Autorun בעיה

Zephiron · #1 13 פבואר 2008, 23:35

היי,
אני נתקל באותה בעיה כמו dgethin. אני אהיה פרסום combofix ויומני HJT בבוקר.

**evilfantasy** · #2 14 פבואר 2008, 09:53

אנא השתמש פתיל להסרת תוכנה זדונית ולא להפעיל כלום חוץ מזה, אלא אם כן ביקש.
http://www.computer-juice.com/forums...-posting-7476/

Zephiron · #3 16 פבואר 2008, 19:14

ניסיתי את כל התוכנות על חוט, והם לא היו תוצאות. כשאני מתחיל XP, Sygate יצוץ אומר:

C: \\ Documents and Settings \\ Alex \\ Local Settings \\ Temp \\ ir_ext_temp_19 \\ autorun.exe מנסה להתחבר update.ath.cx [85.88.12.29] מרחוק באמצעות יציאת 80 [HTTP - World Wide Web]. האם אתה רוצה לאפשר תוכנית זו גישה לרשת?

Zephiron · #4 16 פבואר 2008, 19:37

התעלמות ההודעה הקודמת שלי בינתיים, בבקשה.
נראה שזה הפסיק אחרי רצתי SmitfraudFix.exe

**evilfantasy** · #5 17 פבואר 2008, 09:33

בלי לוגים אני לא יכול לראות מה קורה. בבקשה לכתוב יומן HijackThis.

Zephiron · #6 17 פבואר 2008, 10:40

לא חשוב, SmitfraudFix.exe לא לעבוד, אבל לאחר שרץ SDFix, נראה כי עצר.

קובץ היומן של Trend Micro HijackThis v2.0.2
סרוק הציל בשעה 12:38:28, על 2/17/2008
פלטפורמה: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
מצב אתחול: רגיל

תהליכים משוער:
C: \\ WINDOWS \\ system32 \\ smss.exe
C: \\ WINDOWS \\ system32 \\ Winlogon.exe
C: \\ WINDOWS \\ system32 \\ services.exe
C: \\ WINDOWS \\ system32 \\ lsass.exe
C: \\ WINDOWS \\ system32 \\ Ati2evxx.exe
C: \\ WINDOWS \\ system32 \\ svchost.exe
C: \\ WINDOWS \\ system32 \\ svchost.exe
C: \\ WINDOWS \\ system32 \\ svchost.exe
C: \\ Program Files \\ Sygate \\ SPF \\ smc.exe
C: \\ WINDOWS \\ system32 \\ ACS.exe
C: \\ WINDOWS \\ system32 \\ Spoolsv.exe
C: \\ WINDOWS \\ Explorer.exe
C: \\ Program Files \\ ATI Technologies \\ ATI Control Panel \\ atiptaxx.exe
C: \\ Program Files \\ Apoint2K \\ Apoint.exe
C: \\ Program Files \\ TOSHIBA \\ Power Management \\ CePMTray.exe
C: \\ WINDOWS \\ system32 \\ rundll32.exe
C: \\ Program Files \\ Adobe \\ Reader 8.0 \\ Reader \\ Reader_sl.exe
C: \\ WINDOWS \\ system32 \\ spool \\ drivers \\ w32x86 \\ 3 \\ E_FATIADA.EXE
C: \\ Program Files \\ Java \\ jre1.6.0_03 \\ bin \\ jusched.exe
C: \\ Program Files \\ NOD32 \\ nod32kui.exe
C: \\ Program Files \\ SanDisk \\ Sansa Updater \\ SansaDispatch.exe
C: \\ Program Files \\ iTunes \\ iTunesHelper.exe
C: \\ Program Files \\ Grisoft \\ AVG Anti-Spyware 7.5 \\ avgas.exe
C: \\ WINDOWS \\ system32 \\ CTFMON.EXE
C: \\ WINDOWS \\ system32 \\ RAMASST.exe
C: \\ Program Files \\ Last.fm \\ LastFMHelper.exe
C: \\ Program Files \\ Apoint2K \\ Apntex.exe
C: \\ Program Files \\ Common Files \\ Apple \\ Mobile Device Support \\ bin \\ AppleMobileDeviceService.exe
C: \\ Program Files \\ Grisoft \\ AVG Anti-Spyware 7.5 \\ guard.exe
C: \\ Program Files \\ TOSHIBA \\ Power Management \\ CeEPwrSvc.exe
C: \\ WINDOWS \\ system32 \\ DVDRAMSV.exe
C: \\ WINDOWS \\ system32 \\ E_S00RP1.EXE
C: \\ Program Files \\ NOD32 \\ nod32krn.exe
C: \\ Program Files \\ iPod \\ bin \\ iPodService.exe
C: \\ WINDOWS \\ system32 \\ svchost.exe
C: \\ WINDOWS \\ system32 \\ wuauclt.exe
C: \\ Program Files \\ Mozilla Thunderbird \\ thunderbird.exe
C: \\ Program ~ 1 \\ MOZILL ~ 1 \\ firefox.exe
C: \\ Program Files \\ Trend Micro \\ HijackThis \\ sniper.exe

