Terminál Fórum https://forum.technokrata.hu/forum/ |
|
Trójai https://forum.technokrata.hu/forum/viewtopic.php?f=15&t=38641 |
Oldal: 1 / 3 |
Szerző: | stell [ vas. feb. 06, 2011 11:06 ] |
Hozzászólás témája: | Re: Trójai |
Igen, lehetett ez is. de ajánlom meg át nézni az AVPTOOL programmal, Igen okosabb lenne újra rakni a gépet http://www.virus-stell.com/2010/04/avptool.html Nincsen mit köszönöd Usv |
Szerző: | levi1899 [ vas. feb. 06, 2011 10:57 ] |
Hozzászólás témája: | Re: Trójai |
Köszönöm a segítséget, a vírust tényleg sikerült kitakarítani, de a gépet elvittük egy közeli szervizbe ahol kiderítették, hogy a videókártya illesztőprogramjával volt a baj, ami összefüggésben állt a windows és a szervizcsomag minőségével. A programot eltávolították, így egy kicsit lassabban tölti be a netes oldalakat, és majd valamikor egy új(abb) windowst is felteszünk. Mégegyszer köszönöm! Üdv.: Levente |
Szerző: | stell [ pén. jan. 28, 2011 8:05 ] |
Hozzászólás témája: | Re: Trójai |
combofix5.txt, tedd ide Bootolas. 2 masodpercre megjelenik a valasztas 1:winxpsp1_en_pro_bf.exe 2:Microsoft Windows Recovery Console A nyilakal a bilentyun kivalasztod az 2:Microsoft Windows Recovery Console>.enter>>a keri hogy valaszd ki az op rendszert akkor>nyomod az [1] [enter] vagy amilyen szam lesz ott, megjelenik ez E:\_ vilogo kurzor>>ide beirod a parancsokat,es folytattod ugy ahogy leirtam. |
Szerző: | levi1899 [ csüt. jan. 27, 2011 20:54 ] |
Hozzászólás témája: | Re: Trójai |
Csak nem találom azt a logot a legnagyobb az a combofix5, de az is korábbi. Meg nem vágom azt a bootolásos részt sem, kell ott valamit nyomni hogy belépjek oda? |
Szerző: | stell [ csüt. jan. 27, 2011 15:24 ] |
Hozzászólás témája: | Re: Trójai |
1:Mar nem muszaj csinalnod. ha megjelent a jedzet tomb,akkor ott lesz a merev lemezen, combofix5.txt,, tehat keresd meg es azt aminek a legnagyobb szamja van tedd ide lehet hogy combofix6.txt az. 2:Mikor a windows bootol, egy pilanatra megjelenik a valsztas. 1:Windows 2>Recovery konzole Valaszd ki a recovery konzolet es a menj a konzolara, itt beirod a vilogo kurzorhoz ezzeket a parancsokat fixmbr nyomod az [enter] bilentyut. fixboot nyomod az [enter] bilentyut. exit nyomod az [enter] bilentyut. 3:A windowsban >>klik start>>klik>>futtatas>>ird be msconfig klik ok Klik a fullre BOOT>INI pipazt be /BOOTLOG klik ok restart a windowsban megtalalod>>C:\windows\ntbtlog.txt tedd azt is ide. |
Szerző: | levi1899 [ csüt. jan. 27, 2011 14:22 ] |
Hozzászólás témája: | Re: Trójai |
Visszatértem, este nem tudtam befejezni, a program maga indította újra a gépet, először ki is dobta a logot egy jegyzettömb formájában, de rögtön lefagyott, utána újraindítottam és fél óráig nem akart normálisan elindulni, utána kikapcsoltam és hagytam. Most megpróbálom még egyszer talán, hátha sikerül. |
Szerző: | stell [ szer. jan. 26, 2011 22:39 ] |
Hozzászólás témája: | Re: Trójai |
Ez a regi. De tulajdonkepen miert inditod ujra a gepet, ??Ha a combofix maga nem inditsa ujra akkor nem kell, es addig kel varni, meg a combofix.txt magatol megjelenik az asztalon, Tehat ujbol csinald meg a CFScript.txt>.dobde bele a combofixbe es nem babaralsz semmit,addig meg meg nem jelenik a script az asztalon, ok ,,majd holnap megnezem, ma mar vegzek |
Szerző: | levi1899 [ szer. jan. 26, 2011 22:35 ] |
Hozzászólás témája: | Re: Trójai |
Csak ezt találtam, de ez 18:23-as elvileg. ComboFix 11-01-24.02 - Kovács 011.01.25. 15:22:27.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.1.1250.36.1038.18.1022.748 [GMT 1:00] Running from: e:\documents and settings\Kovács\Asztal\ComboFix.exe . ADS - svchost.exe: deleted 68 bytes in 1 streams. ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams. ADS - explorer.exe: deleted 132 bytes in 1 streams. ADS - win32k.sys: deleted 68 bytes in 1 streams. ADS - netcfgx.dll: deleted 100 bytes in 1 streams. ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WinRAR.exe e:\documents and settings\Kovács\Recent\Thumbs.db e:\program files\YouTube Downloader Toolbar\IE\4.1\yoUTubedownloadertoolbarie.dll e:\windows\daemon.dll e:\windows\Debug\dcpromo.log e:\windows\images.zip e:\windows\system32\abHRBcdd.ini e:\windows\system32\ENTEeMoq.ini e:\windows\system32\gbre.exe e:\windows\system32\mcrh.tmp e:\windows\system32\muzapp.exe e:\windows\system32\npXGffii.ini e:\windows\system32\NTBaIRqr.ini e:\windows\system32\qpAGQXbc.ini e:\windows\system32\rtuuDcfe.ini . \\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected . \\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected . ((((((((((((((((((((((((( Files Created from 2010-12-25 to 2011-01-25 ))))))))))))))))))))))))))))))) . 2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- e:\program files\trend micro 2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- E:\rsit 2011-01-11 18:01 . 2011-01-11 18:01 -------- d-----w- e:\documents and settings\All Users\Application Data\DivX 2011-01-06 12:24 . 2011-01-06 12:24 -------- d-----w- e:\documents and settings\Kovács\Application Data\Carambis . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-01-25 13:00 . 2007-08-09 09:54 196608 ----a-w- e:\windows\system32\drivers\nStandard.bin 2011-01-13 08:47 . 2010-07-01 18:51 38848 ----a-w- e:\windows\avastSS.scr 2011-01-13 08:47 . 2010-07-01 18:32 188216 ----a-w- e:\windows\system32\aswBoot.exe 2011-01-13 08:41 . 2010-07-01 18:32 294608 ----a-w- e:\windows\system32\drivers\aswSP.sys 2011-01-13 08:40 . 2010-07-01 18:32 47440 ----a-w- e:\windows\system32\drivers\aswTdi.sys 2011-01-13 08:40 . 2010-07-01 18:32 100176 ----a-w- e:\windows\system32\drivers\aswmon2.sys 2011-01-13 08:39 . 2010-07-01 18:32 94544 ----a-w- e:\windows\system32\drivers\aswmon.sys 2011-01-13 08:37 . 2010-07-01 18:32 23632 ----a-w- e:\windows\system32\drivers\aswRdr.sys 2011-01-13 08:37 . 2010-07-01 18:32 29392 ----a-w- e:\windows\system32\drivers\aavmker4.sys 2010-06-02 04:22 . 2010-06-02 04:22 89944 ----a-w- e:\program files\DSETUP.dll 2010-06-02 04:22 . 2010-06-02 04:22 537432 ----a-w- e:\program files\DXSETUP.exe 2010-06-02 04:22 . 2010-06-02 04:22 1801048 ----a-w- e:\program files\dsetup32.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="e:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="e:\windows\System32\NvCpl.dll" [2006-10-22 7700480] "avast5"="e:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624] "HPDJ Taskbar Utility"="e:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-06 196608] e:\documents and settings\All Users\Start Menu\Programs\Indˇt˘pult\ uninstall.exe [2011-1-25 421888] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MsnMsgr"="e:\program files\MSN Messenger\MsnMsgr.Exe" /background R0 Stealth;Stealth;e:\windows\system32\drivers\stealth.sys [2002.06.21. 9:58 80896] R1 aswSP;aswSP;e:\windows\system32\drivers\aswSP.sys [2010.07.01. 19:32 294608] R2 Akamai;Akamai NetSession Interface;e:\windows\System32\svchost.exe -k Akamai [2001.10.26. 12:00 12800] R2 Application Updater;Application Updater;e:\program files\Application Updater\ApplicationUpdater.exe [2010.10.22. 16:38 386560] S2 gupdate;Google frissítési szolgáltatás (gupdate);e:\program files\Google\Update\GoogleUpdate.exe [2010.08.20. 19:08 136176] S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);e:\windows\system32\drivers\s1018bus.sys [2009.09.26. 14:46 86696] S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;e:\windows\system32\drivers\s1018mdfl.sys [2009.10.04. 15:37 15016] S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;e:\windows\system32\drivers\s1018mdm.sys [2009.10.04. 15:37 114472] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Akamai REG_MULTI_SZ Akamai . Contents of the 'Scheduled Tasks' folder 2011-01-24 e:\windows\Tasks\AppleSoftwareUpdate.job - e:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job - e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08] 2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job - e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08] 2009-05-10 e:\windows\Tasks\NSSstub.job - e:\windows\System32\Adobe\Shockwave 11\nssstub.exe [2009-05-10 07:04] . . ------- Supplementary Scan ------- . uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15 mStart Page = hxxp://www.maxiwe.com uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: E&xportálás Microsoft Excel formátumba - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm DPF: DirectAnimation Java Classes - file://e:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://85.119.9.21:2004/activex/AMC.cab FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms} FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - www.ulloi129.hu FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =966134&p= FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - e:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} FF - Ext: Softonic-Eng7 Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b} FF - Ext: RadioBar Toolbar: radiobar@toolbar - %profile%\extensions\radiobar@toolbar . - - - - ORPHANS REMOVED - - - - BHO-{2F472834-D66C-491B-9B76-40E918BE2FFE} - e:\windows\System32\rqRIaBTN.dll BHO-{41A5A1D9-33DA-450D-A60E-8398F35F8409} - e:\windows\System32\iiffGXpn.dll BHO-{5DAEF7E7-47AB-4AF4-B0B4-9E24EAA6DB13} - e:\windows\System32\efcDuutr.dll BHO-{695C5BA4-AC45-40EB-AC30-A965B2AB4746} - e:\windows\System32\cbXQGApq.dll BHO-{A317E38C-5838-45AE-A741-89C49C59AFAB} - e:\windows\System32\qoMeETNE.dll BHO-{DA02CDE7-1645-4EA3-8F5D-5D1119F5FA08} - e:\windows\System32\efcASiHw.dll BHO-{EC44A89A-F6FF-4F60-9320-3703297607E7} - e:\windows\System32\ddcBRHba.dll WebBrowser-{4C350B19-6CA1-4569-B14C-296D8D65300C} - (no file) HKLM-Run-Kaspersky - e:\program files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe Notify-AtiExtEvent - (no file) Notify-urqOIyXr - urqOIyXr.dll HKLM_ActiveSetup-ViewSonic Explorer V5.3 - e:\windows\msdtcsw32.exe AddRemove-BDE - c:\windows\uninst.exe AddRemove-MTA:SA - c:\gta san andreas\Uninstall.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-01-25 15:30 Windows 5.1.2600 Szervizcsomag 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 5.1.2600 Disk: SAMSUNG_SP0812N rev.TK100-31 -> Harddisk0\DR0 -> \Device\0000006b device: opened successfully user: MBR read successfully kernel: MBR read successfully detected disk devices: detected hooks: \Driver\ACPI -> 0x8593d5a0 \Device\Harddisk0\DR0 -> ParseProcedure -> 0x85944060 NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x859a43a0 user != kernel MBR !!! copy of MBR has been found in sector 9 ! malicious code @ sector 0x951dfc5 size 0x1fd ! copy of MBR has been found in sector 62 ! copy of MBR has been found in sector 156360645 Warning: possible MBR rootkit infection ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. ************************************************************************** . --------------------- LOCKED REGISTRY KEYS --------------------- [HKEY_USERS\S-1-5-21-220523388-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "iamdkimfnnhcgdlbob"=hex:6b,61,68,6c,6b,69,69,6f,61,6a,6e,67,6f,61,64,6a,6d,64, 6f,61,66,70,00,00 "hakemfkncaakobhj"=hex:69,61,6d,6b,68,70,6a,6f,67,68,64,64,63,6b,61,67,66,64, 00,67 . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(728) e:\windows\System32\ODBC32.dll - - - - - - - > 'lsass.exe'(812) e:\windows\System32\dssenh.dll - - - - - - - > 'explorer.exe'(3272) e:\windows\System32\msi.dll . ------------------------ Other Running Processes ------------------------ . e:\program files\Alwil Software\Avast5\AvastSvc.exe e:\windows\ATKKBService.exe e:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE e:\windows\System32\nvsvc32.exe e:\windows\System32\wdfmgr.exe . ************************************************************************** . Completion time: 2011-01-25 15:33:50 - machine was rebooted ComboFix-quarantined-files.txt 2011-01-25 14:33 Pre-Run: 697 188 352 bájt szabad Post-Run: 2 850 193 408 bájt szabad winxpsp1_en_pro_bf.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional - magyar" /fastdetect - - End Of File - - 2334D392C0FD76F5A2D80B226B9A7182 |
