireless USB 2.0 מתאם NT מנהל התקן; C: \ WINDOWS \ system32 \ drivers \ wg111v2.sys [2006-03-16 167808] S3 XDva042; XDva042; C: \ WINDOWS \ system32 \ XDva042.sys [] . התוכן של 'משימות מתוזמנות' תיקייה 2008-10-01 C: \ WINDOWS \ משימות \ AppleSoftwareUpdate.job - C: \ Program Files \ Apple Software Update \ SoftwareUpdate.exe [2007-08-29 14:57] 2008-10-27 C: \ WINDOWS \ משימות \ Uniblue SpeedUpMyPC Nag.job - C: \ Program Files \ Uniblue \ SpeedUpMyPC \ SpeedUpMyPC.exe [] 2007-05-14 C: \ WINDOWS \ משימות \ Uniblue SpeedUpMyPC.job - C: \ Program Files \ Uniblue \ SpeedUpMyPC \ SpeedUpMyPC.exe [] 2008-10-25 C: \ WINDOWS \ משימות \ Uniblue SpyEraser Nag.job - C: \ Program Files \ Uniblue \ SpyEraser \ SpyEraser.exe [] . ************************************************** ************************ catchme 0.3.1367 W2K/XP/Vista - rootkit / התגנבות תוכנות זדוניות על ידי גלאי Gmer, http://www.gmer.net Rootkit סריקה 2008-11-02 10:39:31 Windows 5.1.2600 Service Pack 3 ב-NTFS סריקת תהליכים נסתרים ... סריקה מוסתרת autostart ערכים ... סריקת קבצים מוסתרים ... הסריקה הסתיימה בהצלחה קבצים מוסתרים: 0 ************************************************** ************************ . זמן סיום: 2008-11-02 10:41:44 ComboFix-quarantined-files.txt 2008-11-01 23:41:32 ComboFix2.txt 2008-10-31 22:47:05 טרום הפעלה: 17.222.828.032 בתים בחינם אחרי הפעלה: 17.200.967.680 בתים בחינם 233 --- EOF --- 2008-10-24 09:01:23 __________________________________________________ _________________________ HijackThis: Logfile of Trend Micro HijackThis v2.0.2 סרוק שנשמר בשעה 10:50:19 בבוקר ב 2/11/2008 פלטפורמה: Windows XP SP3 (Winnt 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) אתחול במצב: בדרך כלל הפעלת תהליכים: C: \ Windows \ System32 \ smss.exe C: \ WINDOWS \ system32 \ Winlogon.exe C: \ WINDOWS \ system32 \ services.exe C: \ WINDOWS \ system32 \ lsass.exe C: \ WINDOWS \ system32 \ Ati2evxx.exe C: \ WINDOWS \ system32 \ היישום Svchost.exe C: \ Windows \ System32 \ היישום Svchost.exe C: \ Program Files \ Avast4 \ aswUpdSv.exe C: \ Program Files \ Avast4 \ ashServ.exe C: \ WINDOWS \ system32 \ spoolsv.exe C: \ Program Files \ Common Files \ Epson \ EBAPI \ SAgent2.exe C: \ WINDOWS \ system32 \ היישום Svchost.exe C: \ WINDOWS \ system32 \ SearchIndexer.exe C: \ Program Files \ Avast4 \ ashMaiSv.exe C: \ Program Files \ Avast4 \ ashWebSv.exe C: \ WINDOWS \ system32 \ Ati2evxx.exe C: \ WINDOWS \ system32 \ Ctfmon.exe C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe C: \ Program Files \ Avast4 \ ashDisp.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe C: \ WINDOWS \ Explorer.exe C: \ Program Files \ Spybot - Search & תשמיד \ TeaTimer.exe C: \ Documents and Settings \ VIP \ שולחן עבודה \ HiJackThis.exe R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ ראשי, דף הפתיחה = http://www.yahoo.com.hk/ R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ ראשי, דף חיפוש = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ ראשי, דף הפתיחה = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ int ernet הגדרות, ProxyOverride = מקומית O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O2 - BHO: RealPlayer הורד ולהקליט Plugin ל-Internet Explorer - (3049C3E9-B461-4BC5-8870-4C09146192CA) - C: \ Program Files \ Real \ RealPlayer \ rpbrowserrecordplugin.dll O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ progra ~ 1 \ SPYBOT ~ 1 \ SDHelper.dll O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O2 - BHO: (ללא שם) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (ללא קובץ) O2 - BHO: Windows Live הירשם ל-עוזר - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ WINDOWS \ system32 \ NeroCheck.exe O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe" O4 - HKLM \ .. \ Run: [ATICCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" Runtime עיכוב O4 - HKLM \ .. \ Run: [avast] C: \ Program Files \ Avast4 \ ashDisp.exe O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe O4 - HKUS \ S-1-5-19 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'LOCAL SERVICE') O4 - HKUS \ S-1-5-20 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (משתמש 'שירות רשת') O4 - HKUS \ S-1-5-18 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'SYSTEM') O4 - HKUS \. ברירת המחדל \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'Default user') O8 - Extra context בתפריט: & נקה עקבות - C: \ Program Files \ DAP \ Privacy Package \ dapcleanerie.htm O8 - Extra context בתפריט: & הורד עם & DAP - C: \ Program Files \ DAP \ dapextie.htm O8 - Extra context בתפריט: הורד את כל עם & DAP - C: \ Program Files \ DAP \ dapextie2.htm O8 - Extra context בתפריט: E & xport ל-Microsoft Excel - res: / / c: \ progra ~ 1 \ מיקרו ~ 2 \ OFFICE11 \ EXCEL.EXE/3000 O9 - Extra כפתור: (ללא שם) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O9 - Extra כפתור: מחקר - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ progra ~ 1 \ מיקרו ~ 2 \ OFFICE11 \ REFIEBAR.DLL O9 - Extra כפתור: QQ - (c95fe080-8f5d-11d2-a20b-00aa003c157b) - C: \ WINDOWS \ system32 \ shdocvw.dll O9 - Extra 'Tools' menuitem:?? QQ - (c95fe080-8f5d-11d2-a20b-00aa003c157b) - C: \ WINDOWS \ system32 \ shdocvw.dll O9 - Extra כפתור: (ללא שם) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ progra ~ 1 \ SPYBOT ~ 1 \ SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & תשמיד תצורת - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ progra ~ 1 \ SPYBOT ~ 1 \ SDHelper.dll O9 - Extra כפתור: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O16 - DPF: (17492023-C23A-453E-A040-C7C580BBF700) (Windows Genuine Advantage כלי אימות) -- http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: (4F1E5B1A-2A80-42CA-8532-2D05CB959537) -- http://by107fd.bay107.hotmail.msn.co...s/MsnPUpld.cab O16 - DPF: (5D6F45B3-9043-443D-A792-115447494D24) -- http://messenger.zone.msn.com/EN-AU/.../GAME_UNO1.cab O16 - DPF: (6E32070A-766D-4EE6-879C-DC1FA91D2FC3) (MUWebControl class) -- http://update.microsoft.com/microsof...?1133040258574 O16 - DPF: (8E0D4DE5-3180-4024-A327-4DFAD1796A8D) -- http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: (C3F79A2B-B9B4-4A66-B012-3EE46475B072) -- http://messenger.zone.msn.com/binary...t.cab56907.cab O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.DLL O23 - Service: Ad-מודעת 2007 Service (aawservice) - Lavasoft AB - C: \ Program Files \ Lavasoft \ מודעות מודעת-2007 \ aawservice.exe O23 - Service: avast! iAVS4 בקרת השירות (aswUpdSv) - ALWIL תוכנה - C: \ Program Files \ Avast4 \ aswUpdSv.exe O23 - Service: ATI HotKey Poller - ATI Technologies, Inc - C: \ WINDOWS \ system32 \ Ati2evxx.exe O23 - Service: ATI Smart - לא ידוע בעל - C: \ WINDOWS \ system32 \ ati2sgag.exe O23 - Service: avast! אנטי - ALWIL תוכנה - C: \ Program Files \ Avast4 \ ashServ.exe O23 - Service: avast! דואר הסורק - ALWIL תוכנה - C: \ Program Files \ Avast4 \ ashMaiSv.exe O23 - Service: avast! סורק אינטרנט - תוכנה ALWIL - C: \ Program Files \ Avast4 \ ashWebSv.exe O23 - Service: מדפסת Epson מצב Agent2 (EPSONStatusAgent2) - SEIKO Epson CORPORATION - C: \ Program Files \ Common Files \ Epson \ EBAPI \ SAgent2.exe -- סוף הקובץ - 6734 בייטים
__________________
Hi:) |
|
#8
2 נובמבר 2008, 05:29
|
|||
|
|||
|
אמא להוריד משהו
הי
אלה היו שני קבצים לא נמצא על ידי combofix, אז אני לא ממש מצפה מהם להיות שם. איך הוא מפעיל את המערכת עכשיו? הבה להפעיל סריקה מקוונת. ביצוע סריקה מקוונת עם Panda ActiveScan
|
|
#9
3 נובמבר 2008, 03:07
|
|||
|
|||
|
אמא להוריד משהו
ציטוט:
__________________
Hi:) |
|
#10
5 נובמבר 2008, 07:45
|
|||
|
|||
|
אמא להוריד משהו
היי שוב
Apologies for לא מקבל בחזרה אליך מוקדם יותר - החיים האמיתיים, אלא הוא עסוק ברגע זה. איך הוא מפעיל את המערכת עכשיו? רק הפריט PowerRegScheduler - אתה יכול להסיר אותה, אם תרצה בכך. |