- O2 BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \\ Program Files \\ Common Files \\ Adobe \\ Acrobat \\ ActiveX \\ AcroIEHelper.dll
- O2 BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \\ Program ~ 1 \\ Spybot ~ 1 \\ SDHelper.dll
- O2 BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \\ Program Files \\ Java \\ jre1.6.0_03 \\ bin \\ ssv.dll
- O2 BHO: (no name) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (לא קובץ)
O4 - HKLM \\ .. \\ Run: [ATIPTA] C: \\ Program Files \\ ATI Technologies \\ ATI Control Panel \\ atiptaxx.exe
O4 - HKLM \\ .. \\ Run: [Apoint] C: \\ Program Files \\ Apoint2K \\ Apoint.exe
O4 - HKLM \\ .. \\ Run: [CeEPOWER] C: \\ Program Files \\ TOSHIBA \\ Power Management \\ CePMTray.exe
O4 - HKLM \\ .. \\ Run: [BluetoothAuthenticationAgent] bthprops.cpl rundll32.exe,, BluetoothAuthenticationAgent
O4 - HKLM \\ .. \\ Run: [Adobe Reader Speed Launcher] "C: \\ Program Files \\ Adobe \\ Reader 8.0 \\ Reader \\ Reader_sl.exe"
O4 - HKLM \\ .. \\ Run: [SmcService] C: \\ Program ~ 1 \\ Sygate \\ SPF \\ smc.exe-startgui
O4 - HKLM \\ .. \\ Run: [\\ \\ הורים \\ Epson Stylus CX4800 Series] C: \\ WINDOWS \\ system32 \\ spool \\ drivers \\ w32x86 \\ 3 \\ E_FATIADA.EXE / P36 "\\ \\ הורים \\ Epson Stylus CX4800 Series" / O6 "USB001" / M "Stylus CX4800"
O4 - HKLM \\ .. \\ Run: [אוטומטי Epson Stylus CX4800 סדרה על ההורים] C: \\ WINDOWS \\ system32 \\ spool \\ drivers \\ w32x86 \\ 3 \\ E_FATIADA.EXE / P42 "אוטומטי Epson Stylus CX4800 סדרה על ההורים" / O17 " \\ \\ הורים \\ מדפסת "/ M" Stylus CX4800 "
O4 - HKLM \\ .. \\ Run: [SunJavaUpdateSched] "C: \\ Program Files \\ Java \\ jre1.6.0_03 \\ bin \\ jusched.exe"
O4 - HKLM \\ .. \\ Run: [אוטומטי Epson Stylus CX4800 סדרה על ההורים (העתק 1)] C: \\ WINDOWS \\ system32 \\ spool \\ drivers \\ w32x86 \\ 3 \\ E_FATIADA.EXE / P51 "אוטומטי Epson Stylus CX4800 סדרה על ההורים (העתק 1) "/ O15" \\ \\ הורים \\ "Epson / M" Stylus CX4800 "
O4 - HKLM \\ .. \\ Run: [nod32kui] "C: \\ Program Files \\ NOD32 \\ nod32kui.exe" / WAITSERVICE
O4 - HKLM \\ .. \\ Run: [(0228e555-4f9c-4e35-a3ec-b109a192b4c2)] "C: \\ Program Files \\ Google \\ Gmail Notifier \\ gnotify.exe
O4 - HKLM \\ .. \\ Run: [SansaDispatch] C: \\ Program Files \\ SanDisk \\ Sansa Updater \\ SansaDispatch.exe
O4 - HKLM \\ .. \\ Run: [QuickTime Task] "C: \\ Program Files \\ QuickTime \\ QTTask.exe"-atboottime
O4 - HKLM \\ .. \\ Run: [iTunesHelper] "C: \\ Program Files \\ iTunes \\ iTunesHelper.exe"
O4 - HKLM \\ .. \\ Run: [! AVG Anti-Spyware] "C: \\ Program Files \\ Grisoft \\ AVG Anti-Spyware 7.5 \\ avgas.exe" / ממוזער
O4 - HKLM \\ .. \\ Run: [CTFMON.EXE] C: \\ WINDOWS \\ system32 \\ CTFMON.EXE
- O4 Startup: Last.fm Helper.lnk = C: \\ Program Files \\ Last.fm \\ LastFMHelper.exe
O4 - Global Startup: RAMASST.lnk = C: \\ WINDOWS \\ system32 \\ RAMASST.exe
O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \\ Program Files \\ Java \\ jre1.6.0_03 \\ bin \\ ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \\ Program Files \\ Java \\ jre1.6.0_03 \\ bin \\ ssv.dll
O9 - Extra button: (no name) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \\ Program ~ 1 \\ Spybot ~ 1 \\ SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \\ Program ~ 1 \\ Spybot ~ 1 \\ SDHelper.dll
O9 - Extra button: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \\ WINDOWS \\ network diagnostic \\ xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @ Xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \\ WINDOWS \\ network diagnostic \\ xpnetdiag.exe
O9 - Extra button: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \\ Program Files \\ Messenger \\ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \\ Program Files \\ Messenger \\ msmsgs.exe
O16 - DPF: (644E432F-49D3-41A1-8DD5-E099162EEEC5) (Symantec RuFSI Utility Class) -- http://security.symantec.com/sscv6/S.../bin/cabsa.cab
- O18 פרוטוקול: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \\ Program ~ 1 \\ COMMON ~ 1 \\ Skype \\ SKYPE4 ~ 1.DLL
- O23 Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C: \\ Program Files \\ Lavasoft \\ Ad-Aware 2007 \\ aawservice.exe
- O23 שירות: Atheros תצורת השירות (ACS) - הבעלים לא ידוע - C: \\ WINDOWS \\ system32 \\ ACS.exe
- O23 שירות: אפל מכשיר נייד - Apple, Inc - C: \\ Program Files \\ Common Files \\ Apple \\ Mobile Device Support \\ bin \\ AppleMobileDeviceService.exe
- O23 שירות: ATI Hotkey Poller - הבעלים לא ידוע - C: \\ WINDOWS \\ system32 \\ Ati2evxx.exe
- O23 Service: AVG Anti-Spyware Guard - Grisoft sro - C: \\ Program Files \\ Grisoft \\ AVG Anti-Spyware 7.5 \\ guard.exe
- O23 שירות: CeEPwrSvc - Compal אלקטרוניקה, INC - C: \\ Program Files \\ TOSHIBA \\ Power Management \\ CeEPwrSvc.exe
- O23 שירות: DVD-RAM_Service - Matsushita Electric Industrial Co, Ltd - C: \\ WINDOWS \\ system32 \\ DVDRAMSV.exe
- O23 שירות: EPSON V3 Service2 (03) (EPSON_PM_RPCV2_01) - Seiko EPSON CORPORATION - C: \\ WINDOWS \\ system32 \\ E_S00RP1.EXE
- O23 Service: iPod - אפל - C: \\ Program Files \\ iPod \\ bin \\ iPodService.exe
- O23 Service: NOD32 Kernel Service (NOD32krn) - Eset - C: \\ Program Files \\ NOD32 \\ nod32krn.exe
- O23 Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc - C: \\ Program Files \\ Sygate \\ SPF \\ smc.exe