Szerző: | stell [ szer. jan. 26, 2011 22:29 ] |
Hozzászólás témája: | Re: Trójai |
tedd be a keresobbe ha megtalalja e ComboFix5.txt |
Szerző: | levi1899 [ szer. jan. 26, 2011 22:26 ] |
Hozzászólás témája: | Re: Trójai |
Most elég volt egyszer újraindítani, akkor, amikor a windows-t töltötte be (kék háttér, üdvözöljük felirattal...), kikapcsoltam a modemet és akkor másodjára sikerült mennie. A combofix is lefutott, csak most nem találom a logját. |
Szerző: | stell [ szer. jan. 26, 2011 22:04 ] |
Hozzászólás témája: | Re: Trójai |
Most mar jobbnak kene lenie, majd ird meg,hogy viselkedig a gep , mert mar toroltuk a sokk fertozest. Van idonk, ha nem ma akkor holnap is van nap. |
Szerző: | levi1899 [ szer. jan. 26, 2011 22:02 ] |
Hozzászólás témája: | Re: Trójai |
Lehet ez kicsit lassú lesz, eléggé hátráltat az hogy kb minden 10. újraindítás sikeres csak :S |
Szerző: | stell [ szer. jan. 26, 2011 21:53 ] |
Hozzászólás témája: | Re: Trójai |
ok, meg egy scriptet a combofixel Kinyitunk - Notepadot (Jegyzetfüzetet)igy: Start>futtatás>beírod: notepad és bemásolod- a Kód: címszó alatt található zöld textet(Kód: szó nélkül), aztán a notepadba beillesztett textet elmentjük scriptnek az asztalra , úgy:- Fájl>Mentés Másként>Fájlnév>CFScript.txt>Fájl típusa>Minden fájl>Mentés.(Ásztálra),.Kész, az astalon lévő CFScript txt húzzunk rá a ComboFix ikonnyara. Es mostan megcsinalod eztett: A combofix maga elindul es lehet hogy restartol es befejezi a scent.Amit majd ad ted ide. Kód: KILLALL:: ADS:: E:\WINDOWS E:\WINDOWS\System32\ctl3dv2.dll:KAVICHS |
Szerző: | levi1899 [ szer. jan. 26, 2011 21:46 ] |
Hozzászólás témája: | Re: Trójai |
ok, http://leteckaposta.cz/391760060 |
Szerző: | stell [ szer. jan. 26, 2011 21:42 ] |
Hozzászólás témája: | Re: Trójai |
Ha kellet volna valami mast is csinalnod ide irnam, Nem jo link,ezt irja ki: logo1 Sajnáljuk, de a keresett fájl nem található. logo1 jatszd fell ide>klik prochazet,megtalalod Poslat, a linket tedd ide http://www.leteckaposta.cz/ |
Szerző: | levi1899 [ szer. jan. 26, 2011 21:39 ] |
Hozzászólás témája: | Re: Trójai |
Kész. Egyébként amikor beteszem az OTL-be, akkor csak simán kell lefuttatni, vagy valami ki kell pipálni? http://addat.hu/75690b1c/01262011_211259.log.html |
Szerző: | stell [ szer. jan. 26, 2011 20:49 ] |
Hozzászólás témája: | Re: Trójai |
ok, az Rendszer fajlok a helyen vannak, de a fertozes igen nagy van csomo ADS-fertozes, ezrt olvasd figyelmesen amit irok Fel teszem a textet scriptet, letoltod >>KINYITOD>>es bemasolod az OTL ablakjaba ab textet >>de mindet.de most ra klikelsz az RUNFIX gombra, http://sharegadget.com/file/472796289.1 ... db47fde/cs A logjat tedd ide Ha problemad lesz akkor ird ide es fokozatosan ide teszem a scriptet, mert ez oriasi ,nagy. |
Szerző: | levi1899 [ szer. jan. 26, 2011 20:10 ] |
Hozzászólás témája: | Re: Trójai |
Ez meg az extras lesz: OTL Extras logfile created on: 2011.01.26. 19:34:48 - Run 1 OTL by OldTimer - Version 3.2.20.6 Folder = E:\Documents and Settings\Kovács\Asztal Windows XP Professional Edition Szervizcsomag 1 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2800.1106) Locale: 0000040E | Country: Magyarország | Language: HUN | Date Format: yyyy.MM.dd. 1 022,00 Mb Total Physical Memory | 621,00 Mb Available Physical Memory | 61,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 89,00% Paging File free Paging file location(s): E:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = E: | %SystemRoot% = E:\WINDOWS | %ProgramFiles% = E:\Program Files Drive C: | 59,91 Gb Total Space | 15,49 Gb Free Space | 25,85% Space Free | Partition Type: NTFS Drive E: | 14,64 Gb Total Space | 2,64 Gb Free Space | 18,01% Space Free | Partition Type: NTFS Drive F: | 3,19 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS Computer Name: KOVÁCS | User Name: Kovács | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 7 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* .html [@ = FirefoxHTML] -- E:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) .url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* https [open] -- "E:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirewallDisableNotify" = 0 "AntiVirusDisableNotify" = 0 "UpdatesDisableNotify" = 0 ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{04858915-9F49-4B2A-AED4-DC49A7DE6A7B}" = Battlefield 2(TM) "{089DD780-DB3F-4CDB-A0C2-111360247298}" = PC Connectivity Solution "{0A2A5039-B37F-489D-B1DC-A5258DF9E697}" = FIFA 08 "{156E82CB-20F2-46cf-BCEA-40E4F23DC4A3}" = YouTube Downloader Toolbar v4.1 "{1a413f37-ed88-4fec-9666-5c48dc4b7bb7}" = YouTube Downloader 2.6.3 "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{29C22873-B939-4EF9-B6E3-1EFE7FA392D1}" = ASUS nVidia Driver "{315ACD04-BCEB-478B-9B1D-5431D0E6CB11}" = ASUS Gamer OSD "{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6 "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5 "{350C940e-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update "{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0 "{71A41426-C7A4-4DCF-A9ED-C5B4B105ED1D}" = Sony Media Manager 2.2 "{75E607CF-7BAE-4B88-84B3-97F3DF44BA28}" = FEARCombat "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{9011040E-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{ABEB838C-A1A7-4C5D-B7E1-8B4314600820}" = MSN Messenger 7.0 "{AC76BA86-7AD7-1038-7B44-A70000000000}" = Adobe Reader 7.0 - Hungarian "{BC4AE628-81A4-4FC6-863A-7A9BA2E2531F}" = Nokia Connectivity Cable Driver "{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver "{C20CE592-B0F8-4D20-BF31-0151CA6331A6}" = Samsung Media Studio "{C43048A9-742C-4DAD-90D2-E3B53C9DB825}" = Labtec WebCam Software "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{E09B48B5-E141-427A-AB0C-D3605127224A}" = Microsoft SQL Server Desktop Engine (SONY_MEDIAMGR) "{EDB4C5BF-3324-410F-8E1B-60AAB5868CC3}" = DAEMON Tools "{EF0D610C-92BE-4D8F-BD33-9F658F8754F1}" = GTI Racing "{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio "{FCF81A2A-2005-430D-AC4F-503478F9F50E}" = OpenOffice.org 2.2 "7-Zip" = 7-Zip 9.10 beta "Abev6" = Abev6 (Verzió: 6.5.18) "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 "Akamai" = Akamai NetSession Interface "avast5" = avast! Free Antivirus "AXIS Media Control Embedded" = AXIS Media Control Embedded "cygMP" = MPlayer (cygMP) 20050113 "FIFA 10-DVD5" = FIFA 10-DVD5 "Grand Theft Auto: San Andreas hun" = Grand Theft Auto: San Andreas hun [Honosítás] "hp deskjet 825c series" = hp deskjet 825c series (Csak törlés) "InstallShield_{EF0D610C-92BE-4D8F-BD33-9F658F8754F1}" = GTI Racing "KLiteCodecPack_is1" = K-Lite Codec Pack 4.1.7 (Full) "Kresz-Teszt 3.1_is1" = Kresz-Teszt 3.1 "Messenger Plus! Live" = Messenger Plus! Live "Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0 "Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) "MSN Toolbar" = MSN eszköztár "MyFreeCodec" = MyFreeCodec "Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition "NVIDIA Drivers" = NVIDIA Drivers "PKR" = PKR "Postal 2 Share The Pain" = Postal 2 Share The Pain "Postal 2 STP - Free Multiplayer Edition" = Postal 2 STP - Free Multiplayer Edition "QcDrv" = ##CAMERADRIVERNAME## "RealAlt_is1" = Real Alternative 1.8.4 "SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set "Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software "SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software "SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software "Totalcmd" = Total Commander (Remove or Repair) "Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9 "Windows Media Format Runtime" = Windows Media Format Runtime "Windows Media Player" = Windows Media Player 10 "WinRAR archiver" = WinRAR archiváló ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 2011.01.25. 15:32:19 | Computer Name = KOVÁCS | Source = Perflib | ID = 2002 Description = A szolgáltatás ("WmiApRpl") megnyitási eljárása a DLL-ben ("E:\WINDOWS\System32\wbem\wmiaprpl.dll") hosszabb ideig tartott, mint a befejezéshez megállapított várakozási idő. Valószínűleg probléma van a bővíthető számlálóval, vagy a szolgáltatással, amelyről az adatgyűjtés folyik, illetve a hívás során a rendszer túlzottan elfoglalt volt. Error - 2011.01.25. 15:55:13 | Computer Name = KOVÁCS | Source = Perflib | ID = 2002 Description = A szolgáltatás ("WmiApRpl") megnyitási eljárása a DLL-ben ("E:\WINDOWS\System32\wbem\wmiaprpl.dll") hosszabb ideig tartott, mint a befejezéshez megállapított várakozási idő. Valószínűleg probléma van a bővíthető számlálóval, vagy a szolgáltatással, amelyről az adatgyűjtés folyik, illetve a hívás során a rendszer túlzottan elfoglalt volt. Error - 2011.01.25. 16:47:44 | Computer Name = KOVÁCS | Source = crypt32 | ID = 131080 Description = Nem sikerült lekérni az automatikus frissítés segítségével a külső féltől származó legfelső szintű listát a következőtől: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>. Hiba: 0x5b4 Error - 2011.01.25. 17:04:22 | Computer Name = KOVÁCS | Source = Perflib | ID = 2002 Description = A szolgáltatás ("WmiApRpl") megnyitási eljárása a DLL-ben ("E:\WINDOWS\System32\wbem\wmiaprpl.dll") hosszabb ideig tartott, mint a befejezéshez megállapított várakozási idő. Valószínűleg probléma van a bővíthető számlálóval, vagy a szolgáltatással, amelyről az adatgyűjtés folyik, illetve a hívás során a rendszer túlzottan elfoglalt volt. Error - 2011.01.26. 