הסרת וירוסים iexplore.exe / לחטוף יומן

**xalice15x** · #1 10 נובמבר 2008, 18:14

היי חבר 'ה,
הממ. בכל פעם שאני מפעיל את המחשב שלי, iexplore.exe (באבוס המשימות) מגיע בכוחות עצמו. אני אף פעם לא להשתמש ב-Internet Explorer, I use Firefox. אבל זה עולה על שלה. זה גם שימוש ביותר של הזיכרון שלי. אני גם מקבל חלונות קופצים מיליארד אשר אני מוכן להמר על זה הם מ. בכל פעם שאני בסופו של תהליך זה בא לגבות 3 או 4 פעמים, ואז זה בדרך כלל נעלמת לאחר זמן לסיים את זה אני 5. אבל זה רק סביב 5min מכן גבו שוב. האם מישהו יודע Whats going on? אני מפעיל סריקות עם Ad-aware, נורטון, וכו ', אבל הם לא מצאו שום דבר.
מידע נוסף:
יש לי חלון של XP
& & כמו כן יש המתפתים fcoming מן המודעות. ניסיתי הכל. תודה מראש ^ __ ^

אני די חדש בזה. אז ERM. מישהו יכול להגיד לי איך להסיר אותו? בדרך פשוטה-ish? P =

Logfile of HijackThis v1.99.1
סרוק הציל בשעה 6:14:25, ב 11/10/2008
פלטפורמה: Windows XP SP3 (Winnt 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

הפעלת תהליכים:
C: \ Windows \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ Windows \ System32 \ Ati2evxx.exe
C: \ WINDOWS \ system32 \ היישום Svchost.exe
C: \ Windows \ System32 \ היישום Svchost.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
C: \ WINDOWS \ explorer.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ WINDOWS \ ehome \ ehtray.exe
C: \ Windows \ System \ hpsysdrv.exe
C: \ Program Files \ HP \ Digital Imaging \ לפרוק \ hpqcmon.exe
C: \ Windows \ System32 \ hphmon05.exe
C: \ HP \ KBD \ KBD.EXE
C: \ WINDOWS \ LTMSG.exe
C: \ Program Files \ מולטימדיה כרטיס קורא \ shwicon2k.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe
C: \ progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe
C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe
C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe
C: \ WINDOWS \ ALCXMNTR.EXE
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Program Files \ HP \ Digital Imaging \ bin \ hpqtra08.exe
C: \ Program Files \ עדכונים מאתר HP \ 137903 \ תוכנית \ BackWeb-137903.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Photodex \ ProShowGold \ ScsiAccess.exe
C: \ Windows \ System32 \ היישום Svchost.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ WINDOWS \ system32 \ 0LFlxR4x.exe
C: \ Program Files \ Lavasoft \ Ad-Aware SE Professional \ Ad-Aware.exe
C: \ Program ~ 1 \ WinZip \ winzip32.exe
C: \ DOCUME ~ 1 \ ADMINI ~ 1 \ LOCALS ~ 1 \ Temp \ HijackThis.exe

R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://srch-us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, חיפוש בר = http://srch-us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ ראשי, דף חיפוש = http://srch-us10.hpwis.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, חיפוש בר = http://srch-us10.hpwis.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ ראשי, דף חיפוש = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ ראשי, דף הפתיחה = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ אשף החיבור לאינטרנט, ShellNext = http://us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ int ernet הגדרות, ProxyOverride = localhost
O2 - BHO: (ללא שם) - (02478D38-C3F9-4efb-9B51-7695ECA05670) - (ללא קובץ)
O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll
- O2 BHO: (no name) - (3615EE58-6F38-47BA-9DD9-C99BD611C6A6) - C: \ WINDOWS \ system32 \ efcdbxx.dll (קובץ חסר)
O2 - BHO: (ללא שם) - (4715C8BC-0204-06D4-0A62-2E00BBB78BBD) - C: \ WINDOWS \ system32 \ izf.dll (קובץ חסר)
O2 - BHO: Groove GFS Browser Helper - (72853161-30C5-4D22-B7F9-0BBC1D38A37E) - C: \ progra ~ 1 \ MI1933 ~ 1 \ Office12 \ GRA8E1 ~ 1.DLL
O2 - BHO: (ללא שם) - (843B515A-BBC4-4AF2-916D-69E9F7DD8F9D) - C: \ WINDOWS \ system32 \ vtsqo.dll (קובץ חסר)
O2 - BHO: (684a8728-dd11-3ef9-b3e4-ea3410654e7c) - (c7e45601-43ae-4e3b-9fe3-11dd8278a486) - C: \ WINDOWS \ system32 \ ikwijhuy.dll (קובץ חסר)
O3 - Toolbar: HP הצג - (B2847E28-5D7D-4DEB-8B67-05D28BCF79F5) - C: \ Program Files \ HP \ Digital Imaging \ bin \ hpdtlk02.dll
O4 - HKLM \ .. \ Run: [ehTray] C: \ WINDOWS \ ehome \ ehtray.exe
O4 - HKLM \ .. \ Run: [hpsysdrv] C: \ Windows \ System \ hpsysdrv.exe
O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ Windows \ System32 \ hkcmd.exe
O4 - HKLM \ .. \ Run: [CamMonitor] C: \ Program Files \ HP \ Digital Imaging \ לפרוק \ hpqcmon.exe
O4 - HKLM \ .. \ Run: [HPHUPD05] C: \ Program Files \ HP \ (45B6180B-DCAB-4093-8EE8-6164457517F0) \ hphupd05.exe
O4 - HKLM \ .. \ Run: [HPHmon05] C: \ Windows \ System32 \ hphmon05.exe
O4 - HKLM \ .. \ Run: [KBD] C: \ HP \ KBD \ KBD.EXE
O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe"-osboot
O4 - HKLM \ .. \ Run: [AutoTKit] C: \ Hp \ bin \ AUTOTKIT.EXE
O4 - HKLM \ .. \ Run: [Recguard] C: \ WINDOWS \ SMINST \ RECGUARD.EXE
O4 - HKLM \ .. \ Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM \ .. \ Run: [LTMSG] LTMSG.exe 7
O4 - HKLM \ .. \ Run: [PS2] C: \ WINDOWS \ system32 \ ps2.exe
O4 - HKLM \ .. \ Run: [Sunkist2k] C: \ Program Files \ מולטימדיה כרטיס קורא \ shwicon2k.exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - HKLM \ .. \ Run: [vptray] C: \ progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Run: [RemoteControl] "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe"
O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ WINDOWS \ system32 \ NeroCheck.exe
O4 - HKLM \ .. \ Run: [GrooveMonitor] "C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe"
O4 - HKLM \ .. \ Run: [Adobe Reader Speed משגר] "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe"
O4 - HKLM \ .. \ Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Program Files \ Common Files \ קולי \ Update Manager \ sgtray.exe" / R
O4 - HKLM \ .. \ Run: [ATIPTA] C: \ Program Files \ ATI Technologies \ ATI Control Panel \ atiptaxx.exe
O4 - HKLM \ .. \ Run: [Index Washer] C: \ Program Files \ Webroot \ Washer \ WashIdx.exe "מנהל"
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [swg] C: \ Program Files \ Google \ GoogleToolbarNotifier \ 1.2.1128.5462 \ G oogleToolbarNotifier.exe
O4 - HKCU \ .. \ Run: [חלון מכבס] C: \ Program Files \ Webroot \ מכונת כביסה \ wwDisp.exe
O4 - HKLM \ .. \ Run: [Index Washer] C: \ Program Files \ Webroot \ Washer \ WashIdx.exe "מנהל"
O4 - Global Startup: Adobe Gamma Loader.lnk = C: \ Program Files \ Common Files \ Adobe \ כיול \ Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C: \ Program Files \ HP \ Digital Imaging \ bin \ hpqtra08.exe
O4 - Global Startup: לזרז מתוזמנות Updates.lnk = C: \ Program Files \ להחיות \ bagent.exe
O4 - Global Startup: עדכונים מאתר HP.lnk = C: \ Program Files \ עדכונים מאת HP \ 137903 \ תוכנית \ BackWeb-137903.exe
O8 - Extra context בתפריט: E & xport ל-Microsoft Excel - res: / / c: \ progra ~ 1 \ MI1933 ~ 1 \ Office12 \ EXCEL.EXE/3000
O9 - Extra כפתור: שלח אל OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ progra ~ 1 \ MI1933 ~ 1 \ Office12 \ ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S & סוף ל-OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ progra ~ 1 \ MI1933 ~ 1 \ Office12 \ ONBttnIE.dll
O9 - Extra כפתור: מחקר - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ progra ~ 1 \ MI1933 ~ 1 \ Office12 \ REFIEBAR.DLL
O9 - Extra כפתור: MUSICMATCH MX אינטרנט Player - (d81ca86b-ef63-42af-bee3-4502d9a03c2d) -- http://wwws.musicmatch.com/mmz/openWebRadio.html (חסר קובץ)
O9 - Extra כפתור: (ללא שם) - (e2e2dd38-d088-4134-82b7-f2ba38496583) -% windir% \ Network לאבחון \ xpnetdiag.exe (קובץ חסר)
O9 - Extra 'Tools' menuitem: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) -% windir% \ Network לאבחון \ xpnetdiag.exe (קובץ חסר)
O9 - Extra כפתור: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O11 - Options group: [INTERNATIONAL] International *
O16 - DPF: (67DABFBF-D0AB-41FA-9C46-CC0F21721616) -- http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: grooveLocalGWS - (88FED34C-F0CA-4636-A375-3CB6248B04CD) - C: \ progra ~ 1 \ MI1933 ~ 1 \ Office12 \ GR99D3 ~ 1.DLL
O18 - Protocol: ms-help - (314111C7-A502-11D2-BBCA-00C04F8EC294) - C: \ Program Files \ Common Files \ Microsoft Shared \ Help \ hxds.dll
O18 - לחטוף Filter: text / xml - (807563E5-5146-11D5-A672-00B0D022E945) - C: \ progra ~ 1 \ Common ~ 1 \ מיקרו ~ 1 \ OFFICE12 \ MSOXMLMF.DL L
O20 - Winlogon Notify: dimsntfy -% SystemRoot% \ System32 \ dimsntfy.dll (קובץ חסר)
O20 - Winlogon Notify: efcdbxx - efcdbxx.dll (קובץ חסר)
O20 - Winlogon Notify: igfxcui - C: \ WINDOWS \ SYSTEM32 \ igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C: \ WINDOWS \ system32 \ NavLogon.dll
O23 - Service: Adobe LM Service - לא ידוע בעל - C: \ Program Files \ Common Files \ Adobe Systems Shared \ Service \ Adobelmsvc.exe
O23 - Service: ATI HotKey Poller - לא ידוע בעל - C: \ Windows \ System32 \ Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
O23 - Service: Symantec אימות סיסמה (ccPwdSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
O23 - Service: Pml מנהל התקן HPZ12 - HP - C: \ WINDOWS \ system32 \ HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
O23 - Service: ScsiAccess - לא ידוע בעל - C: \ Program Files \ Photodex \ ProShowGold \ ScsiAccess.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe

**evilfantasy** · #2 10 נובמבר 2008, 20:23

ברוכים הבאים ל ג 'יי.

אנא הדפס הוראות אלה כפי שיהיו במועד מאוחר יותר בעת הצורך גישה לאינטרנט אינו זמין.

להוריד SDFix על ידי AndyManchesta ושמור אותו לשולחן העבודה שלך.

בעת שימוש בכלי זה, עליך להשתמש מנהל חשבון או חשבון עם הרשאות ניהול

לחץ לחיצה כפולה על SDFix.exe וזה יהיה לחלץ את הקבצים אל% SYSTEMDRIVE%
(זה הוא הכונן שמכיל את ספריית Windows, בדרך כלל C: \ SDFix).
אל תשתמש זה רק עוד.

הפעלה מחדש של המחשב ב מצב בטוח באמצעות על F8 שיטת. לשם כך, הפעל מחדש את המחשב לאחר ששמעו את המחשב לאחר הביפ במהלך ההפעלה (אך לפני הופעת הסמל של Windows) לחצו על מקש F8 שוב ושוב. יופיע תפריט עם מספר אפשרויות. השתמש במקשי החיצים כדי לנווט ולבחור את האפשרות להפעיל את Windows במצב "מצב בטוח".

פתח את התיקייה ואת SDFix לחץ לחיצה כפולה על RunThis.bat כדי להפעיל את הסקריפט.

סוג Y כדי להתחיל את תהליך ניקוי.
זו תסיר את כל Trojan שירותים או ערכי הרישום נמצא ואז לבקש ממך ללחוץ על מקש כלשהו כדי הפעלה מחדש.
הקש על מקש כלשהו וזה יהיה להפעיל מחדש את המחשב.
כאשר המחשב מופעל מחדש, את Fixtool יפעל שוב להשלים את תהליך ההסרה ולאחר מכן נציג סיום, הקש על מקש כלשהו כדי לסיים את הסקריפט ו לטעון את סמלי שולחן העבודה.
לאחר לטעון את סמלי שולחן העבודה SDFix דווח ייפתח על המסך וגם לשמור לתוך תיקייה בשם SDFix Report.txt.
העתק והדבק את התוכן של קובץ תוצאות Report.txt תגובה הבא שלך.

----------

גם להתקין את הגירסה החדשה של HijackThis, לכתוב את יומן חדשות ממנו במצב רגיל לאחר האתחול SDFix השלימה.

להוריד TrendMicro HijackThis.exe (HJT) אל שולחן העבודה.

לחץ לחיצה כפולה על HJTInstall.
לחץ על התקן כפתור.
זה המקום באופן אוטומטי ב HJT C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe.
על פי התקן, HijackThis צריך לפתוח בשבילך.
לחץ על האם מערכת סריקה ולשמור קובץ יומן לחצן
HijackThis יסרוק ואז יומן רישום ייפתח בפנקס הרשימות.
העתק ולאחר מכן הדבק את כל התוכן של רישום ההודעה שלך.
אל HijackThis יש לתקן שום דבר. רוב מה שהוא ימצא יהיה מזיק או אפילו חובה.

**xalice15x** · #3 11 נובמבר 2008, 08:55

דווח SDFix

SDFix: גירסה 1,240
הרשאות מנהל על שלישי 11/11/2008 בשעה 08:39

Microsoft Windows XP [גירסה 5.1.2600]
ריצה מאת: C: \ SDFix

שירותי בדיקה :

שחזור ערכי ברירת המחדל של אבטחה
שחזור ברירת מחדל הקובץ Hosts

יתכן ואיתחול

בדיקת קבצים :

Trojan קבצים נמצאה:

C: \ Program Files \ nvcoi \ mst.stt - שנמחקו

התיקייה C: \ Program Files \ nvcoi - הוסר
התיקייה C: \ Program Files \ זמניים - הוסר
התיקייה C: \ temp \ sanR24 - הוסר

טמפ מסיר קבצים

ADS בדוק :

בדיקה סופית נוספת :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit / התגנבות תוכנות זדוניות על ידי גלאי Gmer, http://www.gmer.net
Rootkit סריקה 2008-11-11 08:47:19
Windows 5.1.2600 Service Pack 3 ב-NTFS

סריקת תהליכים נסתרים ...

שירותי סריקה מוסתרת & כוורת המערכת ...

סריקת ערכי הרישום מוסתר ...

סריקת קבצים מוסתרים ...

הסריקה הסתיימה בהצלחה
תהליכים מוסתרים: 0
שירותי מוסתר: 0
קבצים מוסתרים: 0

הנותרים שירותים :

יישום מאושרים ייצא מפתח:

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ servic es \ sharedaccess \ Parameters \ firewallpolicy \ רגילה פרופיל \ authorizedapplications \ List]
"% windir% \ \ system32 \ \ sessmgr.exe" = "% windir% \ \ syste m32 \ \ sessmgr.exe: *: אפשרה: @ xpsp2res.dll, -22019"
"C: \ \ Program Files \ \ עדכונים של HP \ \ 137903 \ \ תוכנית \ \ BackWeb-137903.exe" = "C: \ \ Program Files \ \ עדכונים של HP \ \ 137903 \ \ תוכנית \ \ BackWeb-137903 . exe: *: Disabled: BackWeb-137903 "
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ Outlook.exe" = "C: \ \ Program Files \ \ Microsoft Office \ Office12 \ Outlook.exe: *: Enabled: Microsoft Office Outlook"
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ GROOVE.EXE" = "C: \ \ Program Files \ \ Microsoft Office \ Office12 \ GROOVE.EXE: *: Enabled: Microsoft Office Groove"
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ Onenote.exe" = "C: \ \ Program Files \ \ Microsoft Office \ Office12 \ Onenote.exe: *: Enabled: Microsoft Office OneNote"
"C: \ \ Program Files \ \ Common Files \ \ AOL \ \ Loader \ \ aolload.exe" = "C: \ \ Program Files \ \ Common Files \ \ AOL \ \ Loader \ \ aolload.exe: *: Enabled :-AOL Loader "
"C: \ \ Program Files \ \ AIM6 \ \ aim6.exe" = "C: \ \ Program Files \ \ AIM6 \ \ aim6.exe: *: Enabled:-AIM"
"% windir% \ \ Network לאבחון \ \ xpnetdiag.exe" = "% windir% \ \ Network לאבחון \ \ xpnetdiag.exe: *: Enabled: @ xpsp3res.dll, -20000"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ servic es \ sharedaccess \ Parameters \ firewallpolicy \ domainpr ofile \ authorizedapplications \ List]
"% windir% \ \ system32 \ \ sessmgr.exe" = "% windir% \ \ syste m32 \ \ sessmgr.exe: *: אפשרה: @ xpsp2res.dll, -22019"
"% windir% \ \ Network לאבחון \ \ xpnetdiag.exe" = "% windir% \ \ Network לאבחון \ \ xpnetdiag.exe: *: Enabled: @ xpsp3res.dll, -20000"

הנותרים קבצים :

קובץ הגיבוי: - C: \ SDFix \ גיבויים \ backups.zip

קבצים מוסתרים עם תכונות :

רביעי 14 נובמבר 2007 204 A. SHR --- "C: \ BOOT.BAK"
שישי 22 אוגוסט 2008 635,848 A.SH. --- "C: \ Program Files \ Internet Explorer \ iexplore.exe"
חמישי 15 יולי 2004 0 A.SH. --- "C: \ WINDOWS \ SMINST \ HPCD.SYS"
חמישי 10 ינואר 2008 4348 A.SH. --- "C: \ Documents and Settings \ All Users \ DRM \ DRMv1.bak"
חמישי 10 ינואר 2008 401 A.SH. --- "C: \ Documents and Settings \ All Users \ DRM \ DRMv19.bak"
רביעי 29 אוקטובר 2008 3442 A.SH. --- "C: \ Documents and Settings \ All Users \ Documents \ המוקלטות \ TempRec \ TempSBE \ SBE3.tmp"

הסתיים!