--
סוף הקובץ - 6838 בייטים

**evilfantasy** · #7 17 פבואר 2008, 11:52

פתח HijackThis ובחר האם מערכת סריקה בלבד.

במקום סימון ליד את הערכים הבאים: (אם יש)

- O2 BHO: (no name) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (לא קובץ)

חשוב: סגור את כל החלונות למעט HijackThis ולאחר מכן לחץ על תקן בדק.

HijackThis יציאה.

----------

אנא Combofix ידי subs להוריד מאחד הקישורים שלהלן.
(נסה את כל שלוש במידת הצורך)

חשוב! Combofix.exe MUST יישמר ורץ מן שולחן העבודה.

סגור את כל לפתוח דפדפני אינטרנט. (פיירפוקס, אינטרנט אקספלורר, וכו ') לפני תחילת Combofix.
חשוב! זמנית להשבית שלך אנטי וירוס, סקריפט חוסם וכל ריגול הגנה בזמן אמת לפני ביצוע הסריקה.
- לחץ קישור זה כדי לראות רשימה של תוכניות האבטחה צריכה להיות נכים כיצד לבטל אותם.
- אם שלך לא מופיע ברשימה ואתה לא יודע איך לבטל את זה, בבקשה לשאול.
אזהרה: Combofix המחשב מתנתק מהאינטרנט. החיבור משוחזרים אוטומטית לפני Combofix משלים ההפעלה שלה.
לחץ פעמיים combofix.exe & ופעל בהתאם להנחיות.
- מלוח המקשים בחר 1 ולחצו הזן
בסיום, אותו יפיק יומן בשבילך.
פוסט יומן כי בתשובה הבאה שלך.

אזהרה: חלון אל combofix לא mouseclick של בזמן שהוא רץ. כי זה עלול לגרום לדוכן

אם Combofix נתקל בקשיים תפקע בטרם עת, את החיבור ניתן לשחזר באופן ידני על ידי הפעלה מחדש של המחשב.
חשוב: זכור להפעיל שוב את האנטי וירוס שלך ו למניעת תוכנות ריגול לפני החיבור מחדש לאינטרנט.

----------

אנא ללכת C: \\ SDFix ואת הפוסט Report.txt הנה יחד עם יומן Combofix.

Zephiron · #8 17 פבואר 2008, 13:38

ComboFix 08-02-17.2 - אלכס 2008-02-17 15:33:29.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.984 [GMT -5:00]
רצים: C: \\ Documents and Settings \\ Alex \\ Desktop \\ ComboFix.exe
* יוצר נקודת שחזור חדשה
.

((((((((((((((((((((((((( קבצים שנוצרו מתוך 2008/01/17 כדי 2008/02/17 ))))))))))) ))))))))))))))))))))
.