3:18:51 | Computer Name = KOVÁCS | Source = Perflib | ID = 2002 Description = A szolgáltatás ("WmiApRpl") megnyitási eljárása a DLL-ben ("E:\WINDOWS\System32\wbem\wmiaprpl.dll") hosszabb ideig tartott, mint a befejezéshez megállapított várakozási idő. Valószínűleg probléma van a bővíthető számlálóval, vagy a szolgáltatással, amelyről az adatgyűjtés folyik, illetve a hívás során a rendszer túlzottan elfoglalt volt. Error - 2011.01.26. 11:18:33 | Computer Name = KOVÁCS | Source = Perflib | ID = 2002 Description = A szolgáltatás ("WmiApRpl") megnyitási eljárása a DLL-ben ("E:\WINDOWS\System32\wbem\wmiaprpl.dll") hosszabb ideig tartott, mint a befejezéshez megállapított várakozási idő. Valószínűleg probléma van a bővíthető számlálóval, vagy a szolgáltatással, amelyről az adatgyűjtés folyik, illetve a hívás során a rendszer túlzottan elfoglalt volt. Error - 2011.01.26. 11:36:29 | Computer Name = KOVÁCS | Source = Application Hang | ID = 1002 Description = Nem válaszoló alkalmazás: explorer.exe, verzió: 6.0.2800.1106, nem válaszoló modul: hungapp, verzió: 0.0.0.0, memóriacím: 0x00000000. Error - 2011.01.26. 11:36:32 | Computer Name = KOVÁCS | Source = Application Hang | ID = 1002 Description = Nem válaszoló alkalmazás: explorer.exe, verzió: 6.0.2800.1106, nem válaszoló modul: hungapp, verzió: 0.0.0.0, memóriacím: 0x00000000. Error - 2011.01.26. 11:36:32 | Computer Name = KOVÁCS | Source = Application Hang | ID = 1002 Description = Nem válaszoló alkalmazás: explorer.exe, verzió: 6.0.2800.1106, nem válaszoló modul: hungapp, verzió: 0.0.0.0, memóriacím: 0x00000000. Error - 2011.01.26. 14:09:27 | Computer Name = KOVÁCS | Source = Perflib | ID = 2002 Description = A szolgáltatás ("WmiApRpl") megnyitási eljárása a DLL-ben ("E:\WINDOWS\System32\wbem\wmiaprpl.dll") hosszabb ideig tartott, mint a befejezéshez megállapított várakozási idő. Valószínűleg probléma van a bővíthető számlálóval, vagy a szolgáltatással, amelyről az adatgyűjtés folyik, illetve a hívás során a rendszer túlzottan elfoglalt volt. [ System Events ] Error - 2011.01.26. 11:19:46 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7000 Description = A szolgáltatás (wscsvc) a következő hiba következtében leállt: %%1083 Error - 2011.01.26. 13:24:16 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034 Description = A(z) Application Updater szolgáltatás váratlanul leállt. Ez a(z) 1. alkalommal fordult elő. Error - 2011.01.26. 13:24:16 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034 Description = A(z) ATK Keyboard Service szolgáltatás váratlanul leállt. Ez a(z) 1. alkalommal fordult elő. Error - 2011.01.26. 13:24:16 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034 Description = A(z) Windows User Mode Driver Framework szolgáltatás váratlanul leállt. Ez a(z) 1. alkalommal fordult elő. Error - 2011.01.26. 13:24:16 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034 Description = A(z) Machine Debug Manager szolgáltatás váratlanul leállt. Ez a(z) 1. alkalommal fordult elő. Error - 2011.01.26. 13:24:16 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034 Description = A(z) NVIDIA Display Driver Service szolgáltatás váratlanul leállt. Ez a(z) 1. alkalommal fordult elő. Error - 2011.01.26. 13:24:16 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034 Description = A(z) Alkalmazási réteg átjárószolgáltatása szolgáltatás váratlanul leállt. Ez a(z) 1. alkalommal fordult elő. Error - 2011.01.26. 13:24:17 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034 Description = A(z) Nyomtatásisor-kezelő szolgáltatás váratlanul leállt. Ez a(z) 1. alkalommal fordult elő. Error - 2011.01.26. 14:10:41 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7023 Description = A szolgáltatás (Automatikus frissítések) leállt a következő hibával: %%126 Error - 2011.01.26. 14:10:41 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7000 Description = A szolgáltatás (wscsvc) a következő hiba következtében leállt: %%1083 < End of report > |
Szerző: | levi1899 [ szer. jan. 26, 2011 20:09 ] |
Hozzászólás témája: | Re: Trójai |
http://addat.hu/77b7a8a1/OTL.rar.html |
Szerző: | stell [ szer. jan. 26, 2011 20:05 ] |
Hozzászólás témája: | Re: Trójai |
hm, ha nem tudod csomagold be es tedd fel valahova,hogy lwetudjam tolteni |
Szerző: | stell [ szer. jan. 26, 2011 19:55 ] |
Hozzászólás témája: | Re: Trójai |
mind a kettot tedd ide, ha nem fer be egy postaba, tedd be tobbe. |
Szerző: | levi1899 [ szer. jan. 26, 2011 19:52 ] |
Hozzászólás témája: | Re: Trójai |
Az OTL.txt-t tegyem ide? Mert az nagyon hosszú, sokkal több mint a többi. Van még egy extras.txt nevű is. |
Szerző: | stell [ szer. jan. 26, 2011 19:35 ] |
Hozzászólás témája: | Re: Trójai |
majd megnezem hogy csinaltad, csinald meg eztet. Letolteni az asztalra>OTListIt2>> http://oldtimer.geekstogo.com/OTL.exe -Futatni - file age at valtoztani 30 > 7day ra. -bepipazni -Scan all users. -Lop check. -Purity check. -v sekciobaExtra Registry>bepotyozni>Use SafeList -az ablakjaba -customscan/fixes masold be a textet-es klik RUNSCAN -5-10 perc mulva add logot tedd ide -OTL.txt (az asztalon lesz). -exras.txt-a talcan lesz. Kód: netsvcs drivers32 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s c:\windows\*.* /U %SYSTEMDRIVE%\*.exe %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s /md5start xmlprov.dll wscntfy.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys symmpi.sys adp3132.sys mv61xx.sys nvraid.sys ndis.sys winlogon.exe explorer.exe userinit.exe lsass.exe svchost.exe smss.exe hal.dll ws2_32.dll tcpip.sys cryptsvc.dll Changer.sys JakNDis.sys isapnp.sys cdrom.sys autochk.exe /md5stop d3d9.dll %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\*.dll /lockedfiles reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c %systemroot%\system32\drivers\*.sys /3 %systemroot%\system32\*.* /3 CREATERESTOREPOINT |
Szerző: | levi1899 [ szer. jan. 26, 2011 19:29 ] |
Hozzászólás témája: | Re: Trójai |
Megcsináltam, de azt a 3 fájlt csak simán az e:\-be, vagy azon belül valamelyik mappába kell rakni (pl a windows-ba)? Logot nem adott a combofix, lehet hogy azért, mert az újraindítást követőn rendre lefagyott a gép? |
Szerző: | stell [ szer. jan. 26, 2011 18:17 ] |
Hozzászólás témája: | Re: Trójai |
Olvasd figyelmesen amit irok. 1:Tolds le az asztalra http://leteckaposta.cz/728772034 Csomagold ki az asztalra>>a mappabol>huzd at a rendszer fajlokat a E:\meghajtora, ugy hogy igy lessznek e:\wscntfy.exe e:\xmlprov.dll e:\d3d9.dll Kinyitunk - Notepadot (Jegyzetfüzetet)igy: Start>futtatás>beírod: notepad és bemásolod- a Kód: címszó alatt található zöld textet(Kód: szó nélkül), aztán a notepadba beillesztett textet elmentjük scriptnek az asztalra , úgy:- Fájl>Mentés Másként>Fájlnév>CFScript.txt>Fájl típusa>Minden fájl>Mentés.(Ásztálra),.Kész, az astalon lévő CFScript txt húzzunk rá a ComboFix ikonnyara. Es mostan megcsinalod eztett: A combofix maga elindul es lehet hogy restartol es befejezi a scent.Amit majd ad tedd ide. Kód: KILLALL:: FCOPY:: e:\wscntfy.exe | e:\windows\System32\wscntfy.exe e:\xmlprov.dll | e:\windows\System32\xmlprov.dll e:\d3d9.dll | e:\windows\system32\d3d9.dll |
Szerző: | stell [ szer. jan. 26, 2011 17:58 ] |
Hozzászólás témája: | Re: Trójai |
A windows 7 hez kell gep is, nem lehet minden gepre telepiteni, de mindegy kuldok neked rendszer fajlokat, es renbe hozzuk, eztet ami van,Talalok valahol, majd ide irom hogyan tovabb. |
Szerző: | levi1899 [ szer. jan. 26, 2011 17:49 ] |
Hozzászólás témája: | Re: Trójai |
Hát igen, ez kissé bonyolult rész, a helyzet az hogy nem én telepítettem a windows-t, hanem egy ismerős. Azóta megszakadt a kapcsolat ezzel az ismerőssel, és most itt vagyok telepítő cd nélkül... Viszont lehet hogy mondjuk egy Windows 7-el jobban járnék |
Szerző: | stell [ szer. jan. 26, 2011 17:28 ] |
Hozzászólás témája: | Re: Trójai |
Idézet: Hi, úgy néz ki hogy az SP2-t nem tudom feltenni, már régebben sem ment, emlékszem pár éve azért lett letiltva a frissítés, mert amikor a rendszer automatikusan frissített, kapott valami vírust -állítólag emiatt. A ez nem igaz, ha a windows eredeti, akkor fel lehet telepiteni,tehat ha nem megy át az eredetiseg vizsgalatan, akkor kilovi a windowst, Es miert nem lehet telepiteni az SP2-ot??, mert it arról van szo, hogy virusod mar nincsen a gepen, es ha ujra is telepited a gepet az Windows SP1-el olyan lyukas lesz a rendszer mint a szita es csak ido kerdese medig lesz jo,mert tele van biztonsági réssekkel De megoldja a rendszer fajlok hianyat, vagyis valaki ,vagy valami ki torolte a rendszer fajlokat, es az SP1-hez nekem, nincsen,megtudjuk javitani, ha van telepito lemezed, eleg a parancssorba beirnod sfc /scannow, beteszed a telepito lemezet,es a hianyzo rendszer fajlokat, vissza kenne neki adnia. Ha akkarod ujra telepiteni. Windows telepito lemezje mindent megcsinal, csak oda kell figyelned,le kel formaznod, elkell tavolitani a particiokat, esetleg szet osztani a merevlemezet, Tehat ha van telepito lemezed az interneten talald meg ezeket az informacioakt. 1: A windows xp telepitese. Es Bele lehet integralni a telepito lemezbe a szerviz csomagokat is.Mindent megtalálsz az interneten |
Szerző: | levi1899 [ szer. jan. 26, 2011 17:05 ] |
Hozzászólás témája: | Re: Trójai |