------------------------------------------

HijackThis התחבר

Logfile of Trend Micro HijackThis v2.0.2
סרוק נשמרה ב 8:55:16, ב 11/11/2008
פלטפורמה: Windows XP SP3 (Winnt 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
אתחול במצב: בדרך כלל

הפעלת תהליכים:
C: \ Windows \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ Windows \ System32 \ Ati2evxx.exe
C: \ WINDOWS \ system32 \ היישום Svchost.exe
C: \ Windows \ System32 \ היישום Svchost.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
C: \ WINDOWS \ explorer.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Photodex \ ProShowGold \ ScsiAccess.exe
C: \ Windows \ System32 \ היישום Svchost.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ WINDOWS \ ehome \ ehtray.exe
C: \ Windows \ System \ hpsysdrv.exe
C: \ Program Files \ HP \ Digital Imaging \ לפרוק \ hpqcmon.exe
C: \ Windows \ System32 \ hphmon05.exe
C: \ HP \ KBD \ KBD.EXE
C: \ WINDOWS \ LTMSG.exe
C: \ Program Files \ מולטימדיה כרטיס קורא \ shwicon2k.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe
C: \ progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe
C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe
C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe
C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe
C: \ WINDOWS \ ALCXMNTR.EXE
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Program Files \ Webroot \ מכונת כביסה \ wwDisp.exe
C: \ Program Files \ HP \ Digital Imaging \ bin \ hpqtra08.exe
C: \ Program Files \ עדכונים מאתר HP \ 137903 \ תוכנית \ BackWeb-137903.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ WINDOWS \ system32 \ notepad.exe
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe

R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://srch-us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, חיפוש בר = http://srch-us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ ראשי, דף חיפוש = http://srch-us10.hpwis.com/
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ ראשי, דף הפתיחה = בערך: ריק
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, חיפוש בר = http://srch-us10.hpwis.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ ראשי, דף חיפוש = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ ראשי, דף הפתיחה = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ אשף החיבור לאינטרנט, ShellNext = http://us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ int ernet הגדרות, ProxyOverride = localhost
O2 - BHO: (ללא שם) - (02478D38-C3F9-4efb-9B51-7695ECA05670) - (ללא קובץ)
O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll
O2 - BHO: (ללא שם) - (4715C8BC-0204-06D4-0A62-2E00BBB78BBD) - C: \ WINDOWS \ system32 \ izf.dll (קובץ חסר)
O2 - BHO: Groove GFS Browser Helper - (72853161-30C5-4D22-B7F9-0BBC1D38A37E) - C: \ progra ~ 1 \ MI1933 ~ 1 \ Office12 \ GRA8E1 ~ 1.DLL
O2 - BHO: (ללא שם) - (843B515A-BBC4-4AF2-916D-69E9F7DD8F9D) - C: \ WINDOWS \ system32 \ vtsqo.dll (קובץ חסר)
O2 - BHO: (684a8728-dd11-3ef9-b3e4-ea3410654e7c) - (c7e45601-43ae-4e3b-9fe3-11dd8278a486) - C: \ WINDOWS \ system32 \ ikwijhuy.dll (קובץ חסר)
O3 - Toolbar: HP הצג - (B2847E28-5D7D-4DEB-8B67-05D28BCF79F5) - C: \ Program Files \ HP \ Digital Imaging \ bin \ hpdtlk02.dll
O4 - HKLM \ .. \ Run: [ehTray] C: \ WINDOWS \ ehome \ ehtray.exe
O4 - HKLM \ .. \ Run: [hpsysdrv] C: \ Windows \ System \ hpsysdrv.exe
O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ Windows \ System32 \ hkcmd.exe
O4 - HKLM \ .. \ Run: [CamMonitor] C: \ Program Files \ HP \ Digital Imaging \ לפרוק \ hpqcmon.exe
O4 - HKLM \ .. \ Run: [HPHUPD05] C: \ Program Files \ HP \ (45B6180B-DCAB-4093-8EE8-6164457517F0) \ hphupd05.exe
O4 - HKLM \ .. \ Run: [HPHmon05] C: \ Windows \ System32 \ hphmon05.exe
O4 - HKLM \ .. \ Run: [KBD] C: \ HP \ KBD \ KBD.EXE
O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe"-osboot
O4 - HKLM \ .. \ Run: [AutoTKit] C: \ Hp \ bin \ AUTOTKIT.EXE
O4 - HKLM \ .. \ Run: [Recguard] C: \ WINDOWS \ SMINST \ RECGUARD.EXE
O4 - HKLM \ .. \ Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM \ .. \ Run: [LTMSG] LTMSG.exe 7
O4 - HKLM \ .. \ Run: [PS2] C: \ WINDOWS \ system32 \ ps2.exe
O4 - HKLM \ .. \ Run: [Sunkist2k] C: \ Program Files \ מולטימדיה כרטיס קורא \ shwicon2k.exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - HKLM \ .. \ Run: [vptray] C: \ progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Run: [RemoteControl] "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe"
O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ WINDOWS \ system32 \ NeroCheck.exe
O4 - HKLM \ .. \ Run: [GrooveMonitor] "C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe"
O4 - HKLM \ .. \ Run: [Adobe Reader Speed משגר] "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe"
O4 - HKLM \ .. \ Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Program Files \ Common Files \ קולי \ Update Manager \ sgtray.exe" / R
O4 - HKLM \ .. \ Run: [ATIPTA] C: \ Program Files \ ATI Technologies \ ATI Control Panel \ atiptaxx.exe
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [swg] C: \ Program Files \ Google \ GoogleToolbarNotifier \ 1.2.1128.5462 \ G oogleToolbarNotifier.exe
O4 - HKCU \ .. \ Run: [חלון מכבס] C: \ Program Files \ Webroot \ מכונת כביסה \ wwDisp.exe
O4 - HKUS \ S-1-5-18 \ .. \ Run: [AdobeUpdater] C: \ Program Files \ Common Files \ Adobe \ Updater5 \ AdobeUpdater.exe (User 'SYSTEM')
O4 - HKUS \. ברירת המחדל \ .. \ Run: [AdobeUpdater] C: \ Program Files \ Common Files \ Adobe \ Updater5 \ AdobeUpdater.exe (משתמש 'ברירת המחדל של המשתמש)
O4 - Global Startup: Adobe Gamma Loader.lnk = C: \ Program Files \ Common Files \ Adobe \ כיול \ Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C: \ Program Files \ HP \ Digital Imaging \ bin \ hpqtra08.exe
O4 - Global Startup: לזרז מתוזמנות Updates.lnk = C: \ Program Files \ להחיות \ bagent.exe
O4 - Global Startup: עדכונים מאתר HP.lnk = C: \ Program Files \ עדכונים מאת HP \ 137903 \ תוכנית \ BackWeb-137903.exe
O8 - Extra context בתפריט: E & xport ל-Microsoft Excel - res: / / c: \ progra ~ 1 \ MI1933 ~ 1 \ Office12 \ EXCEL.EXE/3000
O9 - Extra כפתור: שלח אל OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ progra ~ 1 \ MI1933 ~ 1 \ Office12 \ ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S & סוף ל-OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ progra ~ 1 \ MI1933 ~ 1 \ Office12 \ ONBttnIE.dll
O9 - Extra כפתור: מחקר - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ progra ~ 1 \ MI1933 ~ 1 \ Office12 \ REFIEBAR.DLL
O9 - Extra כפתור: MUSICMATCH MX אינטרנט Player - (d81ca86b-ef63-42af-bee3-4502d9a03c2d) -- http://wwws.musicmatch.com/mmz/openWebRadio.html (חסר קובץ)
O9 - Extra button: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ network diagnostic \ xpnetdiag.exe (קובץ חסר)
O9 - Extra 'Tools' menuitem: @ Xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ network diagnostic \ xpnetdiag.exe (קובץ חסר)
O9 - Extra כפתור: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (67DABFBF-D0AB-41FA-9C46-CC0F21721616) -- http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: grooveLocalGWS - (88FED34C-F0CA-4636-A375-3CB6248B04CD) - C: \ progra ~ 1 \ MI1933 ~ 1 \ Office12 \ GR99D3 ~ 1.DLL
O23 - Service: Adobe LM Service - לא ידוע בעל - C: \ Program Files \ Common Files \ Adobe Systems Shared \ Service \ Adobelmsvc.exe
O23 - Service: ATI HotKey Poller - לא ידוע בעל - C: \ Windows \ System32 \ Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
O23 - Service: Symantec אימות סיסמה (ccPwdSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
O23 - Service: Pml מנהל התקן HPZ12 - HP - C: \ WINDOWS \ system32 \ HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
O23 - Service: ScsiAccess - לא ידוע בעל - C: \ Program Files \ Photodex \ ProShowGold \ ScsiAccess.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe

--
סוף הקובץ - 9268 בייטים

**evilfantasy** · #4 11 נובמבר 2008, 11:07

להוריד השבת / הסרה של Windows Messenger כדי להסיר את שולחן העבודה Windows Messenger.