2008-02-16 22:53. 2008-02-16 22:53 <dir> d -------- C: \\ WINDOWS \\ ERUNT
2008-02-16 21:19. 2008-02-16 21:25 4.706 - C ------: \\ WINDOWS \\ system32 \\ tmp.reg
2008-02-14 21:38. 2008-02-14 21:38 <dir> d -------- C: \\ Program Files \\ שרזה
2008-02-14 21:38. 2008-02-14 21:38 <dir> d -------- C: \\ Documents and Settings \\ אלכס \\ Application Data \\ Shareaza
2008-02-14 18:39. 2008-02-14 18:39 <dir> d -------- C: \\ Documents and Settings \\ All Users \\ Application Data \\ Grisoft
2008-02-14 18:39. 2008-02-14 18:39 <dir> d -------- C: \\ Documents and Settings \\ אלכס \\ Application Data \\ Grisoft
2008-02-14 18:39. 2007-05-30 07:10 10.872 - C ------: \\ WINDOWS \\ system32 \\ drivers \\ AvgAsCln.sys
2008-02-14 18:38. 2008-02-14 18:39 <dir> d -------- C: \\ Documents and Settings \\ אלכס \\. SunDownloadManager
2008-02-14 18:00. 2008-02-14 18:00 <dir> d -------- C: \\ Program Files \\ Lavasoft
2008-02-14 18:00. 2008-02-14 18:01 <dir> d -------- C: \\ Documents and Settings \\ All Users \\ Application Data \\ Lavasoft
2008-02-14 17:08. 2008-02-14 17:08 <dir> d -------- C: \\ Program Files \\ Trend Micro
2008-02-14 17:00. 2008-02-14 17:00 <dir> d -------- C: \\ Program Files \\ VS Revo Group
2008-02-14 16:26. 2008-02-14 16:26 <dir> d -------- C: \\ Program Files \\ CCleaner
2008-02-14 01:27. 2008-02-14 01:27 <dir> d -------- C: \\ Documents and Settings \\ אלכס \\ DoctorWeb
2008-02-12 01:17. 2007-11-05 16:34 15.760 - C ------: \\ WINDOWS \\ system32 \\ iviaspi.sys
2008-02-12 00:58. 2008-02-14 16:23 <dir> d -------- C: \\ Program Files \\ כל ממיר וידאו
2008-02-12 00:58. 2008-02-14 16:23 <dir> d -------- C: \\ Documents and Settings \\ אלכס \\ Application Data \\ כל ממיר וידאו
2008-02-12 00:44. 2008-02-14 16:24 <dir> d -------- C: \\ Documents and Settings \\ All Users \\ Application Data \\ River Past G5
2008-02-12 00:44. 2008-02-14 16:24 <dir> d -------- C: \\ Documents and Settings \\ אלכס \\ Application Data \\ River Past G5
2008-02-12 00:34. 2008-02-12 00:34 <dir> d -------- C: \\ Documents and Settings \\ אלכס \\ Application Data \\ ArcSoft
2008-02-12 00:16. 2008-02-14 16:24 <dir> d -------- C: \\ Program Files \\ NCH תוכנה
2008-02-12 00:16. 2008-02-12 00:16 <dir> d -------- C: \\ Documents and Settings \\ All Users \\ Application Data \\ NCH תוכנה
2008-02-11 23:21. 2008-02-11 23:21 <dir> d -------- C: \\ Program Files \\ iPod
2008-02-11 23:21. 2008-02-17 15:18 54.156 - אה ----- C: \\ WINDOWS \\ QTFont.qfn
2008-02-11 23:21. 2008-02-11 23:21 1.409 - C ------: \\ WINDOWS \\ QTFont.for
2008-02-11 23:20. 2008-02-11 23:21 <dir> d -------- C: \\ Program Files \\ iTunes
2008-02-11 23:18. 2008-02-11 23:19 <dir> d -------- C: \\ Program Files \\ QuickTime
2008-02-08 19:38. 2008-02-08 19:38 <dir> d -------- C: \\ Program Files \\ Mp3tag
2008-02-08 19:38. 2008-02-08 19:48 <dir> d -------- C: \\ Documents and Settings \\ אלכס \\ Application Data \\ Mp3tag
2008-02-05 07:30. 2008-02-05 23:28 23.392 - C ------: \\ WINDOWS \\ system32 \\ nscompat.tlb
2008-02-05 07:30. 2008-02-05 23:28 16.832 - C ------: \\ WINDOWS \\ system32 \\ amcompat.tlb
2008-02-05 00:40. 2008-02-05 23:34 <dir> d -------- C: \\ bin
2008-02-04 18:48. 2008-02-04 18:48 870.128 - C ------: \\ WINDOWS \\ system32 \\ mcs.rma
2008-02-04 18:48. 2008-02-04 18:48 4 - C ------: \\ WINDOWS \\ system32 \\ C3F1F0
2008-02-04 18:46. 2008-02-04 18:46 <dir> d -------- C: \\ Program Files \\ Common Files \\ נדל
2008-02-04 18:46. 2008-02-04 18:46 8.413 - C ------: \\ WINDOWS \\ system32 \\ drivers \\ mcstrm.sys
2008-02-04 18:45. 2008-02-04 18:45 <dir> d -------- C: \\ Program Files \\ נדל
2008-02-04 18:11. 2008-02-12 01:16 <dir> d -------- C: \\ Program Files \\ SanDisk
2008-02-04 17:47. 2004-08-03 18:56 221.184 - C ------: \\ WINDOWS \\ system32 \\ wmpns.dll
2008-02-04 17:39. 2008-02-05 23:32 <dir> d -------- C: \\ WINDOWS \\ system32 \\ drivers \\ umdf
2008-02-01 14:42. 2008-02-01 14:40 691.545 - C ------: \\ WINDOWS \\ unins000.exe
2008-02-01 14:42. 2008-02-01 14:42 3.440 - C ------: \\ WINDOWS \\ unins000.dat
2008-01-31 23:13. 2008-01-31 23:13 90.112 - C ------: \\ WINDOWS \\ system32 \\ QuickTimeVR.qtx
2008-01-31 23:13. 2008-01-31 23:13 57.344 - C ------: \\ WINDOWS \\ system32 \\ QuickTime.qts
2008-01-26 20:11. 2008-02-16 16:49 <dir> d -------- C: \\ Program Files \\ Steam
2008-01-25 17:25. 2008-01-28 20:17 <dir> d -------- C: \\ Program Files \\ Common Files \\ Blizzard Entertainment