Hi, úgy néz ki hogy az SP2-t nem tudom feltenni, már régebben sem ment, emlékszem pár éve azért lett letiltva a frissítés, mert amikor a rendszer automatikusan frissített, kapott valami vírust -állítólag emiatt. Szóval azóta csak az egyes szervizcsomag van fent. Ha új Windows-t rakok fel, akkor az töröl mindent-szóval formázza a merevlemezeket? Lefuttattam a combofixet, itt a logja: ComboFix 11-01-24.02 - Kovács 011.01.26. 16:43:53.4.1 - x86 Microsoft Windows XP Professional 5.1.2600.1.1250.36.1038.18.1022.653 [GMT 1:00] Running from: e:\documents and settings\Kovács\Asztal\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2010-12-26 to 2011-01-26 ))))))))))))))))))))))))))))))) . 2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- e:\program files\trend micro 2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- E:\rsit 2011-01-11 18:01 . 2011-01-11 18:01 -------- d-----w- e:\documents and settings\All Users\Application Data\DivX 2011-01-06 12:24 . 2011-01-06 12:24 -------- d-----w- e:\documents and settings\Kovács\Application Data\Carambis . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-01-25 13:00 . 2007-08-09 09:54 196608 ----a-w- e:\windows\system32\drivers\nStandard.bin 2011-01-13 08:47 . 2010-07-01 18:51 38848 ----a-w- e:\windows\avastSS.scr 2011-01-13 08:47 . 2010-07-01 18:32 188216 ----a-w- e:\windows\system32\aswBoot.exe 2011-01-13 08:41 . 2010-07-01 18:32 294608 ----a-w- e:\windows\system32\drivers\aswSP.sys 2011-01-13 08:40 . 2010-07-01 18:32 47440 ----a-w- e:\windows\system32\drivers\aswTdi.sys 2011-01-13 08:40 . 2010-07-01 18:32 100176 ----a-w- e:\windows\system32\drivers\aswmon2.sys 2011-01-13 08:39 . 2010-07-01 18:32 94544 ----a-w- e:\windows\system32\drivers\aswmon.sys 2011-01-13 08:37 . 2010-07-01 18:32 23632 ----a-w- e:\windows\system32\drivers\aswRdr.sys 2011-01-13 08:37 . 2010-07-01 18:32 29392 ----a-w- e:\windows\system32\drivers\aavmker4.sys 2010-06-02 04:22 . 2010-06-02 04:22 89944 ----a-w- e:\program files\DSETUP.dll 2010-06-02 04:22 . 2010-06-02 04:22 537432 ----a-w- e:\program files\DXSETUP.exe 2010-06-02 04:22 . 2010-06-02 04:22 1801048 ----a-w- e:\program files\dsetup32.dll . ------- Sigcheck ------- [-] 2004-07-09 03:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\system32\d3d9.dll [-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\LastGood\System32\d3d9.dll [-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\system32\DirectX\DX44.tmp\d3d9.dll e:\windows\System32\wscntfy.exe ... is missing !! e:\windows\System32\xmlprov.dll ... is missing !! . ((((((((((((((((((((((((((((( SnapShot@2011-01-25_14.30.33 ))))))))))))))))))))))))))))))))))))))))) . + 2011-01-26 15:18 . 2011-01-26 15:18 16384 e:\windows\Temp\Perflib_Perfdata_778.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="e:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="e:\windows\System32\NvCpl.dll" [2006-10-22 7700480] "avast5"="e:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624] "HPDJ Taskbar Utility"="e:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-06 196608] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MsnMsgr"="e:\program files\MSN Messenger\MsnMsgr.Exe" /background R0 Stealth;Stealth;e:\windows\system32\drivers\stealth.sys [2002.06.21. 9:58 80896] R1 aswSP;aswSP;e:\windows\system32\drivers\aswSP.sys [2010.07.01. 19:32 294608] R2 Akamai;Akamai NetSession Interface;e:\windows\System32\svchost.exe -k Akamai [2001.10.26. 12:00 12800] R2 Application Updater;Application Updater;e:\program files\Application Updater\ApplicationUpdater.exe [2010.10.22. 16:38 386560] S2 gupdate;Google frissítési szolgáltatás (gupdate);e:\program files\Google\Update\GoogleUpdate.exe [2010.08.20. 19:08 136176] S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);e:\windows\system32\drivers\s1018bus.sys [2009.09.26. 14:46 86696] S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;e:\windows\system32\drivers\s1018mdfl.sys [2009.10.04. 15:37 15016] S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;e:\windows\system32\drivers\s1018mdm.sys [2009.10.04. 15:37 114472] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Akamai REG_MULTI_SZ Akamai . Contents of the 'Scheduled Tasks' folder 2011-01-24 e:\windows\Tasks\AppleSoftwareUpdate.job - e:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2011-01-26 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job - e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08] 2011-01-26 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job - e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08] . . ------- Supplementary Scan ------- . uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15 mStart Page = hxxp://www.maxiwe.com uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: E&xportálás Microsoft Excel formátumba - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm TCP: {EA78C555-6F5C-40B7-96A9-543775E06709} = 213.163.34.66 62.77.203.10 DPF: DirectAnimation Java Classes - file://e:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://85.119.9.21:2004/activex/AMC.cab FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - www.ulloi129.hu FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =966134&p= FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - e:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} FF - Ext: Softonic-Eng7 Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b} FF - Ext: RadioBar Toolbar: radiobar@toolbar - %profile%\extensions\radiobar@toolbar . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-01-26 16:48 Windows 5.1.2600 Szervizcsomag 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(696) e:\windows\System32\ODBC32.dll - - - - - - - > 'lsass.exe'(752) e:\windows\System32\dssenh.dll - - - - - - - > 'explorer.exe'(576) e:\windows\System32\msi.dll . Completion time: 2011-01-26 16:51:05 ComboFix-quarantined-files.txt 2011-01-26 15:51 ComboFix2.txt 2011-01-25 21:07 ComboFix3.txt 2011-01-25 19:58 ComboFix4.txt 2011-01-25 14:33 Pre-Run: 2 864 685 056 bájt szabad Post-Run: 2 849 038 336 bájt szabad - - End Of File - - 0CC21C0E1D39799A22AD558FC4EC01B0 |
Szerző: | levi1899 [ kedd jan. 25, 2011 22:39 ] |
Hozzászólás témája: | Re: Trójai |
jaja, majd holnap délután kb, akkor érek haza. na jó éjt! |
Szerző: | stell [ kedd jan. 25, 2011 22:32 ] |
Hozzászólás témája: | Re: Trójai |
ok, majd ird meg hogy mi van,es holnap befejezuk, |
Szerző: | levi1899 [ kedd jan. 25, 2011 22:29 ] |
Hozzászólás témája: | Re: Trójai |
OK, köszönöm szépen az eddigieket is. Majd holnap befejezem, mára eléggé lemerültem. Windowsra megpróbálok valami okosat kitalálni, nem volt beleszólásom amikor fel lett téve, aki csinálta csak így tudta megoldani... Üdv. |
Szerző: | stell [ kedd jan. 25, 2011 22:19 ] |
Hozzászólás témája: | Re: Trójai |
Na most ez van. 1:hianyoznak a rendszer fajlok, leg okkosab az lenne ha a windowsod legalis, akkor feltelepiteni az Microsoft Windows XP Professional SP2_magyar szerviz csomagot. 2:Mert ha nem legalis akkor bajok lessznek Eztet igyis ugyis csinald meg: 3:kikapcsolni a rendszer visszaalitasat<restart bekapcsolni vissza. 4:Minden jelszot megvaltoztatni, mert ellopta a Mebroot, mar nincsen a gepen. 5:Ha ez meglesz akkor siman lefuttatod a combofixet es a logjat ide te;szed. 6:Ha a nem tuddod felrakni az SP2-szerviz csomagot, akkor majd holnap szerezunk rendszer fajlokat es fel teszuk. 7:ma mar vegzek, udv |
Szerző: | levi1899 [ kedd jan. 25, 2011 22:16 ] |
Hozzászólás témája: | Re: Trójai |
Némi kínlódás után ezt sütöttem ki: FILE :: "e:\windows\Tasks\NSSstub.job" . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . e:\windows\Tasks\NSSstub.job e:\windows\system32\d3d9.dll . . . is infected!! e:\windows\System32\wscntfy.exe . . . is infected!! e:\windows\System32\xmlprov.dll . . . is infected!! . ((((((((((((((((((((((((( Files Created from 2010-12-25 to 2011-01-25 ))))))))))))))))))))))))))))))) . 2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- e:\program files\trend micro 2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- E:\rsit 2011-01-11 18:01 . 2011-01-11 18:01 -------- d-----w- e:\documents and settings\All Users\Application Data\DivX 2011-01-06 12:24 . 2011-01-06 12:24 -------- d-----w- e:\documents and settings\Kovács\Application Data\Carambis . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-01-25 13:00 . 2007-08-09 09:54 196608 ----a-w- e:\windows\system32\drivers\nStandard.bin 2011-01-13 08:47 . 2010-07-01 18:51 38848 ----a-w- e:\windows\avastSS.scr 2011-01-13 08:47 . 2010-07-01 18:32 188216 ----a-w- e:\windows\system32\aswBoot.exe 2011-01-13 08:41 . 2010-07-01 18:32 294608 ----a-w- e:\windows\system32\drivers\aswSP.sys 2011-01-13 08:40 . 2010-07-01 18:32 47440 ----a-w- e:\windows\system32\drivers\aswTdi.sys 2011-01-13 08:40 . 2010-07-01 18:32 100176 ----a-w- e:\windows\system32\drivers\aswmon2.sys 2011-01-13 08:39 . 2010-07-01 18:32 94544 ----a-w- e:\windows\system32\drivers\aswmon.sys 2011-01-13 08:37 . 2010-07-01 18:32 23632 ----a-w- e:\windows\system32\drivers\aswRdr.sys 2011-01-13 08:37 . 2010-07-01 18:32 29392 ----a-w- e:\windows\system32\drivers\aavmker4.sys 2010-06-02 04:22 . 2010-06-02 04:22 89944 ----a-w- e:\program files\DSETUP.dll 2010-06-02 04:22 . 2010-06-02 04:22 537432 ----a-w- e:\program files\DXSETUP.exe 2010-06-02 04:22 . 2010-06-02 04:22 1801048 ----a-w- e:\program files\dsetup32.dll . (((((((((((((((((((((((((((((((((((((((((( SR_Search )))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ------- Sigcheck ------- [-] 2004-07-09 03:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\system32\d3d9.dll [-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\LastGood\System32\d3d9.dll [-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\system32\DirectX\DX44.tmp\d3d9.dll e:\windows\System32\wscntfy.exe ... is missing !! e:\windows\System32\xmlprov.dll ... is missing !! . ((((((((((((((((((((((((((((( SnapShot@2011-01-25_14.30.33 ))))))))))))))))))))))))))))))))))))))))) . + 2011-01-25 21:04 . 2011-01-25 21:04 16384 e:\windows\Temp\Perflib_Perfdata_7a0.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="e:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="e:\windows\System32\NvCpl.dll" [2006-10-22 7700480] "avast5"="e:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624] "HPDJ Taskbar Utility"="e:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-06 196608] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MsnMsgr"="e:\program files\MSN Messenger\MsnMsgr.Exe" /background R0 Stealth;Stealth;e:\windows\system32\drivers\stealth.sys [2002.06.21. 9:58 80896] R1 aswSP;aswSP;e:\windows\system32\drivers\aswSP.sys [2010.07.01. 19:32 294608] R2 Akamai;Akamai NetSession Interface;e:\windows\System32\svchost.exe -k Akamai [2001.10.26. 12:00 12800] R2 Application Updater;Application Updater;e:\program files\Application Updater\ApplicationUpdater.exe [2010.10.22. 16:38 386560] S2 gupdate;Google frissítési szolgáltatás (gupdate);e:\program files\Google\Update\GoogleUpdate.exe [2010.08.20. 19:08 136176] S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);e:\windows\system32\drivers\s1018bus.sys [2009.09.26. 14:46 86696] S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;e:\windows\system32\drivers\s1018mdfl.sys [2009.10.04. 15:37 15016] S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;e:\windows\system32\drivers\s1018mdm.sys [2009.10.04. 15:37 114472] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Akamai REG_MULTI_SZ Akamai . Contents of the 'Scheduled Tasks' folder 2011-01-24 e:\windows\Tasks\AppleSoftwareUpdate.job - e:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job - e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08] 2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job - e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08] . . ------- Supplementary Scan ------- . uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15 mStart Page = hxxp://www.maxiwe.com uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: E&xportálás Microsoft Excel formátumba - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm TCP: {EA78C555-6F5C-40B7-96A9-543775E06709} = 213.163.34.66 62.77.203.10 DPF: DirectAnimation Java Classes - file://e:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://85.119.9.21:2004/activex/AMC.cab FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - www.ulloi129.hu FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =966134&p= FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - e:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} FF - Ext: Softonic-Eng7 Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b} FF - Ext: RadioBar Toolbar: radiobar@toolbar - %profile%\extensions\radiobar@toolbar . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-01-25 22:04 Windows 5.1.2600 Szervizcsomag 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(696) e:\windows\System32\ODBC32.dll - - - - - - - > 'lsass.exe'(752) e:\windows\System32\dssenh.dll - - - - - - - > 'explorer.exe'(4008) e:\windows\System32\msi.dll . ------------------------ Other Running Processes ------------------------ . e:\program files\Alwil Software\Avast5\AvastSvc.exe e:\windows\ATKKBService.exe e:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE e:\windows\System32\nvsvc32.exe e:\windows\System32\wdfmgr.exe . ************************************************************************** . Completion time: 2011-01-25 22:07:34 - machine was rebooted ComboFix-quarantined-files.txt 2011-01-25 21:07 ComboFix2.txt 2011-01-25 19:58 ComboFix3.txt 2011-01-25 14:33 Pre-Run: 2 794 508 288 bájt szabad Post-Run: 2 784 706 560 bájt szabad - - End Of File - - 7961D0F7791046809BFD63E59A694B3A |