אין לבלבל Windows Messenger עם MSN Messenger כי הם לא אותו דבר. Windows Messenger לעתים קרובות הוא הגורם קופצים.

לפתוח את הקובץ על שולחן העבודה. פתח את MessengerDisable.exe ולבחור את התיבה התחתונה -- להסיר את ההתקנה של Windows Messenger ולחץ על להחיל.

יציאה מחוץ MessengerDisable ואז למחוק את שני הקבצים הועלו על שולחן העבודה.

----------

פתח HijackThis ובחר האם מערכת סריקה בלבד.

מקום סימון ליד את הערכים הבאים: (אם יש)

- O2 - BHO: (ללא שם) - (02478D38-C3F9-4efb-9B51-7695ECA05670) - (ללא קובץ)
- O2 - BHO: (no name) - (4715C8BC-0204-06D4-0A62-2E00BBB78BBD) - C: \ WINDOWS \ system32 \ izf.dll (קובץ חסר)
- O2 - BHO: (no name) - (843B515A-BBC4-4AF2-916D-69E9F7DD8F9D) - C: \ WINDOWS \ system32 \ vtsqo.dll (קובץ חסר)
- O2 - BHO: (684a8728-dd11-3ef9-b3e4-ea3410654e7c) - (c7e45601-43ae-4e3b-9fe3-11dd8278a486) - C: \ WINDOWS \ system32 \ ikwijhuy.dll (קובץ חסר)
- O4 - HKLM \ .. \ Run: [AlcxMonitor] ALCXMNTR.EXE

חשוב: סגור את כל החלונות למעט HijackThis ולחץ על תקן בדק.

יציאה HijackThis.

----------

הערה: את ההוראות שלהלן נוצרו במיוחד עבור משתמש זה. אם אתה לא משתמש זה, אינן בצע את ההוראות כפי שהם יכלו לפגוע פעולתו של המערכת

עבור אל התחל> הפעלה והקלד notepad.exe לאחר מכן לחץ על אישור

העתק והדבק את שלהלן לתוך 'פנקס רשימות' ושמור fixme.reg כמו שלך שולחן עבודה

קוד:

REGEDIT4 [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] "AlcxMonitor" =-

אתר fixme.reg על שולחן העבודה שלך, לחץ לחיצה כפולה על זה. תשובה כן כאשר תתבקש לעשות כדי להתמזג עם הרישום.

ודא כי אתה תגיד לי אם אתה מקבל הודעה על הצלחת לעיל כדי להוסיף את הרישום. אם אינך מקבל הודעת הצלחה, זה לא עובד.

מחק את fixme.reg משולחן העבודה.

----------

הורד ComboFix על ידי sUBs על אחד הקישורים למטה. הדף הקפד לשמור את זה שולחן עבודה.

קישור # 1
קישור # 2

** הערה: חשוב כי זה נשמר ישירות לשולחן העבודה שלך

סגור פתוח כל דפדפני האינטרנט. (Firefox, Internet Explorer, וכו ') לפני הפעלת ComboFix.

באופן זמני להשבית שלך AntiVirus, וכל AntiSpyware הגנה בזמן אמת לפני ביצוע סריקה. לחץ קישור זה כדי לראות רשימה של תוכנות אבטחה שאמורים להיות מבוטל וכיצד להשבית אותם.

לחץ לחיצה כפולה על combofix.exe & פעל לפי ההנחיות.

ב-Windows XP מערכות להתקין את מסוף השחזור:

- אם אתה משתמש ב-Windows XP וב אין כבר את השחזור מותקנת, נא לוודא את החיבור לאינטרנט פעיל (במידת האפשר), ולחץ על כן.
- אם מסיבה כלשהי האינטרנט שלך אינו פועל על לא.
-- אם אתה לא משתמש ב-Windows XP, לא תקבל הנחיה.
- כאשר תתבקש לאשר את EULA לחץ אישור.
- קבל של מיקרוסופט EULA (לחץ כן).
- כאשר אתה RC אמר כי הוא מותקן כראוי לחץ כן להמשיך סריקה לאיתור תוכנות זדוניות.

לאחר שתסיים ComboFix יהיה להפיק יומן עבורך.
לפרסם את ComboFix יומן תגובה הבא שלך.

חשוב: אל mouseclick ComboFix של החלון בזמן שהוא פועל. כי זה עלול לגרום ל הזדקרות.

זכור להפעיל מחדש את האנטי וירוס ו AntiSpyware הגנה בזמן ComboFix הושלמה.

כמו כן, תן לי לדעת איך המחשב פועל כעת.

**xalice15x** · #5 11 נובמבר 2008, 11:55

ComboFix יומן

ComboFix 08-11-10.01 - מנהל 2008-11-11 11:39:43.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.176 [GMT -7:00]
הפעלת מ: C: \ Documents and Settings \ Administrator \ שולחן עבודה \ ComboFix.exe
* נוצרה נקודת שחזור חדשה
.

((((((((((((((((((((((((((((((((((((((( אחר Deletions ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

C: \ Documents and Settings \ Administrator \ My Documents \ TSKS ~ 1
C: \ Program Files \ Common Files \ racle ~ 1
C: \ Program Files \ stem32 ~ 1
C: \ Program Files \ wnsxs ~ 1
C: \ Windows \ BMf3ec611b.txt
C: \ Windows \ system32 \0LFlxR4x.exe.a_a
C: \ Windows \ system32 \ epljwqgq.ini
C: \ Windows \ system32 \ fj8wNOvc.exe.a_a
C: \ Windows \ system32 \ icidbcft.ini
C: \ Windows \ system32 \ iDlo01
C: \ Windows \ system32 \ jrjvfibu.ini
C: \ Windows \ system32 \ jryeuaqx.ini
C: \ Windows \ system32 \ mcrh.tmp
C: \ Windows \ system32 \ MSINET.oca
C: \ Windows \ system32 \ mvmqocpc.ini
C: \ Windows \ system32 \ oqstv.ini
C: \ Windows \ system32 \ oqstv.ini2
D: \ Autorun.inf

.
((((((((((((((((((((((((( קבצים שנוצרו מתוך 2008/10/11 כדי 2008/11/11 ))))))))))) ))))))))))))))))))))
.