.
(((((((((((((((((((((((((((((((((((((((( Find3M דווח )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-17 17:46 --------- d ----- w C: \\ Program Files \\ Mozilla Thunderbird
2008-02-17 04:53 --------- d ----- w C: \\ Documents and Settings \\ אלכס \\ Application Data \\. סגולים
2008-02-15 03:05 --------- d ----- w C: \\ Documents and Settings \\ אלכס \\ Application Data \\ LimeWire
2008-02-14 22:59 --------- d ----- w C: \\ Program Files \\ Common Files \\ אשף התקנה וייז
2008-02-12 06:16 --------- d - h - w C: \\ Program Files \\ InstallShield Installation Information
2008-02-12 04:20 --------- d ----- w C: \\ Documents and Settings \\ All Users \\ Application Data \\ Apple Computer
2008-02-11 12:37 --------- d ----- w C: \\ Documents and Settings \\ אלכס \\ Application Data \\ OpenOffice.org2
2008-02-09 00:12 --------- d ----- w C: \\ Program Files \\ NOD32
2008-02-06 04:17 --------- d ----- w C: \\ Program Files \\ Windows Media Connect 2
2008-02-04 22:55 --------- d ----- w C: \\ Program Files \\ Last.fm
2008-02-01 19:44 --------- d ----- w C: \\ Documents and Settings \\ All Users \\ Application Data \\ Spybot - Search & Destroy
2008-02-01 19:43 --------- d ----- w C: \\ Program Files \\ Spybot - Search & Destroy
2008-02-01 01:29 --------- D ----- w C: \\ Documents and Settings \\ אלכס \\ Application Data \\ GTK-2.0
2008-01-19 02:24 --------- d ----- w C: \\ Program Files \\ DivX
2008-01-07 00:47 --------- D ----- w C: \\ Program Files \\ NCSoft
2008-01-07 00:45 --------- d ----- w C: \\ Documents and Settings \\ אלכס \\ Application Data \\ InstallShield
2007-12-26 19:43 --------- d ----- w C: \\ Program Files \\ Guitar Pro 5
2007-12-26 19:02 715.248 ---- aw C: \\ WINDOWS \\ system32 \\ drivers \\ sptd.sys
2007-12-25 04:58 --------- d ----- w C: \\ Documents and Settings \\ אלכס \\ Application Data \\ Apple Computer
2007-12-25 04:56 --------- d ----- w C: \\ Program Files \\ Common Files \\ Apple
2007-12-18 09:51 179.584 ---- aw C: \\ WINDOWS \\ system32 \\ drivers \\ mrxdav.sys
2007-12-14 16:32 12.632 ---- aw C: \\ WINDOWS \\ system32 \\ lsdelete.exe
2007-12-07 02:21 824.832 ---- aw C: \\ WINDOWS \\ system32 \\ Wininet.dll
2007-12-04 18:38 550.912 ---- aw C: \\ WINDOWS \\ system32 \\ Oleaut32.dll
2007-11-29 22:30 200.704 ---- aw C: \\ WINDOWS \\ system32 \\ ssldivx.dll
2007-11-29 22:30 1.044.480 ---- aw C: \\ WINDOWS \\ system32 \\ libdivx.dll
.