Szerző: | stell [ kedd jan. 25, 2011 21:40 ] |
Hozzászólás témája: | Re: Trójai |
no ez ,probléma, mert a merev lemezen nincsenek ezek a rendszer fájlok, meglássuk ha a combofix megtalaja e. Kinyitunk - Notepadot (Jegyzetfüzetet)igy: Start>futtatás>beírod: notepad és bemásolod- a Kód: címszó alatt található zöld textet(Kód: szó nélkül), aztán a notepadba beillesztett textet elmentjük scriptnek az asztalra , úgy:- Fájl>Mentés Másként>Fájlnév>CFScript.txt>Fájl típusa>Minden fájl>Mentés.(Ásztálra),.Kész, az astalon lévő CFScript txt húzzunk rá a ComboFix ikonnyara. Es mostan megcsinalod eztett: A combofix maga elindul es lehet hogy restartol es befejezi a scent.Amit majd ad ted ide. Kód: KILLALL:: RESTORE:: e:\windows\system32\d3d9.dll e:\windows\System32\wscntfy.exe e:\windows\System32\xmlprov.dll srpeek:: e:\windows\system32\d3d9.dll e:\windows\System32\wscntfy.exe e:\windows\System32\xmlprov.dll File:: e:\windows\Tasks\NSSstub.job DDS:: IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm Extra:: FireFox:: FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms} |
Szerző: | levi1899 [ kedd jan. 25, 2011 21:36 ] |
Hozzászólás témája: | Re: Trójai |
Pontosan úgy cselekedtem ahogy írtad. Ez lehetséges: SystemLook 04.09.10 by jpshortstuff Log created at 21:27 on 25/01/2011 by Kovács Administrator - Elevation successful ========== filefind ========== Searching for "*wscntfy*" No files found. Searching for "*xmlprov*" No files found. -= EOF =- |
Szerző: | stell [ kedd jan. 25, 2011 21:17 ] |
Hozzászólás témája: | Re: Trójai |
Ok, meg hianyzik egypar rendszer fajlo, valamivel kitorolted: Tolds le az asztalra>>futtasd>>az ablakjaba masold be a zold textet es klik LOOK, a logjat tedd ide SystemLook.exe> Kód: :filefind *wscntfy* *xmlprov* |
Szerző: | levi1899 [ kedd jan. 25, 2011 21:08 ] |
Hozzászólás témája: | Re: Trójai |
. ((((((((((((((((((((((((( Files Created from 2010-12-25 to 2011-01-25 ))))))))))))))))))))))))))))))) . 2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- e:\program files\trend micro 2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- E:\rsit 2011-01-11 18:01 . 2011-01-11 18:01 -------- d-----w- e:\documents and settings\All Users\Application Data\DivX 2011-01-06 12:24 . 2011-01-06 12:24 -------- d-----w- e:\documents and settings\Kovács\Application Data\Carambis . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-01-25 13:00 . 2007-08-09 09:54 196608 ----a-w- e:\windows\system32\drivers\nStandard.bin 2011-01-13 08:47 . 2010-07-01 18:51 38848 ----a-w- e:\windows\avastSS.scr 2011-01-13 08:47 . 2010-07-01 18:32 188216 ----a-w- e:\windows\system32\aswBoot.exe 2011-01-13 08:41 . 2010-07-01 18:32 294608 ----a-w- e:\windows\system32\drivers\aswSP.sys 2011-01-13 08:40 . 2010-07-01 18:32 47440 ----a-w- e:\windows\system32\drivers\aswTdi.sys 2011-01-13 08:40 . 2010-07-01 18:32 100176 ----a-w- e:\windows\system32\drivers\aswmon2.sys 2011-01-13 08:39 . 2010-07-01 18:32 94544 ----a-w- e:\windows\system32\drivers\aswmon.sys 2011-01-13 08:37 . 2010-07-01 18:32 23632 ----a-w- e:\windows\system32\drivers\aswRdr.sys 2011-01-13 08:37 . 2010-07-01 18:32 29392 ----a-w- e:\windows\system32\drivers\aavmker4.sys 2010-06-02 04:22 . 2010-06-02 04:22 89944 ----a-w- e:\program files\DSETUP.dll 2010-06-02 04:22 . 2010-06-02 04:22 537432 ----a-w- e:\program files\DXSETUP.exe 2010-06-02 04:22 . 2010-06-02 04:22 1801048 ----a-w- e:\program files\dsetup32.dll . ------- Sigcheck ------- [-] 2004-07-09 03:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\system32\d3d9.dll [-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\LastGood\System32\d3d9.dll [-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\system32\DirectX\DX44.tmp\d3d9.dll e:\windows\System32\wscntfy.exe ... is missing !! e:\windows\System32\xmlprov.dll ... is missing !! . ((((((((((((((((((((((((((((( SnapShot@2011-01-25_14.30.33 ))))))))))))))))))))))))))))))))))))))))) . + 2011-01-25 19:54 . 2011-01-25 19:54 16384 e:\windows\Temp\Perflib_Perfdata_6f0.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="e:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="e:\windows\System32\NvCpl.dll" [2006-10-22 7700480] "avast5"="e:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624] "HPDJ Taskbar Utility"="e:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-06 196608] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MsnMsgr"="e:\program files\MSN Messenger\MsnMsgr.Exe" /background R0 Stealth;Stealth;e:\windows\system32\drivers\stealth.sys [2002.06.21. 9:58 80896] R1 aswSP;aswSP;e:\windows\system32\drivers\aswSP.sys [2010.07.01. 19:32 294608] S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);e:\windows\system32\drivers\s1018bus.sys [2009.09.26. 14:46 86696] S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;e:\windows\system32\drivers\s1018mdfl.sys [2009.10.04. 15:37 15016] S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;e:\windows\system32\drivers\s1018mdm.sys [2009.10.04. 15:37 114472] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Akamai REG_MULTI_SZ Akamai . Contents of the 'Scheduled Tasks' folder 2011-01-24 e:\windows\Tasks\AppleSoftwareUpdate.job - e:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job - e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08] 2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job - e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08] 2009-05-10 e:\windows\Tasks\NSSstub.job - e:\windows\System32\Adobe\Shockwave 11\nssstub.exe [2009-05-10 07:04] . . ------- Supplementary Scan ------- . uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15 mStart Page = hxxp://www.maxiwe.com uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: E&xportálás Microsoft Excel formátumba - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm TCP: {EA78C555-6F5C-40B7-96A9-543775E06709} = 213.163.34.66 62.77.203.10 DPF: DirectAnimation Java Classes - file://e:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://85.119.9.21:2004/activex/AMC.cab FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms} FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - www.ulloi129.hu FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =966134&p= FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - e:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} FF - Ext: Softonic-Eng7 Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b} FF - Ext: RadioBar Toolbar: radiobar@toolbar - %profile%\extensions\radiobar@toolbar . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-01-25 20:57 Windows 5.1.2600 Szervizcsomag 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(696) e:\windows\System32\ODBC32.dll - - - - - - - > 'lsass.exe'(752) e:\windows\System32\dssenh.dll - - - - - - - > 'Explorer.EXE'(1372) e:\windows\System32\msi.dll e:\docume~1\KOVCS~1\LOCALS~1\Temp\catchme.dll . ------------------------ Other Running Processes ------------------------ . e:\program files\Alwil Software\Avast5\AvastSvc.exe e:\program files\Application Updater\ApplicationUpdater.exe e:\windows\ATKKBService.exe e:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE e:\windows\System32\nvsvc32.exe e:\windows\System32\wdfmgr.exe . ************************************************************************** . Completion time: 2011-01-25 20:58:28 - machine was rebooted ComboFix-quarantined-files.txt 2011-01-25 19:58 ComboFix2.txt 2011-01-25 14:33 Pre-Run: 2 809 122 816 bájt szabad Post-Run: 2 772 021 248 bájt szabad - - End Of File - - C7D9CC977CCDF237603DF1661E258203 |
Szerző: | stell [ kedd jan. 25, 2011 20:08 ] |
Hozzászólás témája: | Re: Trójai |
Ne kapkodj,es olvasd figyelmesen amit írok 1:Letöltöd az asztalra,>>Futtatod: http://download.eset.com/special/EMebRemover.exe Ha lefutt>>restartolod a gepet. Kikapcsolni az Antivirus pajzat Kinyitunk - Notepadot (Jegyzetfüzetet)igy: Start>futtatás>beírod: notepad és bemásolod- a Kód: címszó alatt található zöld textet(Kód: szó nélkül), aztán a notepadba beillesztett textet elmentjük scriptnek az asztalra , úgy:- Fájl>Mentés Másként>Fájlnév>CFScript.txt>Fájl típusa>Minden fájl>Mentés.(Ásztálra),.Kész, az astalon lévő CFScript txt húzzunk rá a ComboFix ikonnyara. Es mostan megcsinalod eztett: A combofix maga elindul es lehet hogy restartol es befejezi a scent.Amit majd ad tedd ide. Kód: KILLALL:: RegNull:: [HKEY_USERS\S-1-5-21-220523388-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}*] MBR:: |
Szerző: | levi1899 [ kedd jan. 25, 2011 19:53 ] |
Hozzászólás témája: | Re: Trójai |