2008-11-11 08:54. 2008-11-11 08:54 <dir> d -------- C: \ Program Files \ Trend Micro
2008-11-11 08:38. 2008-11-11 08:38 578.560 - - C --- C: \ Windows \ system32 \ dllcache \ User32.dll
2008-11-11 08:29. 2008-11-11 08:29 <dir> d -------- C: \ Windows \ ERUNT
2008-11-11 08:23. 2008-11-11 08:51 <dir> d -------- C: \ SDFix
2008-11-02 09:12. 2008-11-10 14:10 41.474 - ------ C: \ Windows \ system32 \0LFlxR4x.exe_
2008-11-02 09:12. 2008-11-11 09:12 40.450 - ------ C: \ Windows \ system32 \0LFlxR4x.exe
2008-10-31 18:00. 2008-10-31 18:00 <dir> d -------- C: \ Documents and Settings \ NetworkService \ Application Data \ Yahoo!
2008-10-31 16:40. 2008-10-31 16:40 <dir> d -------- C: \ Documents and Settings \ Administrator \ Application Data \ Yahoo!
2008-10-31 16:39. 2008-11-10 17:27 <dir> d -------- C: \ Program Files \ Yahoo!
2008-10-29 17:23. 2008-10-29 17:23 <dir> d -------- C: \ Windows \ system32 \ CatRoot_bak
2008-10-29 17:23. 2008-09-08 03:41 333.824 ----- C --- C: \ Windows \ system32 \ dllcache \ Srv.sys
2008-10-29 17:23. 2008-06-13 04:05 272.128 ----- C --- C: \ Windows \ system32 \ dllcache \ bthport.sys
2008-10-29 17:23. 2008-08-14 03:04 138.496 ----- C --- C: \ Windows \ system32 \ dllcache \ afd.sys
2008-10-29 17:22. 2008-08-14 03:11 2.189.184 ----- C --- C: \ Windows \ system32 \ dllcache \ ntoskrnl.exe
2008-10-29 17:22. 2008-08-14 03:09 2.145.280 ----- C --- C: \ Windows \ system32 \ dllcache \ Ntkrnlmp.exe
2008-10-29 17:22. 2008-08-14 02:33 2.066.048 ----- C --- C: \ Windows \ system32 \ dllcache \ Ntkrnlpa.exe
2008-10-29 17:22. 2008-08-14 02:33 2.023.936 ----- C --- C: \ Windows \ system32 \ dllcache \ Ntkrpamp.exe
2008-10-29 17:22. 2008-09-15 05:12 1.846.400 ----- C --- C: \ Windows \ system32 \ dllcache \ Win32k.sys
2008-10-29 17:22. 2008-04-11 12:04 691.712 ----- C --- C: \ Windows \ system32 \ dllcache \ inetcomm.dll
2008-10-29 17:22. 2008-05-08 07:02 203.136 ----- C --- C: \ Windows \ system32 \ dllcache \ rmcast.sys
2008-10-28 18:39. 2008-10-28 18:39 10 - ------ C: \ Windows \ Wininit.ini
2008-10-23 14:45. 2008-10-15 09:34 337.408 ----- C --- C: \ Windows \ system32 \ dllcache \ NetApi32.DLL
2008-10-15 18:38. 2008-10-29 15:26 <dir> d -------- C: \ Windows \ system32 \-scripting
2008-10-15 18:38. 2008-10-29 15:26 <dir> d -------- C: \ Windows \ system32 \ en
2008-10-15 18:38. 2008-10-29 15:26 <dir> d -------- C: \ Windows \ system32 \ פיסות
2008-10-15 18:38. 2008-10-29 15:26 <dir> d -------- C: \ Windows \ l2schemas
2008-10-15 18:23. 2007-06-13 03:23 1.033.216 - ------ C: \ Windows \ SET25A.tmp
2008-10-15 18:22. 2008-08-14 03:09 2.145.280 - ------ C: \ Windows \ system32 \ ntoskrnl.exe
2008-10-15 16:09. 2008-10-15 16:09 <dir> d -------- C: \ Documents and Settings \ Administrator \ Application Data \ מניע
2008-10-12 17:26. 2008-10-12 17:25 30.272 - ------ C: \ Windows \ system32 \ fj8wNOvc.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M דווח )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-11 18:38 --------- d ----- WC: \ Program Files \ Symantec AntiVirus
2008-11-10 22:05 --------- d ----- WC: \ Program Files \ DivX
2008-11-10 22:03 --------- d ----- WC: \ Program Files \ ג 'אווה
2008-11-10 01:37 --------- d ----- WC: \ Program Files \ Microsoft Plus! Digital Media Edition
2008-11-10 01:35 --------- d ----- WC: \ Program Files \ Microsoft Works
2008-11-08 02:37 90.112 ---- aw C: \ Windows \ DUMP3a98.tmp
2008-11-08 01:26 30 ---- aw C: \ Documents and Settings \ Administrator \ jagex_runescape_preferences. DAT
2008-10-29 22:21 77.824 ---- aw C: \ Windows \ pchealth \ helpctr \ ספקי \ CN = Hewlett-Packard, L = Cupertino, S = CA, C = US \ ביתן \ XPENABP4EN \ תוסף \ bin \ FDIWrapper.dll
2008-10-29 22:21 69.632 ---- aw C: \ Windows \ pchealth \ helpctr \ ספקי \ CN = Hewlett-Packard, L = Cupertino, S = CA, C = US \ ביתן \ XPENABP4EN \ תוסף \ bin \ jsharpde \ msxmlwrapper.dll
2008-10-29 22:21 5.632 ---- aw C: \ Windows \ pchealth \ helpctr \ ספקי \ CN = Hewlett-Packard, L = Cupertino, S = CA, C = US \ ביתן \ XPENABP4EN \ תוסף \ bin \ jsharpde \ GUI.dll
2008-10-29 22:21 49.152 ---- aw C: \ Windows \ pchealth \ helpctr \ ספקי \ CN = Hewlett-Packard, L = Cupertino, S = CA, C = US \ ביתן \ XPENABP4EN \ תוסף \ bin \ PCHI18N.dll
2008-10-29 22:21 32.768 ---- aw C: \ Windows \ pchealth \ helpctr \ ספקי \ CN = Hewlett-Packard, L = Cupertino, S = CA, C = US \ ביתן \ XPENABP4EN \ תוסף \ bin \ jsharpde \ pchapi.dll
2008-10-29 22:21 26.572 ---- aw C: \ Windows \ pchealth \ helpctr \ ספקי \ CN = Hewlett-Packard, L = Cupertino, S = CA, C = US \ ביתן \ XPENABP4EN \ תוסף \ bin \ jsharpde \ INV16.dll
2008-10-29 22:21 213.089 ---- aw C: \ Windows \ pchealth \ helpctr \ ספקי \ CN = Hewlett-Packard, L = Cupertino, S = CA, C = US \ ביתן \ XPENABP4EN \ תוסף \ bin \ jsharpde \ motive.zip
2008-10-29 22:21 139.264 ---- aw C: \ Windows \ pchealth \ helpctr \ ספקי \ CN = Hewlett-Packard, L = Cupertino, S = CA, C = US \ ביתן \ XPENABP4EN \ תוסף \ bin \ ContentUpdater.exe
2008-10-29 22:21 114.688 ---- aw C: \ Windows \ pchealth \ helpctr \ ספקי \ CN = Hewlett-Packard, L = Cupertino, S = CA, C = US \ ביתן \ XPENABP4EN \ תוסף \ bin \ jsharpde \ ZipLib.dll
2008-10-29 22:21 114.688 ---- aw C: \ Windows \ pchealth \ helpctr \ ספקי \ CN = Hewlett-Packard, L = Cupertino, S = CA, C = US \ ביתן \ XPENABP4EN \ תוסף \ bin \ jsharpde \ asst_ui.dll
2008-10-29 22:11 --------- d - ש - WC: \ Program Files \ InstallShield Installation Information
2008-10-29 22:11 --------- d ----- WC: \ Program Files \ ATI טכנולוגיות
2008-10-25 01:16 --------- d ----- WC: \ Documents and Settings \ Administrator \ Application Data \ הזז רשתות
2008-10-16 22:05 --------- d ----- WC: \ Documents and Settings \ All Users \ Application Data \ נקודת מבט
2008-10-16 01:06 --------- d ----- WC: \ Program Files \ Google
2008-09-28 22:59 --------- d ----- WC: \ Program Files \ Common Files \ AOL
2008-09-22 21:29 --------- d ----- WC: \ Documents and Settings \ All Users \ Application Data \ AOL OCP
2008-09-22 21:29 --------- d ----- WC: \ Documents and Settings \ Administrator \ Application Data \ acccore
2008-09-22 21:27 --------- d ----- WC: \ Documents and Settings \ All Users \ Application Data \ AOL
2008-09-17 01:24 --------- d ----- WC: \ Documents and Settings \ Administrator \ Application Data \ VSO
2008/09/15 12:12 1,846,400 ---- AW C: \ Windows \ system32 \ win32k.sys
2008-08-26 07:24 826.368 ---- aw C: \ Windows \ system32 \ Wininet.dll
2008-08-14 09:33 2.023.936 ---- aw C: \ Windows \ system32 \ Ntkrnlpa.exe
2007-12-28 00:53 79.738 ---- aw C: \ Documents and Settings \ גופנים \ broken_ghost.zip
2007-11-23 01:25 81.920 ---- aw C: \ Documents and Settings \ Administrator \ Application Data \ ezpinst.exe
2007-11-23 01:25 47.360 ---- aw C: \ Documents and Settings \ Administrator \ Application Data \ pcouffin.sys
.

רג טוען ((((((((((((((((((((((((((((((((((((( נקודות )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* הערה * ריק ערכי & לגיטימי ערכי ברירת המחדל הם לא מוצגות
REGEDIT4

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ הפעלה]
"Ctfmon.exe" = "C: \ Windows \ system32 \ Ctfmon.exe" [2008-04-13 15360]
"Window Washer" = "C: \ Program Files \ Webroot \ Washer \ wwDisp.exe" [2005-03-08 910336]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ הפעלה]
"ehTray" = "C: \ Windows \ ehome \ ehtray.exe" [2004-08-04 50176]
"hpsysdrv" = "C: \ Windows \ SYSTEM \ hpsysdrv.exe" [1998-05-07 52736]
"HotKeysCmds" = "C: \ Windows \ system32 \ hkcmd.exe" [2003-10-02 118784]
"CamMonitor" = "C: \ Program Files \ HP \ Digital Imaging \ ביטול \ hpqcmon.exe" [2002-10-07 90112]
"HPHmon05" = "C: \ Windows \ system32 \ hphmon05.exe" [2003-05-23 483328]
"מקלדת" = "C: \ HP \ מקלדת \ KBD.EXE" [2003-02-11 61440]
"TkBellExe" = "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe" [2003-12-17 151597]
"Recguard" = "C: \ Windows \ SMINST \ RECGUARD.EXE" [2002-09-13 212992]
"PS2" = "C: \ Windows \ system32 \ ps2.exe" [2002-10-16 81920]
"Sunkist2k" = "C: \ Program Files \ Multimedia Card Reader \ shwicon2k.exe" [2003-08-14 139264]
"ccApp" = "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" [2005-06-02 48752]
"vptray" = "c: \ progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2005-06-23 85696]
"RemoteControl" = "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck" = "C: \ Windows \ system32 \ NeroCheck.e רכיבת" [2001-07-09 155648]
"GrooveMonitor" = "C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe" [2006-10-27 31016]
"Adobe Reader Speed משגר" = "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" [2007-10-10 39792]
"ATIModeChange" = "Ati2mdxx.exe" [2001/09/05 C: \ Windows \ system32 \ Ati2mdxx.exe]
"LTMSG" = "LTMSG.exe" [2003/07/14 C: \ Windows \ ltmsg.exe]