((((((((((((((((((((((((((((((((((((( רג נקודות Loading )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* הערה * שדות ריקים & ערכי ברירת המחדל חוקי לא מוצגות
REGEDIT4

[HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run]
"ctfmon.exe" = "C: \\ WINDOWS \\ system32 \\ ctfmon.exe" [2004-08-03 18:56 15360]

[HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Run]
"ATIPTA" = "C: \\ Program Files \\ ATI Technologies \\ ATI Control Panel \\ atiptaxx.exe" [2004-04-21 20:10 335872]
"Apoint" = "C: \\ Program Files \\ Apoint2K \\ Apoint.exe" [2003-10-30 15:46 192512]
"CeEPOWER" = "C: \\ Program Files \\ TOSHIBA \\ Power Management \\ CePMTray.exe" [2004-05-20 09:21 135168]
"BluetoothAuthenticationAgent" = "bthprops.cpl" [2004-08-03 23:56 110592 C: \\ WINDOWS \\ system32 \\ bthprops.cpl]
"Adobe Reader Speed Launcher" = "C: \\ Program Files \\ Adobe \\ Reader 8.0 \\ Reader \\ Reader_sl.exe" [2007-10-10 19:51 39792]
"SmcService" = "C: \\ Program ~ 1 \\ Sygate \\ SPF \\ smc.exe" [2004-10-15 18:40 2577632]
"\\ \\ הורים \\ Epson Stylus CX4800 Series" = "C: \\ WINDOWS \\ system32 \\ spool \\ drivers \\ w32x86 \\ 3 \\ E_FATIADA.exe" [2005-02-01 14:00 98304]
"אוטומטי Epson Stylus CX4800 סדרה על ההורים" = "C: \\ WINDOWS \\ system32 \\ spool \\ drivers \\ w32x86 \\ 3 \\ E_FATIADA.exe" [2005-02-01 14:00 98304]
"SunJavaUpdateSched" = "C: \\ Program Files \\ Java \\ jre1.6.0_03 \\ bin \\ jusched.exe" [2007-09-25 00:11 132496]
"אוטומטי Epson Stylus CX4800 סדרה על ההורים (העתק 1)" = "C: \\ WINDOWS \\ system32 \\ spool \\ drivers \\ w32x86 \\ 3 \\ E_FATIADA.exe" [2005-02-01 14:00 98304]
"nod32kui" = "C: \\ Program Files \\ NOD32 \\ nod32kui.exe" [2007-09-22 19:28 949376]
"(0228e555-4f9c-4e35-a3ec-b109a192b4c2)" = "C: \\ Program Files \\ Google \\ Gmail Notifier \\ gnotify.exe" [2005-07-15 16:48 479232]
"SansaDispatch" = "C: \\ Program Files \\ SanDisk \\ Sansa Updater \\ SansaDispatch.exe" [2007-10-22 12:52 75584]
"QuickTime Task" = "C: \\ Program Files \\ QuickTime \\ QTTask.exe" [2008-01-31 23:13 385024]
"iTunesHelper" = "C: \\ Program Files \\ iTunes \\ iTunesHelper.exe" [2008-02-04 14:18 267048]
"! AVG Anti-Spyware" = "C: \\ Program Files \\ Grisoft \\ AVG Anti-Spyware 7.5 \\ avgas.exe" [2007-06-11 04:25 6731312]

C: \\ Documents and Settings \\ אלכס \\ Start Menu \\ Programs \\ Startup \\
Last.fm Helper.lnk - C: \\ Program Files \\ Last.fm \\ LastFMHelper.exe [2007-11-23 20:41:24 106496]

C: \\ Documents and Settings \\ All Users \\ Start Menu \\ Programs \\ Startup \\
RAMASST.lnk - C: \\ WINDOWS \\ system32 \\ RAMASST.exe [2007-05-17 19:28:25 155648]

[HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Shared Tools \\ \\ msconfig startupreg \\ iTunesHelper]
- ------ 2008-02-04 14:18 267048 C: \\ Program Files \\ iTunes \\ iTunesHelper.exe

R1 ECioctl; ECioctl; C: \\ WINDOWS \\ system32 \\ drivers \\ ECioctl.sys [2004-05-06 12:40]

.
התוכן של תיקיית "משימות מתוזמנות"
"2008-02-12 04:12:01 C: \\ WINDOWS \\ משימות \\ AppleSoftwareUpdate.job"
- C: \\ Program Files \\ Apple Software Update \\ SoftwareUpdate.exe
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit / stealth malware גלאי ידי Gmer, http://www.gmer.net
Rootkit סריקה 2008-02-17 15:36:26
Windows 5.1.2600 Service Pack 2 NTFS

סריקת תהליכים נסתרים ...

סריקת ערכי autostart מוסתר ...

סריקת קבצים מוסתרים ...