Remélem ez az. GMER 1.0.15.15530 - http://www.gmer.net Rootkit scan 2011-01-25 19:45:59 Windows 5.1.2600 Szervizcsomag 1 Harddisk0\DR0 -> \Device\0000006b SAMSUNG_SP0812N rev.TK100-31 Running: gmer.exe; Driver: E:\DOCUME~1\KOVCS~1\LOCALS~1\Temp\pwldqpob.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwAllocateVirtualMemory [0xED3CA728] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwClose [0xED3D17EA] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateKey [0xED3D16A2] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteKey [0xED3D1CA8] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteValueKey [0xED3D1BBE] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDuplicateObject [0xED3D1276] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwFreeVirtualMemory [0xED3CA7D8] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenKey [0xED3D177E] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenProcess [0xED3D11B2] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenThread [0xED3D1218] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwProtectVirtualMemory [0xED3CA870] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwQueryValueKey [0xED3D18C2] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRenameKey [0xED3D1D76] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRestoreKey [0xED3D1880] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwSetValueKey [0xED3D1A04] Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0xED3DE82E] Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0xED3DE652] Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwLoadDriver [0xED3DE78C] Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software) AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software) AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) Device \Driver\ACPI \Device\00000043 8597D5A0 Device \Driver\ACPI \Device\00000051 8597D5A0 Device \Driver\ACPI \Device\00000052 8597D5A0 Device \Driver\ACPI \Device\00000053 8597D5A0 Device \Driver\ACPI \Device\00000046 8597D5A0 Device \Driver\ACPI \Device\00000054 8597D5A0 Device \Driver\ACPI \Device\00000047 8597D5A0 Device \Driver\ACPI \Device\00000055 8597D5A0 Device \Driver\ACPI \Device\00000048 8597D5A0 AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) Device \Driver\ACPI \Device\00000063 8597D5A0 Device \Driver\ACPI \Device\00000064 8597D5A0 Device \Driver\ACPI \Device\00000058 8597D5A0 Device \Driver\Cdrom \Device\CdRom0 86717FD1 Device \Driver\ACPI \Device\00000065 8597D5A0 Device \Driver\ACPI \Device\00000059 8597D5A0 Device \Driver\Cdrom \Device\CdRom1 86717FD1 Device \Driver\ACPI \Device\00000066 8597D5A0 Device \Driver\ACPI \Device\0000005a 8597D5A0 Device \Driver\ACPI \Device\0000004e 8597D5A0 AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) Device \Driver\nvata \Device\0000006b 86719014 Device \Driver\nvata \Device\0000006c 86719014 Device \Driver\nvata \Device\NvAta0 86719014 Device \Driver\nvata \Device\NvAta1 86719014 Device \Driver\nvata \Device\NvAta2 86719014 Device \Driver\Stealth \Device\Scsi\Stealth1Port0Path0Target0Lun0 8671900C Device \Driver\Stealth \Device\Scsi\Stealth1 8671900C ---- Threads - GMER 1.0.15 ---- Thread System [4:480] 859E5B50 Thread System [4:2536] 859B4BA0 Thread System [4:2540] 85A02DC0 Thread System [4:2544] 859C40E0 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@RequireSignedAppInit_DLLs 1 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}@iamdkimfnnhcgdlbob 0x6B 0x61 0x68 0x6C ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}@hakemfkncaakobhj 0x69 0x61 0x6D 0x6B ... ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior; <-- ROOTKIT !!! Disk \Device\Harddisk0\DR0 sector 09: copy of MBR Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x951dfc5 size 0x1fd Disk \Device\Harddisk0\DR0 sector 62: copy of MBR ---- EOF - GMER 1.0.15 ---- |
Szerző: | stell [ kedd jan. 25, 2011 18:46 ] |
Hozzászólás témája: | Re: Trójai |
De neked az E:\a rendszer lemez,ezert az E:\lemezet bepipazod. Ne rakjal ide,logokat amit nem kerek, ez is a regi, most megcsinalod eztet:,ha lehet akkor csökkentet módban,ha nem akkor a rendes windowsban. Tolds le az asztalra>.csomagold ki az asztalra http://www.gmer.net/gmer.zip Kapcsold le a gepet az internetrol,zarj be minden programot, Kikapcsolni az Antivirus vedo pajzat. Futtasd>.lefut egy rovid vizsgalat,,, ha kiirja rootkit activity and asks if you want to run scan>>klik >>>NO<< es bealitod igy >> klik>> scan,<< a scan vegen >>SAVE<< ads neki nevet ,,lehet akarmi.txt>>tedd az asztalra aztan tedd ide,, Ha nem kapsz semilyen jelentest,,,mindent bepipazol es klik>> SCAN->>>>az skan utan tedd ide a logjat.>>SAVE>.mented.ahogy leirtam., |
Szerző: | levi1899 [ kedd jan. 25, 2011 18:43 ] |
Hozzászólás témája: | Re: Trójai |
Először nem, de másodjára már úgy csináltam. Az E:\rsit mappában találtam a log.txt-t: Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Program Files\Alwil Software\Avast5\AvastSvc.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\system32\spoolsv.exe E:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe E:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe E:\Program Files\MessengerPlus! 3\MsgPlus.exe E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe E:\WINDOWS\System32\svchost.exe E:\Program Files\Application Updater\ApplicationUpdater.exe E:\WINDOWS\ATKKBService.exe E:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE E:\WINDOWS\System32\nvsvc32.exe E:\WINDOWS\System32\svchost.exe E:\Program Files\Mozilla Firefox\firefox.exe E:\Documents and Settings\Kovács\Asztal\RSIT.exe E:\Program Files\trend micro\Kovács.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.maxiwe.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.maxiwe.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.maxiwe.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hivatkozások R3 - URLSearchHook: YouTube Downloader Toolbar - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - E:\Program Files\YouTube Downloader Toolbar\IE\4.1\youtubedownloaderToolbarIE.dll R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - E:\Program Files\YouTube Downloader Toolbar\SearchSettings.dll (file missing) O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - E:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2F472834-D66C-491B-9B76-40E918BE2FFE} - E:\WINDOWS\System32\rqRIaBTN.dll (file missing) O2 - BHO: (no name) - {41A5A1D9-33DA-450D-A60E-8398F35F8409} - E:\WINDOWS\System32\iiffGXpn.dll (file missing) O2 - BHO: (no name) - {5DAEF7E7-47AB-4AF4-B0B4-9E24EAA6DB13} - E:\WINDOWS\System32\efcDuutr.dll (file missing) O2 - BHO: (no name) - {5F11D5D5-3FB2-4ADD-84AD-D69BC9A5D312} - E:\WINDOWS\System32\urqOIyXr.dll (file missing) O2 - BHO: (no name) - {695C5BA4-AC45-40EB-AC30-A965B2AB4746} - E:\WINDOWS\System32\cbXQGApq.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - E:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: (no name) - {A317E38C-5838-45AE-A741-89C49C59AFAB} - E:\WINDOWS\System32\qoMeETNE.dll (file missing) O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\hu-hu\msntb.dll O2 - BHO: (no name) - {DA02CDE7-1645-4EA3-8F5D-5D1119F5FA08} - E:\WINDOWS\System32\efcASiHw.dll (file missing) O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - E:\Program Files\YouTube Downloader Toolbar\SearchSettings.dll (file missing) O2 - BHO: (no name) - {EC44A89A-F6FF-4F60-9320-3703297607E7} - E:\WINDOWS\System32\ddcBRHba.dll (file missing) O2 - BHO: YouTube Downloader Toolbar - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - E:\Program Files\YouTube Downloader Toolbar\IE\4.1\youtubedownloaderToolbarIE.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\hu-hu\msntb.dll O3 - Toolbar: &Rádió - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - E:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll O3 - Toolbar: YouTube Downloader Toolbar - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - E:\Program Files\YouTube Downloader Toolbar\IE\4.1\youtubedownloaderToolbarIE.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Kaspersky] E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe O4 - HKLM\..\Run: [SearchSettings] "E:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe" O4 - HKLM\..\Run: [avast5] E:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui O4 - HKLM\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKCU\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "E:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: uninstall.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&xportálás Microsoft Excel formátumba - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Kutatás - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b56986.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3097702171 O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.33/g_bin/eng/poker_2_0_0_49.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://85.119.9.21:2004/activex/AMC.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EA78C555-6F5C-40B7-96A9-543775E06709}: NameServer = 213.163.34.66 62.77.203.10 O20 - Winlogon Notify: urqOIyXr - urqOIyXr.dll (file missing) O22 - SharedTaskScheduler: Browseui előbetöltője - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Komponenskategóriák gyorsítótárazási szolgáltatása - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\System32\browseui.dll O23 - Service: Adobe LM Service - Adobe Systems - E:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Application Updater - Spigot, Inc. - E:\Program Files\Application Updater\ApplicationUpdater.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - E:\WINDOWS\ATKKBService.exe O23 - Service: avast! Antivirus - AVAST Software - E:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: Logikai lemezkezelő felügyeleti szolgáltatás (dmadmin) - Unknown owner - E:\WINDOWS\System32\dmadmin.exe O23 - Service: Eseménynapló (Eventlog) - Unknown owner - E:\WINDOWS\system32\services.exe O23 - Service: Google frissítési szolgáltatás (gupdate) (gupdate) - Unknown owner - E:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: IMAPI CD-égető COM-szolgáltatás (ImapiService) - Unknown owner - E:\WINDOWS\System32\imapi.exe O23 - Service: NetMeeting távoli asztalmegosztás (mnmsrvc) - Unknown owner - E:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Hálózati DDE (NetDDE) - Unknown owner - E:\WINDOWS\system32\netdde.exe O23 - Service: Hálózati DDE DSDM (NetDDEdsdm) - Unknown owner - E:\WINDOWS\system32\netdde.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Unknown owner - E:\WINDOWS\system32\services.exe O23 - Service: Távoli asztal súgó-munkamenetének kezelője (RDSessMgr) - Unknown owner - E:\WINDOWS\system32\sessmgr.exe O23 - Service: Intelligens kártya segítője (SCardDrv) - Unknown owner - E:\WINDOWS\System32\SCardSvr.exe O23 - Service: Intelligens kártya (SCardSvr) - Unknown owner - E:\WINDOWS\System32\SCardSvr.exe O23 - Service: ServiceLayer - Nokia - E:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Teljesítménynaplók és riasztások (SysmonLog) - Unknown owner - E:\WINDOWS\system32\smlogsvc.exe O23 - Service: Kötet árnyékmásolata (VSS) - Unknown owner - E:\WINDOWS\System32\vssvc.exe O23 - Service: WMI teljesítményadapter (WmiApSrv) - Unknown owner - E:\WINDOWS\System32\wbem\wmiapsrv.exe O24 - Desktop Component 0: (no name) - http://www.sextazis.hu/html/tkep.php?gID=712&k=7 -- End of file - 9794 bytes ======Scheduled tasks folder====== E:\WINDOWS\tasks\AppleSoftwareUpdate.job E:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job E:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job E:\WINDOWS\tasks\NSSstub.