[HKEY_USERS \. Default \ Software \ Microsoft \ Windows \ כלב rentVersion \ הפעלה]
"AdobeUpdater" = "C: \ Program Files \ Common Files \ Adobe \ Updater5 \ AdobeUpdater.exe" [2007-03-01 2321600]

C: \ Documents and Settings \ All Users \ תפריט התחלה \ תוכניות \ הפעלה \
אדובי גמא Loader.lnk - C: \ Program Files \ Common Files \ Adobe \ Calibration \ Adobe Gamma Loader.exe [2007-11-22 113664]
HP Digital Imaging Monitor.lnk - C: \ Program Files \ HP \ Digital Imaging \ bin \ hpqtra08.exe [2003-09-16 237568]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ ניטור \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001

[HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ רשימה]
"% windir% \ \ system32 \ \ sessmgr.exe" =
"C: \ \ Program Files \ \ עדכונים של HP \ \ 137903 \ \ תוכנית \ \ BackWeb-137903.exe" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ Outlook.exe" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ GROOVE.EXE" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ ONENOTE.EXE" =
"% windir% \ \ Network לאבחון \ \ xpnetdiag.exe" =

R2 CX88XBAR; Conexant 2388x קלט שדר כפול: C: \ Windows \ system32 \ drivers \ CX88XBARDUAL.sys [2003-12-10 7040]

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ Explorer \ mountpoints2 \ D]
\ Shell \ ההפעלה האוטומטית \ פקודה - D: \ Info.exe Folder.htt 480 480

* * השירות החדש שנוצר - PROCEXP90
.
התוכן של 'משימות מתוזמנות' תיקייה

2008/10/30 C: \ Windows \ משימות \ At1.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/11/11 C: \ Windows \ משימות \ At10.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/11/02 C: \ Windows \ משימות \ At100.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/02 C: \ Windows \ משימות \ At101.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/02 C: \ Windows \ משימות \ At102.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/02 C: \ Windows \ משימות \ At103.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/02 C: \ Windows \ משימות \ At104.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/02 C: \ Windows \ משימות \ At105.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/11 C: \ Windows \ משימות \ At106.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/11 C: \ Windows \ משימות \ At107.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/09 C: \ Windows \ משימות \ At108.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/09 C: \ Windows \ משימות \ At109.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/11 C: \ Windows \ משימות \ At11.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/11/09 C: \ Windows \ משימות \ At110.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/10 C: \ Windows \ משימות \ At111.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/10 C: \ Windows \ משימות \ At112.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/06 C: \ Windows \ משימות \ At113.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/09 C: \ Windows \ משימות \ At114.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/11 C: \ Windows \ משימות \ At115.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/11 C: \ Windows \ משימות \ At116.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/09 C: \ Windows \ משימות \ At117.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/02 C: \ Windows \ משימות \ At118.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/02 C: \ Windows \ משימות \ At119.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/09 C: \ Windows \ משימות \ At12.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/11/02 C: \ Windows \ משימות \ At120.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/09 C: \ Windows \ משימות \ At13.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/11/09 C: \ Windows \ משימות \ At14.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/11/10 C: \ Windows \ משימות \ At15.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/11/10 C: \ Windows \ משימות \ At16.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-06 C: \ Windows \ משימות \ At17.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/11/09 C: \ Windows \ משימות \ At18.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/11/11 C: \ Windows \ משימות \ At19.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/10/30 C: \ Windows \ משימות \ At2.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/11/11 C: \ Windows \ משימות \ At20.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/11/09 C: \ Windows \ משימות \ At21.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/10/30 C: \ Windows \ משימות \ At22.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/10/30 C: \ Windows \ משימות \ At23.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/10/30 C: \ Windows \ משימות \ At24.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/10/30 C: \ Windows \ משימות \ At3.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/10/30 C: \ Windows \ משימות \ At4.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/10/30 C: \ Windows \ משימות \ At5.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/10/30 C: \ Windows \ משימות \ At6.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/10/31 C: \ Windows \ משימות \ At7.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/10/30 C: \ Windows \ משימות \ At8.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/11/01 C: \ Windows \ משימות \ At9.job
- C: \ Windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008/11/02 C: \ Windows \ משימות \ At97.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/02 C: \ Windows \ משימות \ At98.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008/11/02 C: \ Windows \ משימות \ At99.job
- C: \ Windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]
.
- - - - יתומים הוסר - - - --

HKCU-Run-swg - C: \ Program Files \ Google \ GoogleToolbarNotifier \ 1.2.1128.5462 \ G oogleToolbarNotifier.exe
HKCU-Run-RecordNow! - (לא קובץ)
HKLM-Run-HPHUPD05 - C: \ Program Files \ HP \ (45B6180B-DCAB-4093-8EE8-6164457517F0) hphupd05.exe
HKLM-Run-AutoTKit - C: \ HP \ bin \ AUTOTKIT.EXE
HKLM-Run-UpdateManager - C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe
HKLM-Run-ATIPTA - C: \ Program Files \ ATI Technologies \ ATI Control Panel \ atiptaxx.exe

.
------- משלים סריקה -------
.
Firefox -: פרופיל - C: \ Documents and Settings \ Administrator \ Application Data \ Mozilla \ Firefox \ Profiles \0rews22y.default \
Firefox -: prefs.js - STARTUP.HOMEPAGE - מי: ריק
FF -: תוסף - C: \ Documents and Settings \ Administrator \ Application Data \ Mozilla \ Firefox \ Profiles \0rews22y.default \ הרחבות \ moveplayer @ movenetworks. com \ \ פלטפורמה WINNT_x86-msvc \ plugins \ npmnqmp07076007.dll
FF -: תוסף - C: \ Documents and Settings \ Administrator \ Application Data \ Mozilla \ plugins \ npPxPlay.dll
FF -: תוסף - C: \ Program Files \ Mozilla Firefox \ plugins \ npmozax.dll
FF -: תוסף - C: \ Program Files \ Mozilla Firefox \ plugins \ npsnapfish.dll
FF -: תוסף - C: \ Program Files \ Real \ RealOne Player \ Netscape6 \ nppl3260.dll
FF -: תוסף - C: \ Program Files \ Real \ RealOne Player \ Netscape6 \ nprjplug.dll
FF -: תוסף - C: \ Program Files \ Real \ RealOne Player \ Netscape6 \ nprpjplug.dll
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit / התגנבות תוכנות זדוניות על ידי גלאי Gmer, http://www.gmer.net
Rootkit סריקה 2008-11-11 11:44:13
Windows 5.1.2600 Service Pack 3 ב-NTFS

סריקת תהליכים נסתרים ...

סריקה מוסתרת autostart ערכים ...

סריקת קבצים מוסתרים ...

************************************************** ************************
.
זמן סיום: 2008-11-11 11:47:43
ComboFix-בהסגר-files.txt 2008-11-11 18:46:39

Pre-Run: 89004101632 bytes חינם
Post-Run: 89081098240 bytes חינם

272 --- EOF --- 2008-10-30 03:01:59

~ ~
Hasn't עד כה iexplore.exe צץ ^ _ ^
האם יש בכל זאת כדי לוודא את זה הלך?
& האם זה בסדר אם אני מוחק את הדברים כי אני להוריד?

**evilfantasy** · #6 11 נובמבר 2008, 12:04

אנו נקיים את הכל לפני שאנחנו עושים. עדיין יש עוד מה לעשות אבל אני חייבת לרוץ במשך זמן מה. אחזור מאוחר יותר.

**xalice15x** · #7 11 נובמבר 2008, 12:19

צעדים נוספים? חשבתי שאנחנו עושים D:
שאלה מהירה: האם כל זה הולך להשפיע על תוכניות המותקנות לתוך המחשב שלי?
Alrightie, אני צריכה ללכת קצת גם xP

**xalice15x** · #8 11 נובמבר 2008, 13:07

iexplore.exe 'עדיין כאן; -;

**evilfantasy** · #9 11 נובמבר 2008, 16:28

לא אנחנו לא נעשה. אני אתן כל ברור מתי זה נגמר

הערה: את ההוראות שלהלן נוצרו במיוחד עבור משתמש זה. אם אתה לא משתמש זה, אינן בצע את ההוראות כפי שהם יכלו לפגוע פעולתו של המערכת

למחוק את הקבצים / תיקיות, כדלקמן:

1. עבור אל התחלה > ריצה > סוג Notepad.exe ולחץ על אישור כדי לפתוח את פנקס הרשימות.
זה חייב להיות פנקס רשימות, כתבן לא.
2. להעתיק את הטקסט להלן הקוד של התיבה על ידי הדגשת הטקסט ואת כל לחיצה Ctrl + C

קוד:

3. עבור אל החלון 'פנקס רשימות', ולחץ על עריכה > הדבק
4. לאחר מכן לחץ על קובץ > לשמור
5. שם הקובץ CFScript.txt - שמור את הקובץ בשולחן העבודה
6. לאחר מכן גרור את CFScript (לחיצה ארוכה על לחצן העכבר השמאלי תוך גרירת הקובץ) ו זרוק אותו (לשחרר את לחצן העכבר השמאלי) לתוך ComboFix.exe כפי שאתה רואה בלכידת המסך למטה. חשוב: בצע את ההוראות בקפידה!