סריקה הושלמה בהצלחה
קבצים מוסתרים: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Run]
"\\ \\ \\ \\ הורים \\ EPSON Stylus CX4800 Series" = "C: \\ \\ WINDOWS \\ \\ system32 \\ \\ spool \\ \\ drivers \\ \\ w32x86 \\ \\ 3 \\ \\ E_FATIADA.EXE / P36 \\" \\ \\ \\ \\ הורים \\ \\ EPSON Stylus CX4800 Series \\ "/ O6 \\" USB001 \\ "/ ז \\" Stylus CX4800 \\ ""
.
זמן סיום: 2008-02-17 15:37:28
ComboFix-בהסגר-files.txt 2008-02-17 20:37:03
ComboFix2.txt 2008-02-01 18:40:13
.
2008-02-12 22:03:35 --- EOF ---

SDFix: גירסה 1,143

המנוהלת על ידי אלכס ב שבת 02/16/2008 בשעה 10:55

Microsoft Windows XP [גירסה 5.1.2600]
מאת משוער: C: \\ DOCUME ~ 1 \\ אלכס \\ Desktop \\ SDFix

שירותי בדיקה:

שחזור ערכי הרישום של Windows
Restoring Windows Default Hosts File

אתחול מחדש ...

בדיקת קבצים:

לא נמצאו קבצים טרויאני

הסרת קבצים זמניים ...

ADS בדוק:

סופי בדוק:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit / stealth malware גלאי ידי Gmer, http://www.gmer.net
Rootkit סריקה 2008-02-16 23:03:09
Windows 5.1.2600 Service Pack 2 NTFS

סריקת תהליכים נסתרים ...

שירותי סריקה מוסתרים & כוורת המערכת ...

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ ControlSet001 \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 0400ea440ad8]
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ ControlSet001 \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 1000aa440ad8]
"0016cff28996" = hex: 08,4, AB, 4e, CB, 87, DB, 38,85, B9, 06,40, EC, 97,25,75
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ ControlSet001 \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 1020e84408d8]
"001963092cc5" = hex: F3, 31,90,9 f, 77,92,3, 67, C8, C7, 14, dc, 15,5 d, 94, F8
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ ControlSet001 \\ Services \\ sptd \\ cfg \\ 0D79C293C1ED61418462E24595C90D04]
"p0" = "C: \\ Program Files \\ Alcohol Soft \\ Alcohol 120 \\"
"h0" = dword: 00000000
"ujdew" = hex: 71,01,87,6, A3, BF, מודעות, CA, 49,9 b, DC, E8, D8, 47, A7, 01, fa, 07,8 f, 86,2 d, ..
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 0400ea440ad8]
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 1000aa440ad8]
"0016cff28996" = hex: 08,4, AB, 4e, CB, 87, DB, 38,85, B9, 06,40, EC, 97,25,75
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 1020e84408d8]
"001963092cc5" = hex: F3, 31,90,9 f, 77,92,3, 67, C8, C7, 14, dc, 15,5 d, 94, F8
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ sptd \\ cfg]
"s1" = dword: 6f80447f
"s2" = dword: a6a05479
"h0" = dword: 00000001

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ sptd \\ cfg \\ 0D79C293C1ED61418462E24595C90D04]
"h0" = dword: 00000000
"ujdew" = hex: 91, B0, 10,47,0 b, 98,1 b, ef, 71, B1, DC, 9F, 73, d5, 38, E7, D8, B4, 7b, CE, סמ"ק, ..
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ ControlSet004 \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 0400ea440ad8]
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ ControlSet004 \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 1000aa440ad8]
"0016cff28996" = hex: 08,4, AB, 4e, CB, 87, DB, 38,85, B9, 06,40, EC, 97,25,75
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ ControlSet004 \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 1020e84408d8]
"001963092cc5" = hex: F3, 31,90,9 f, 77,92,3, 67, C8, C7, 14, dc, 15,5 d, 94, F8
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ ControlSet004 \\ Services \\ sptd \\ cfg \\ 0D79C293C1ED61418462E24595C90D04]
"h0" = dword: 00000000
"ujdew" = hex: 91, B0, 10,47,0 b, 98,1 b, ef, 71, B1, DC, 9F, 73, d5, 38, E7, D8, B4, 7b, CE, סמ"ק, ..

סריקת ערכי הרישום מוסתר ...

[HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ התקנה מחדש \\% \\ xe3 \\ xce \\ 21 \\ xbf \\ xc1 \\ b]
"DisplayName" = ""
"DeviceDesc" = ""
"ProviderName" = ""
"MFG" = "\\ x435c \\ x6e6f \\ x7274 \\ x6c6f \\ x435c \\ x616c \\ x7373 \\ x745c \\ 2"
"ReinstallString" = "C: \\ WINDOWS \\ system32 \\ ReinstallBackups \\ \\ xe325 \\ \\ x11ce xc1bf \\ B \\ DriverFiles \\ \\ x49c8 \\ 23 \\ x5a00 \\ x7c91 \\ x48b4 \\ 23 \\ x4a54 \\ 23 \\ 1.INF"
"DeviceInstanceIds" = str (7): "\\ temp \\ wzse0.tmp \\ SMBus \\ smbusati.inf"
[HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ WindowsUpdate \\ עדכון אוטומטי]
"ScheduledInstallDate" = "2008-02-15 22:00:00"

סריקת קבצים מוסתרים ...