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}] Dealio Toolbar - E:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll [2010-01-08 700416] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] AcroIEHlprObj Class - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 63136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2F472834-D66C-491B-9B76-40E918BE2FFE}] E:\WINDOWS\System32\rqRIaBTN.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{41A5A1D9-33DA-450D-A60E-8398F35F8409}] E:\WINDOWS\System32\iiffGXpn.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5DAEF7E7-47AB-4AF4-B0B4-9E24EAA6DB13}] E:\WINDOWS\System32\efcDuutr.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5F11D5D5-3FB2-4ADD-84AD-D69BC9A5D312}] E:\WINDOWS\System32\urqOIyXr.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{695C5BA4-AC45-40EB-AC30-A965B2AB4746}] E:\WINDOWS\System32\cbXQGApq.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] SSVHelper Class - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll [2008-02-22 509328] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9394EDE7-C8B5-483E-8773-474BF36AF6E4}] ST - E:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll [2004-08-13 155648] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A317E38C-5838-45AE-A741-89C49C59AFAB}] E:\WINDOWS\System32\qoMeETNE.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}] MSNToolBandBHO - E:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\hu-hu\msntb.dll [2006-01-17 282624] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DA02CDE7-1645-4EA3-8F5D-5D1119F5FA08}] E:\WINDOWS\System32\efcASiHw.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] E:\Program Files\YouTube Downloader Toolbar\SearchSettings.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EC44A89A-F6FF-4F60-9320-3703297607E7}] E:\WINDOWS\System32\ddcBRHba.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F3FEE66E-E034-436a-86E4-9690573BEE8A}] YouTube Downloader Toolbar - E:\Program Files\YouTube Downloader Toolbar\IE\4.1\youtubedownloaderToolbarIE.dll [2010-10-22 726016] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - MSN - E:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\hu-hu\msntb.dll [2006-01-17 282624] {8E718888-423F-11D2-876E-00A0C9082467} - &Rádió - E:\WINDOWS\System32\msdxm.ocx [2002-09-20 844828] {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - Dealio Toolbar - E:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll [2010-01-08 700416] {F3FEE66E-E034-436a-86E4-9690573BEE8A} - YouTube Downloader Toolbar - E:\Program Files\YouTube Downloader Toolbar\IE\4.1\youtubedownloaderToolbarIE.dll [2010-10-22 726016] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"=E:\WINDOWS\System32\NvCpl.dll [2006-10-22 7700480] "Kaspersky"=E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe [] "SearchSettings"=E:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe [2010-10-22 524288] "avast5"=E:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe [2011-01-13 3396624] "MessengerPlus3"=E:\Program Files\MessengerPlus! 3\MsgPlus.exe [2010-07-16 190024] "HPDJ Taskbar Utility"=E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe [2001-12-06 196608] ""= [] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "MessengerPlus3"=E:\Program Files\MessengerPlus! 3\MsgPlus.exe [2010-07-16 190024] "msnmsgr"=E:\Program Files\MSN Messenger\msnmsgr.exe [2007-09-04 6856704] E:\Documents and Settings\All Users\Start Menu\Programs\Indítópult uninstall.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqOIyXr] urqOIyXr.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{5F11D5D5-3FB2-4ADD-84AD-D69BC9A5D312}"=E:\WINDOWS\System32\urqOIyXr.dll [] "{88485281-8b4b-4f8d-9ede-82e29a064277}"=E:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 192512] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "authentication packages"=msv1_0 E:\WINDOWS\System32\ddcBRHba [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=189 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=189 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "E:\Program Files\Internet Explorer\IEXPLORE.EXE"="E:\Program Files\Internet Explorer\IEXPLORE.EXE:*:Enabled:UUSEE" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] ======List of files/folders created in the last 1 months====== 2011-01-25 14:24:28 ----D---- E:\Program Files\trend micro 2011-01-25 14:24:27 ----D---- E:\rsit 2011-01-24 21:53:14 ----A---- E:\TDSSKiller.2.4.15.0_24.01.2011_21.53.14_log.txt 2011-01-11 19:01:18 ----D---- E:\Documents and Settings\All Users\Application Data\DivX 2011-01-06 13:24:22 ----D---- E:\Documents and Settings\Kovács\Application Data\Carambis ======List of files/folders modified in the last 1 months====== 2011-01-25 14:24:28 ----RD---- E:\Program Files 2011-01-25 14:24:28 ----D---- E:\WINDOWS\Prefetch 2011-01-25 14:17:52 ----D---- E:\Program Files\Mozilla Firefox 2011-01-25 14:03:28 ----D---- E:\WINDOWS\Temp 2011-01-25 14:00:05 ----A---- E:\WINDOWS\NeroDigital.ini 2011-01-25 09:57:22 ----D---- E:\WINDOWS\Debug 2011-01-25 09:57:16 ----D---- E:\Program Files\Common Files\Akamai 2011-01-25 09:24:46 ----A---- E:\WINDOWS\SchedLgU.Txt 2011-01-24 21:53:14 ----D---- E:\WINDOWS\System32\drivers 2011-01-24 14:35:16 ----D---- E:\WINDOWS\System32\CatRoot2 2011-01-24 08:57:47 ----D---- E:\WINDOWS\system32 2011-01-23 14:54:53 ----SHD---- E:\WINDOWS\Installer 2011-01-23 14:42:36 ----D---- E:\WINDOWS 2011-01-18 19:51:35 ----SHD---- E:\System Volume Information 2011-01-18 10:29:46 ----A---- E:\WINDOWS\wincmd.ini 2011-01-13 09:47:32 ----A---- E:\WINDOWS\System32\aswBoot.exe 2011-01-05 21:35:31 ----D---- E:\Documents and Settings\Kovács\Application Data\uTorrent ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R0 nvata;nvata; E:\WINDOWS\System32\DRIVERS\nvata.sys [2005-08-18 93568] R0 sfdrv01;StarForce Protection Environment Driver (version 1.x); E:\WINDOWS\System32\drivers\sfdrv01.sys [2006-03-26 51200] R0 sfhlp02;StarForce Protection Helper Driver (version 2.x); E:\WINDOWS\System32\drivers\sfhlp02.sys [2006-03-13 6656] R0 sfsync04;StarForce Protection Synchronization Driver (version 4.x); E:\WINDOWS\System32\drivers\sfsync04.sys [2006-03-24 50176] R0 Stealth;Stealth; E:\WINDOWS\System32\DRIVERS\stealth.sys [2002-06-21 80896] R1 Aavmker4;avast! Asynchronous Virus Monitor; E:\WINDOWS\System32\drivers\Aavmker4.sys [2011-01-13 29392] R1 AmdK8;AMD processzor-illesztőprogram; E:\WINDOWS\System32\DRIVERS\AmdK8.sys [2005-03-09 43008] R1 asuskbnt;Enhanced Display Driver Helper Service; E:\WINDOWS\system32\drivers\atkkbnt.sys [2006-10-31 11008] R1 aswRdr;aswRdr; E:\WINDOWS\System32\drivers\aswRdr.sys [2011-01-13 23632] R1 aswSP;aswSP; E:\WINDOWS\System32\drivers\aswSP.sys [2011-01-13 294608] R1 aswTdi;avast! Network Shield Support; E:\WINDOWS\System32\drivers\aswTdi.sys [2011-01-13 47440] R1 StarOpen;StarOpen; E:\WINDOWS\System32\drivers\StarOpen.sys [2009-09-08 5632] R2 aswMon2;avast! Standard Shield Support; E:\WINDOWS\System32\drivers\aswMon2.sys [2011-01-13 100176] R2 EIO;EIO; \??\E:\WINDOWS\system32\drivers\EIO.sys [] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); E:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-08-19 3644800] R3 nv;nv; E:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2006-10-22 3994624] R3 NVENETFD;NVIDIA nForce Networking Controller Driver; E:\WINDOWS\System32\DRIVERS\NVENETFD.sys [2005-04-05 33536] R3 nvnetbus;NVIDIA Network Bus Enumerator; E:\WINDOWS\System32\DRIVERS\nvnetbus.sys [2005-04-05 12928] R3 Video3D;ASUS Video3D Service; E:\WINDOWS\System32\Drivers\Video3D32.sys [2006-09-29 10752] S3 CCDECODE;Closed Caption Decoder; E:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2004-07-09 16384] S3 EagleNT;EagleNT; \??\E:\WINDOWS\System32\drivers\EagleNT.sys [] S3 FTDIBUS;USB Serial Converter Driver; E:\WINDOWS\system32\drivers\ftdibus.sys [2009-10-22 57800] S3 FTSER2K;USB Serial Port Driver; E:\WINDOWS\system32\drivers\ftser2k.sys [2009-10-22 72520] S3 HidUsb;Microsoft HID osztályú illesztőprogram; E:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600] S3 LVUSBSta;Logitech USB Monitor Filter; E:\WINDOWS\system32\drivers\lvusbsta.sys [2004-10-11 22016] S3 mouhid;Egér HID-illesztőprogram; E:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-10-26 12160] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; E:\WINDOWS\system32\drivers\MSTEE.sys [2002-12-12 5504] S3 NABTSFEC;NABTS/FEC VBI Codec; E:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2004-07-09 83968] S3 NdisIP;Microsoft TV/Video Connection; E:\WINDOWS\System32\DRIVERS\NdisIP.sys [2004-07-09 10112] S3 nmwcd;Nokia USB Phone Parent; E:\WINDOWS\system32\drivers\ccdcmb.sys [2008-05-02 17536] S3 nmwcdc;Nokia USB Generic; E:\WINDOWS\system32\drivers\ccdcmbo.sys [2008-05-02 20864] S3 PID_0928;Labtec WebCam(PID_0928); E:\WINDOWS\System32\DRIVERS\LV561AV.SYS [2004-10-11 211712] S3 s1018bus;Sony Ericsson Device 1018 driver (WDM); E:\WINDOWS\System32\DRIVERS\s1018bus.sys [2008-11-04 86696] S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter; E:\WINDOWS\System32\DRIVERS\s1018mdfl.sys [2008-11-04 15016] S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver; E:\WINDOWS\System32\DRIVERS\s1018mdm.sys [2008-11-04 114472] S3 SLIP;BDA Slip De-Framer; E:\WINDOWS\System32\DRIVERS\SLIP.sys [2004-07-09 10880] S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM); E:\WINDOWS\System32\DRIVERS\ss_bus.sys [2007-05-02 83592] S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter; E:\WINDOWS\System32\DRIVERS\ss_mdfl.sys [2007-05-02 15112] S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers; E:\WINDOWS\System32\DRIVERS\ss_mdm.sys [2007-05-02 109704] S3 streamip;BDA IPSink; E:\WINDOWS\System32\DRIVERS\StreamIP.sys [2004-07-09 14976] S3 usbprint;Microsoft USB PRINTER osztály; E:\WINDOWS\System32\DRIVERS\usbprint.sys [2002-08-29 24960] S3 usbscan;USB-képolvasó illesztőprogramja; E:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 14208] S3 usbser;Nokia USB Serial Port; E:\WINDOWS\system32\drivers\usbser.sys [2001-08-17 24192] S3 UsbserFilt;UsbserFilt; E:\WINDOWS\System32\DRIVERS\usbser_lowerfltj.sys [2008-05-02 8064] S3 USBSTOR;USB háttértár illesztőprogramja; E:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 21760] S3 Wdf01000;Kernel Mode Driver Frameworks service; E:\WINDOWS\System32\Drivers\wdf01000.sys [2009-07-14 444136] S3 WpdUsb;WpdUsb; E:\WINDOWS\System32\Drivers\wpdusb.sys [2005-01-28 18944] S3 WSTCODEC;World Standard Teletext Codec; E:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2004-07-09 