ComboFix יתחילו לבצע, פעל לפי ההנחיות.
לאחר אתחול מחדש (במקרה זה מבקשת כדי אתחול מחדש), היא ליצור יומן עבורך.
שליחת כי יומן (Combofix.txt) תגובה הבא שלך.

הערה: אל mouseclick ComboFix של החלון בזמן שהוא פועל. זה עלול לגרום למערכת שלך להקפיא

**xalice15x** · #10 11 נובמבר 2008, 17:36

אוקיי ^ __ ^

Combofix התחבר

ComboFix 08-11-10.01 - מנהל 2008-11-11 17:21:42.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.153 [GMT -7:00]
הפעלת מ: C: \ Documents and Settings \ Administrator \ שולחן עבודה \ ComboFix.exe
פיקוד בוררי שימוש:: C: \ Documents and Settings \ Administrator \ Desktop \ CFScript.txt
* נוצרה נקודת שחזור חדשה

קובץ::
C: \ Windows \ SET25A.tmp
C: \ Windows \ system32 \0LFlxR4x.exe
C: \ Windows \ system32 \0LFlxR4x.exe_
C: \ Windows \ system32 \ fj8wNOvc.exe
C: \ Windows \ משימות \ At1.job
C: \ Windows \ משימות \ At10.job
C: \ Windows \ משימות \ At100.job
C: \ Windows \ משימות \ At101.job
C: \ Windows \ משימות \ At102.job
C: \ Windows \ משימות \ At103.job
C: \ Windows \ משימות \ At104.job
C: \ Windows \ משימות \ At105.job
C: \ Windows \ משימות \ At106.job
C: \ Windows \ משימות \ At107.job
C: \ Windows \ משימות \ At108.job
C: \ Windows \ משימות \ At109.job
C: \ Windows \ משימות \ At11.job
C: \ Windows \ משימות \ At110.job
C: \ Windows \ משימות \ At111.job
C: \ Windows \ משימות \ At112.job
C: \ Windows \ משימות \ At113.job
C: \ Windows \ משימות \ At114.job
C: \ Windows \ משימות \ At115.job
C: \ Windows \ משימות \ At116.job
C: \ Windows \ משימות \ At117.job
C: \ Windows \ משימות \ At118.job
C: \ Windows \ משימות \ At119.job
C: \ Windows \ משימות \ At12.job
C: \ Windows \ משימות \ At120.job
C: \ Windows \ משימות \ At13.job
C: \ Windows \ משימות \ At14.job
C: \ Windows \ משימות \ At15.job
C: \ Windows \ משימות \ At16.job
C: \ Windows \ משימות \ At17.job
C: \ Windows \ משימות \ At18.job
C: \ Windows \ משימות \ At19.job
C: \ Windows \ משימות \ At2.job
C: \ Windows \ משימות \ At20.job
C: \ Windows \ משימות \ At21.job
C: \ Windows \ משימות \ At22.job
C: \ Windows \ משימות \ At23.job
C: \ Windows \ משימות \ At24.job
C: \ Windows \ משימות \ At3.job
C: \ Windows \ משימות \ At4.job
C: \ Windows \ משימות \ At5.job
C: \ Windows \ משימות \ At6.job
C: \ Windows \ משימות \ At7.job
C: \ Windows \ משימות \ At8.job
C: \ Windows \ משימות \ At9.job
C: \ Windows \ משימות \ At97.job
C: \ Windows \ משימות \ At98.job
C: \ Windows \ משימות \ At99.job
.

((((((((((((((((((((((((((((((((((((((( אחר Deletions ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

C: \ Windows \ SET25A.tmp
C: \ Windows \ system32 \0LFlxR4x.exe
C: \ Windows \ system32 \0LFlxR4x.exe.a_a
C: \ Windows \ system32 \ fj8wNOvc.exe
C: \ Windows \ משימות \ At1.job
C: \ Windows \ משימות \ At10.job
C: \ Windows \ משימות \ At100.job
C: \ Windows \ משימות \ At101.job
C: \ Windows \ משימות \ At102.job
C: \ Windows \ משימות \ At103.job
C: \ Windows \ משימות \ At104.job
C: \ Windows \ משימות \ At105.job
C: \ Windows \ משימות \ At106.job
C: \ Windows \ משימות \ At107.job
C: \ Windows \ משימות \ At108.job
C: \ Windows \ משימות \ At109.job
C: \ Windows \ משימות \ At11.job
C: \ Windows \ משימות \ At110.job
C: \ Windows \ משימות \ At111.job
C: \ Windows \ משימות \ At112.job
C: \ Windows \ משימות \ At113.job
C: \ Windows \ משימות \ At114.job
C: \ Windows \ משימות \ At115.job
C: \ Windows \ משימות \ At116.job
C: \ Windows \ משימות \ At117.job
C: \ Windows \ משימות \ At118.job
C: \ Windows \ משימות \ At119.job
C: \ Windows \ משימות \ At12.job
C: \ Windows \ משימות \ At120.job
C: \ Windows \ משימות \ At13.job
C: \ Windows \ משימות \ At14.job
C: \ Windows \ משימות \ At15.job
C: \ Windows \ משימות \ At16.job
C: \ Windows \ משימות \ At17.job
C: \ Windows \ משימות \ At18.job
C: \ Windows \ משימות \ At19.job
C: \ Windows \ משימות \ At2.job
C: \ Windows \ משימות \ At20.job
C: \ Windows \ משימות \ At21.job
C: \ Windows \ משימות \ At22.job
C: \ Windows \ משימות \ At23.job
C: \ Windows \ משימות \ At24.job
C: \ Windows \ משימות \ At3.job
C: \ Windows \ משימות \ At4.job
C: \ Windows \ משימות \ At5.job
C: \ Windows \ משימות \ At6.job
C: \ Windows \ משימות \ At7.job
C: \ Windows \ משימות \ At8.job
C: \ Windows \ משימות \ At9.job
C: \ Windows \ משימות \ At97.job
C: \ Windows \ משימות \ At98.job
C: \ Windows \ משימות \ At99.job

.
((((((((((((((((((((((((( קבצים שנוצרו מתוך 2008/10/12 כדי 2008/11/12 ))))))))))) ))))))))))))))))))))
.

2008-11-11 08:54. 2008-11-11 08:54 <dir> d -------- C: \ Program Files \ Trend Micro
2008-11-11 08:38. 2008-11-11 08:38 578.560 - - C --- C: \ Windows \ system32 \ dllcache \ User32.dll
2008-11-11 08:29. 2008-11-11 08:29 <dir> d -------- C: \ Windows \ ERUNT
2008-11-11 08:23. 2008-11-11 08:51 <dir> d -------- C: \ SDFix
2008-10-31 18:00. 2008-10-31 18:00 <dir> d -------- C: \ Documents and Settings \ NetworkService \ Application Data \ Yahoo!
2008-10-31 16:40. 2008-10-31 16:40 <dir> d -------- C: \ Documents and Settings \ Administrator \ Application Data \ Yahoo!
2008-10-31 16:39. 2008-11-10 17:27 <dir> d -------- C: \ Program Files \ Yahoo!
2008-10-29 17:23. 2008-10-29 17:23 <dir> d -------- C: \ Windows \ system32 \ CatRoot_bak
2008-10-29 17:23. 2008-09-08 03:41 333.824 ----- C --- C: \ Windows \ system32 \ dllcache \ Srv.sys
2008-10-29 17:23. 2008-06-13 04:05 272.128 ----- C --- C: \ Windows \ system32 \ dllcache \ bthport.sys
2008-10-29 17:23. 2008-08-14 03:04 138.496 ----- C --- C: \ Windows \ system32 \ dllcache \ afd.sys
2008-10-29 17:22. 2008-08-14 03:11 2.189.184 ----- C --- C: \ Windows \ system32 \ dllcache \ ntoskrnl.exe
2008-10-29 17:22. 2008-08-14 03:09 2.145.280 ----- C --- C: \ Windows \ system32 \ dllcache \ Ntkrnlmp.exe
2008-10-29 17:22. 2008-08-14 02:33 2.066.048 ----- C --- C: \ Windows \ system32 \ dllcache \ Ntkrnlpa.exe
2008-10-29 17:22. 2008-08-14 02:33 2.023.936 ----- C --- C: \ Windows \ system32 \ dllcache \ Ntkrpamp.exe
2008-10-29 17:22. 2008-09-15 05:12 1.846.400 ----- C --- C: \ Windows \ system32 \ dllcache \ Win32k.sys
2008-10-29 17:22. 2008-04-11 12:04 691.712 ----- C --- C: \ Windows \ system32 \ dllcache \ inetcomm.dll
2008-10-29 17:22. 2008-05-08 07:02 203.136 ----- C --- C: \ Windows \ system32 \ dllcache \ rmcast.sys
2008-10-28 18:39. 2008-10-28 18:39 10 - ------ C: \ Windows \ Wininit.ini
2008-10-23 14:45. 2008-10-15 09:34 337.408 ----- C --- C: \ Windows \ system32 \ dllcache \ NetApi32.DLL
2008-10-15 18:38. 2008-10-29 15:26 <dir> d -------- C: \ Windows \ system32 \-scripting
2008-10-15 18:38. 2008-10-29 15:26 <dir> d -------- C: \ Windows \ system32 \ en
2008-10-15 18:38. 2008-10-29 15:26 <dir> d -------- C: \ Windows \ system32 \ פיסות
2008-10-15 18:38. 2008-10-29 15:26 <dir> d -------- C: \ Windows \ l2schemas
2008-10-15 18:23. 2006-09-23 14:12 1.022.976 - ------ C: \ Windows \ system32 \ SETA0B.tmp
2008-10-15 18:22. 2008-08-14 03:09 2.145.280 - ------ C: \ Windows \ system32 \ ntoskrnl.exe
2008-10-15 16:09. 2008-10-15 16:09 <dir> d -------- C: \ Documents and Settings \ Administrator \ Application Data \ מניע