סריקה הושלמה בהצלחה
תהליכים מוסתרים: 0
שירותי מוסתרים: 0
קבצים מוסתרים: 0

שירותי נותרים:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ SharedAccess \\ Parameters \\ firewallpolicy \\ standardprofile \\ authorizedapplications \\ הרשימה]
"C: \\ \\ Program Files \\ \\ iTunes \\ \\ iTunes.exe" = "C: \\ \\ Program Files \\ \\ iTunes \\ \\ iTunes.exe: *: Enabled: iTunes"

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ SharedAccess \\ Parameters \\ firewallpolicy \\ domainprofile \\ authorizedapplications \\ הרשימה]

הקבצים שנותרו:

קבצים עם ההסתרה:

חמישי 6 ספטמבר 2007 4 A. SHR --- "C: \\ WINOS.SYS"
שני 28 ינואר 2008 1,404,240 A. SHR --- "C: \\ Program Files \\ Spybot - Search & Destroy \\ SDUpdate.exe"
שני 28 ינואר 2008 5,146,448 A. SHR --- "C: \\ Program Files \\ Spybot - Search & Destroy \\ SpybotSD.exe"
שני 28 ינואר 2008 2,097,488 A. SHR --- "C: \\ Program Files \\ Spybot - Search & Destroy \\ TeaTimer.exe"
Tue 5 פבואר 2008 0 A.SH. --- "C: \\ Documents and Settings \\ All Users \\ DRM \\ Cache \\ Indiv01.tmp"
שישי 1 פבואר 2008 0 א. ח --- "C: \\ WINDOWS \\ SoftwareDistribution \\ להוריד \\ 585dc2612ebcefc90e7dee4c276ee95e \\ BIT1B.tmp"
רביעי 23 ינואר 2008 0 א. ח --- "C: \\ WINDOWS \\ SoftwareDistribution \\ להוריד \\ 585dc2612ebcefc90e7dee4c276ee95e \\ BIT23.tmp"

סיים!

**evilfantasy** · #9 17 פבואר 2008, 14:05

SDFix לא להסיר שום דבר אבל זה לא לשחזר את קובץ ברירת המחדל של Windows המארחים כך היה יכול להיות מקור הבעיה.

אני לא רואה שום תוכנה זדונית ביומנים.

אתה רוצה לפתוח Spybot ולעדכן אותו ולהפעיל את החיסונים.

הגיע הזמן לעשות קצת ניקוי לאבטח את העבודה שעשית עד לנקודה הזאת.

לחץ START אז רוצו
עכשיו סוג Combofix / U ב runbox
ודא שיש רווח בין Combofix ו / U
ואז פגע הזן.

הנוהל לעיל:

מחק:
- ComboFix ואת הקבצים הקשורים אליה ותיקיות.
- גיבויים VundoFix, אם נוכח
- התיקייה C: \\ Deckard, אם נוכח
- C: תיקיית _OtMoveIt, אם נוכח
לאפס את הגדרות השעון.
הסתרה של סיומות, אם נדרש.
הסתר מערכת / קבצים מוסתרים, אם נדרש.
מערכת חדשה, נקודת שחזור נקי.

הורד OTMoveIt2 ידי OldTimer OTMoveIt2.exe ולמקם אותו על שולחן העבודה שלך. (אלא אם כבר יש לך את זה)

1. לחץ לחיצה כפולה OTMoveIt2.exe כדי להפעיל אותו.
2. לחץ על CleanUp! כפתור.
3. OTMoveIt2 יוריד רשימה מהאינטרנט, אם חומת האש או תוכניות הגנה אחרות מודיע לך, זה לאפשר גישה.
4. לחץ כן את הרשימה הבאה הפקודה (שהורדת, אתה רוצה להתחיל בתהליך ניקוי?)

בסיום יציאה של OTMoveIt2

בדוק שמירה על עצמך בטוחה ברשת עבור עצות וכלים חופשי להשאיר אותך בטוח בעתיד.

גם לראות המחשב איטי? זה אולי לא יהיה Malware עבור ניקוי חינם / כלי תחזוקה כדי לסייע לשמור על המחשב פועל חלק.

Zephiron · #10 17 פבואר 2008, 14:26

בסדר, עשיתי. תודה על כל העזרה!

האשכולות דומים
חוט	Thread Starter	פורום	תגובות	הודעה אחרונה
Autorun Malware?	sungod000	וירוסים, תוכנות ריגול ואבטחה	5	23 יוני 2009 12:14
פנדה ו-USB ההפעלה האוטומטית חיסון 1.0.0.19 Beta	evilfantasy	וירוסים, תוכנות ריגול ואבטחה	0	7 מרס 2009 12:47
Autorun CD	severntales	Drives & Removable Media	2	13 דצמבר 2008 00:28
Sygate Personal Firewall (Autorun Problem)	dgethin	וירוסים, תוכנות ריגול ואבטחה	16	7 ינואר 2008 14:09
תקליטור של לא Autorun / Autostart	rigisme	Drives & Removable Media	11	18 דצמבר 2007 14:37

כלי פתיל
הצג גרסה להדפסה Email this page