.
(((((((((((((((((((((((((((((((((((((((( Find3M דווח )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 00:29 --------- d ----- WC: \ Program Files \ Symantec AntiVirus
2008-11-10 22:05 --------- d ----- WC: \ Program Files \ DivX
2008-11-10 22:03 --------- d ----- WC: \ Program Files \ ג 'אווה
2008-11-10 01:37 --------- d ----- WC: \ Program Files \ Microsoft Plus! Digital Media Edition
2008-11-10 01:35 --------- d ----- WC: \ Program Files \ Microsoft Works
2008-11-08 02:37 90.112 ---- aw C: \ Windows \ DUMP3a98.tmp
2008-11-08 01:26 30 ---- aw C: \ Documents and Settings \ Administrator \ jagex_runescape_preferences. DAT
2008-10-29 22:11 --------- d - ש - WC: \ Program Files \ InstallShield Installation Information
2008-10-29 22:11 --------- d ----- WC: \ Program Files \ ATI טכנולוגיות
2008-10-25 01:16 --------- d ----- WC: \ Documents and Settings \ Administrator \ Application Data \ הזז רשתות
2008-10-16 22:05 --------- d ----- WC: \ Documents and Settings \ All Users \ Application Data \ נקודת מבט
2008-10-16 01:06 --------- d ----- WC: \ Program Files \ Google
2008-09-28 22:59 --------- d ----- WC: \ Program Files \ Common Files \ AOL
2008-09-22 21:29 --------- d ----- WC: \ Documents and Settings \ All Users \ Application Data \ AOL OCP
2008-09-22 21:29 --------- d ----- WC: \ Documents and Settings \ Administrator \ Application Data \ acccore
2008-09-22 21:27 --------- d ----- WC: \ Documents and Settings \ All Users \ Application Data \ AOL
2008-09-17 01:24 --------- d ----- WC: \ Documents and Settings \ Administrator \ Application Data \ VSO
2007-12-28 00:53 79.738 ---- aw C: \ Documents and Settings \ גופנים \ broken_ghost.zip
2007-11-23 01:25 81.920 ---- aw C: \ Documents and Settings \ Administrator \ Application Data \ ezpinst.exe
2007-11-23 01:25 47.360 ---- aw C: \ Documents and Settings \ Administrator \ Application Data \ pcouffin.sys
.

רג טוען ((((((((((((((((((((((((((((((((((((( נקודות )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* הערה * ריק ערכי & לגיטימי ערכי ברירת המחדל הם לא מוצגות
REGEDIT4

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ הפעלה]
"Ctfmon.exe" = "C: \ Windows \ system32 \ Ctfmon.exe" [2008-04-13 15360]
"Window Washer" = "C: \ Program Files \ Webroot \ Washer \ wwDisp.exe" [2005-03-08 910336]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ הפעלה]
"ehTray" = "C: \ Windows \ ehome \ ehtray.exe" [2004-08-04 50176]
"hpsysdrv" = "C: \ Windows \ SYSTEM \ hpsysdrv.exe" [1998-05-07 52736]
"HotKeysCmds" = "C: \ Windows \ system32 \ hkcmd.exe" [2003-10-02 118784]
"CamMonitor" = "C: \ Program Files \ HP \ Digital Imaging \ ביטול \ hpqcmon.exe" [2002-10-07 90112]
"HPHmon05" = "C: \ Windows \ system32 \ hphmon05.exe" [2003-05-23 483328]
"מקלדת" = "C: \ HP \ מקלדת \ KBD.EXE" [2003-02-11 61440]
"TkBellExe" = "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe" [2003-12-17 151597]
"Recguard" = "C: \ Windows \ SMINST \ RECGUARD.EXE" [2002-09-13 212992]
"PS2" = "C: \ Windows \ system32 \ ps2.exe" [2002-10-16 81920]
"Sunkist2k" = "C: \ Program Files \ Multimedia Card Reader \ shwicon2k.exe" [2003-08-14 139264]
"ccApp" = "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" [2005-06-02 48752]
"vptray" = "c: \ progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2005-06-23 85696]
"RemoteControl" = "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck" = "C: \ Windows \ system32 \ NeroCheck.e רכיבת" [2001-07-09 155648]
"GrooveMonitor" = "C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe" [2006-10-27 31016]
"Adobe Reader Speed משגר" = "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" [2007-10-10 39792]
"ATIModeChange" = "Ati2mdxx.exe" [2001/09/05 C: \ Windows \ system32 \ Ati2mdxx.exe]
"LTMSG" = "LTMSG.exe" [2003/07/14 C: \ Windows \ ltmsg.exe]

[HKEY_USERS \. Default \ Software \ Microsoft \ Windows \ כלב rentVersion \ הפעלה]
"AdobeUpdater" = "C: \ Program Files \ Common Files \ Adobe \ Updater5 \ AdobeUpdater.exe" [2007-03-01 2321600]

C: \ Documents and Settings \ All Users \ תפריט התחלה \ תוכניות \ הפעלה \
אדובי גמא Loader.lnk - C: \ Program Files \ Common Files \ Adobe \ Calibration \ Adobe Gamma Loader.exe [2007-11-22 113664]
HP Digital Imaging Monitor.lnk - C: \ Program Files \ HP \ Digital Imaging \ bin \ hpqtra08.exe [2003-09-16 237568]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ ניטור \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001

[HKLM \ ~ \ Services \ sharedaccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ רשימה]
"% windir% \ \ system32 \ \ sessmgr.exe" =
"C: \ \ Program Files \ \ עדכונים של HP \ \ 137903 \ \ תוכנית \ \ BackWeb-137903.exe" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ Outlook.exe" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ GROOVE.EXE" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ ONENOTE.EXE" =
"% windir% \ \ Network לאבחון \ \ xpnetdiag.exe" =

R2 CX88XBAR; Conexant 2388x קלט שדר כפול: C: \ Windows \ system32 \ drivers \ CX88XBARDUAL.sys [2003-12-10 7040]
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit / התגנבות תוכנות זדוניות על ידי גלאי Gmer, http://www.gmer.net
Rootkit סריקה 2008-11-11 17:26:59
Windows 5.1.2600 Service Pack 3 ב-NTFS

סריקת תהליכים נסתרים ...

סריקה מוסתרת autostart ערכים ...

סריקת קבצים מוסתרים ...

הסריקה הסתיימה בהצלחה
קבצים מוסתרים: 0

************************************************** ************************
.
------------------------ אחר הפעלת תהליכי ----------------------- --
.
C: \ Windows \ system32 \ ati2evxx.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Photodex \ ProShowGold \ scsiaccess.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ עדכונים של HP \ 137903 \ תוכנית \ BackWeb-137903.exe
C: \ Windows \ system32 \ hpzipm12.exe
.
************************************************** ************************
.
זמן סיום: 2008-11-11 17:34:29 - מכונת היה rebooted
ComboFix-בהסגר-files.txt 2008-11-12 00:34:22
ComboFix2.txt 2008-11-11 18:47:44

Pre-Run: 89064681472 bytes חינם
Post-Run: 89055629312 bytes חינם

239 --- EOF --- 2008-10-30 03:01:59

פתילים דומים
חוט	Thread Starter	פורום	תגובות	הודעה אחרונה
Iexplore.exe וירוס? Please Help!	tharp68	וירוסים, תוכנות ריגול ואבטחה	8	7 ינואר 2009 16:33
Re: iexplore.exe וירוס	mpenney	וירוסים, תוכנות ריגול ואבטחה	6	3rd נובמבר 2008 14:11
Iexplore.exe וירוס שוב!	davejess00	וירוסים, תוכנות ריגול ואבטחה	18	13 אוקטובר 2008 10:16
IEXPLORER.EXE לחטוף וירוס pls לעיין ביומן	nitingaur	וירוסים, תוכנות ריגול ואבטחה	15	22 ספטמבר 2008 16:40
Iexplore.exe וירוס	kfarns00	וירוסים, תוכנות ריגול ואבטחה	9	4th דצמבר 2007 14:26

שרשרת כלים
הצג גרסה להדפסה אימייל דף זה