18688] S4 WS2IFSL;Windows Socket 2.0 - nem IFS-t szolgáltató támogatási környezet; E:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-10-26 12032] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Akamai;Akamai NetSession Interface; E:\WINDOWS\System32\svchost.exe [2001-10-26 12800] R2 Application Updater;Application Updater; E:\Program Files\Application Updater\ApplicationUpdater.exe [2010-10-22 386560] R2 ATKKeyboardService;ATK Keyboard Service; E:\WINDOWS\ATKKBService.exe [2006-09-29 258560] R2 avast! Antivirus;avast! Antivirus; E:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2011-01-13 40384] R2 MDM;Machine Debug Manager; E:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120] R2 NVSvc;NVIDIA Display Driver Service; E:\WINDOWS\System32\nvsvc32.exe [2006-10-22 159810] R2 UMWdf;Windows User Mode Driver Framework; E:\WINDOWS\System32\wdfmgr.exe [2005-01-28 38912] S2 gupdate;Google frissítési szolgáltatás (gupdate); E:\Program Files\Google\Update\GoogleUpdate.exe [2010-08-20 136176] S3 Adobe LM Service;Adobe LM Service; E:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe [2007-08-28 72704] S3 aspnet_state;ASP.NET State Service; E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240] S3 IDriverT;InstallDriver Table Manager; E:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 MSSQL$SONY_MEDIAMGR;MSSQL$SONY_MEDIAMGR; C:\Program Files\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe [2002-12-17 7520337] S3 MSSQLServerADHelper;MSSQLServerADHelper; E:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe [2002-12-17 66112] S3 ose;Office Source Engine; E:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S3 ServiceLayer;ServiceLayer; E:\Program Files\PC Connectivity Solution\ServiceLayer.exe [2010-06-14 615936] S3 SQLAgent$SONY_MEDIAMGR;SQLAgent$SONY_MEDIAMGR; C:\Program Files\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE [2002-12-17 311872] -----------------EOF----------------- Egyébként megint bejött a kék képernyő miután a program megkérdezte hogy akarom-é újrabootolni. |
Szerző: | stell [ kedd jan. 25, 2011 18:17 ] |
Hozzászólás témája: | Re: Trójai |
hm, meg a 9-sectorban es a 62 sectorban ot van a malicious kod. Az hogy lelassult nem szamit,majd meg javul, De irtam NE FUTTASD de a start FUTTATASBA masold be a parancsot,igy csinaltad?? |
Szerző: | levi1899 [ kedd jan. 25, 2011 18:13 ] |
Hozzászólás témája: | Re: Trójai |
Ez lesz az? Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 5.1.2600 Disk: SAMSUNG_SP0812N rev.TK100-31 -> Harddisk0\DR0 -> \Device\0000006b device: opened successfully user: MBR read successfully kernel: MBR read successfully detected disk devices: detected hooks: \Driver\ACPI -> 0x859505a0 \Device\Harddisk0\DR0 -> ParseProcedure -> 0x85957060 NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x859b73a0 user != kernel MBR !!! copy of MBR has been found in sector 9 ! malicious code @ sector 0x951dfc5 size 0x1fd ! copy of MBR has been found in sector 62 ! copy of MBR has been found in sector 156360645 Warning: possible MBR rootkit infection ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. Egyébként most eléggé belassult a gép, majd' fél perc a firefox indítása is, és a fórumot sem rendesen tölti be. |
Szerző: | stell [ kedd jan. 25, 2011 18:00 ] |
Hozzászólás témája: | Re: Trójai |
A e:\Qoobox\combofix.txt itt nincsen csak ez az egy combofix.txt??mert ez a regi,amit eloszor kaptal. Igen, mert ahogy nezem csak SP-1 szerviz scomagod van, na nem baj, Tolds le az asztalra:de ne futtasd: http://www2.gmer.net/mbr/mbr.exe klik,start,klik futtatas>masold be az ablakba ezt a parancsot,es klik ok, egy pilanat mulva add az asztalra logot,mbr.txt tedd ide "%userprofile%\Asztal\MBR.exe" -f |
Szerző: | levi1899 [ kedd jan. 25, 2011 17:54 ] |
Hozzászólás témája: | Re: Trójai |
Úgy tűnik hogy megtaláltam a combofix cuccát, de az bootkit removert nem tudom használni, mert nem támogatja a meghajtóm vagy mi. (nem vagyok perfekt angolból...) . ADS - svchost.exe: deleted 68 bytes in 1 streams. ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams. ADS - explorer.exe: deleted 132 bytes in 1 streams. ADS - win32k.sys: deleted 68 bytes in 1 streams. ADS - netcfgx.dll: deleted 100 bytes in 1 streams. ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WinRAR.exe e:\documents and settings\Kovács\Recent\Thumbs.db e:\program files\YouTube Downloader Toolbar\IE\4.1\yoUTubedownloadertoolbarie.dll e:\windows\daemon.dll e:\windows\Debug\dcpromo.log e:\windows\images.zip e:\windows\system32\abHRBcdd.ini e:\windows\system32\ENTEeMoq.ini e:\windows\system32\gbre.exe e:\windows\system32\mcrh.tmp e:\windows\system32\muzapp.exe e:\windows\system32\npXGffii.ini e:\windows\system32\NTBaIRqr.ini e:\windows\system32\qpAGQXbc.ini e:\windows\system32\rtuuDcfe.ini . \\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected . \\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected . ((((((((((((((((((((((((( Files Created from 2010-12-25 to 2011-01-25 ))))))))))))))))))))))))))))))) . 2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- e:\program files\trend micro 2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- E:\rsit 2011-01-11 18:01 . 2011-01-11 18:01 -------- d-----w- e:\documents and settings\All Users\Application Data\DivX 2011-01-06 12:24 . 2011-01-06 12:24 -------- d-----w- e:\documents and settings\Kovács\Application Data\Carambis . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-01-25 13:00 . 2007-08-09 09:54 196608 ----a-w- e:\windows\system32\drivers\nStandard.bin 2011-01-13 08:47 . 2010-07-01 18:51 38848 ----a-w- e:\windows\avastSS.scr 2011-01-13 08:47 . 2010-07-01 18:32 188216 ----a-w- e:\windows\system32\aswBoot.exe 2011-01-13 08:41 . 2010-07-01 18:32 294608 ----a-w- e:\windows\system32\drivers\aswSP.sys 2011-01-13 08:40 . 2010-07-01 18:32 47440 ----a-w- e:\windows\system32\drivers\aswTdi.sys 2011-01-13 08:40 . 2010-07-01 18:32 100176 ----a-w- e:\windows\system32\drivers\aswmon2.sys 2011-01-13 08:39 . 2010-07-01 18:32 94544 ----a-w- e:\windows\system32\drivers\aswmon.sys 2011-01-13 08:37 . 2010-07-01 18:32 23632 ----a-w- e:\windows\system32\drivers\aswRdr.sys 2011-01-13 08:37 . 2010-07-01 18:32 29392 ----a-w- e:\windows\system32\drivers\aavmker4.sys 2010-06-02 04:22 . 2010-06-02 04:22 89944 ----a-w- e:\program files\DSETUP.dll 2010-06-02 04:22 . 2010-06-02 04:22 537432 ----a-w- e:\program files\DXSETUP.exe 2010-06-02 04:22 . 2010-06-02 04:22 1801048 ----a-w- e:\program files\dsetup32.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="e:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="e:\windows\System32\NvCpl.dll" [2006-10-22 7700480] "avast5"="e:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624] "HPDJ Taskbar Utility"="e:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-06 196608] e:\documents and settings\All Users\Start Menu\Programs\Indˇt˘pult\ uninstall.exe [2011-1-25 421888] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MsnMsgr"="e:\program files\MSN Messenger\MsnMsgr.Exe" /background R0 Stealth;Stealth;e:\windows\system32\drivers\stealth.sys [2002.06.21. 9:58 80896] R1 aswSP;aswSP;e:\windows\system32\drivers\aswSP.sys [2010.07.01. 19:32 294608] R2 Akamai;Akamai NetSession Interface;e:\windows\System32\svchost.exe -k Akamai [2001.10.26. 12:00 12800] R2 Application Updater;Application Updater;e:\program files\Application Updater\ApplicationUpdater.exe [2010.10.22. 16:38 386560] S2 gupdate;Google frissítési szolgáltatás (gupdate);e:\program files\Google\Update\GoogleUpdate.exe [2010.08.20. 19:08 136176] S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);e:\windows\system32\drivers\s1018bus.sys [2009.09.26. 14:46 86696] S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;e:\windows\system32\drivers\s1018mdfl.sys [2009.10.04. 15:37 15016] S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;e:\windows\system32\drivers\s1018mdm.sys [2009.10.04. 15:37 114472] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Akamai REG_MULTI_SZ Akamai . Contents of the 'Scheduled Tasks' folder 2011-01-24 e:\windows\Tasks\AppleSoftwareUpdate.job - e:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job - e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08] 2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job - e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08] 2009-05-10 e:\windows\Tasks\NSSstub.job - e:\windows\System32\Adobe\Shockwave 11\nssstub.exe [2009-05-10 07:04] . . ------- Supplementary Scan ------- . uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15 mStart Page = hxxp://www.maxiwe.com uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: E&xportálás Microsoft Excel formátumba - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm DPF: DirectAnimation Java Classes - file://e:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://85.119.9.21:2004/activex/AMC.cab FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms} FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - www.ulloi129.hu FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =966134&p= FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - e:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} FF - Ext: Softonic-Eng7 Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b} FF - Ext: RadioBar Toolbar: radiobar@toolbar - %profile%\extensions\radiobar@toolbar . - - - - ORPHANS REMOVED - - - - BHO-{2F472834-D66C-491B-9B76-40E918BE2FFE} - e:\windows\System32\rqRIaBTN.dll BHO-{41A5A1D9-33DA-450D-A60E-8398F35F8409} - e:\windows\System32\iiffGXpn.dll BHO-{5DAEF7E7-47AB-4AF4-B0B4-9E24EAA6DB13} - e:\windows\System32\efcDuutr.dll BHO-{695C5BA4-AC45-40EB-AC30-A965B2AB4746} - e:\windows\System32\cbXQGApq.dll BHO-{A317E38C-5838-45AE-A741-89C49C59AFAB} - e:\windows\System32\qoMeETNE.dll BHO-{DA02CDE7-1645-4EA3-8F5D-5D1119F5FA08} - e:\windows\System32\efcASiHw.dll BHO-{EC44A89A-F6FF-4F60-9320-3703297607E7} - e:\windows\System32\ddcBRHba.dll WebBrowser-{4C350B19-6CA1-4569-B14C-296D8D65300C} - (no file) HKLM-Run-Kaspersky - e:\program files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe Notify-AtiExtEvent - (no file) Notify-urqOIyXr - urqOIyXr.dll HKLM_ActiveSetup-ViewSonic Explorer V5.3 - e:\windows\msdtcsw32.exe AddRemove-BDE - c:\windows\uninst.exe AddRemove-MTA:SA - c:\gta san andreas\Uninstall.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-01-25 15:30 Windows 5.1.2600 Szervizcsomag 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 5.1.2600 Disk: SAMSUNG_SP0812N rev.TK100-31 -> Harddisk0\DR0 -> \Device\0000006b device: opened successfully user: MBR read successfully kernel: MBR read successfully detected disk devices: detected hooks: \Driver\ACPI -> 0x8593d5a0 \Device\Harddisk0\DR0 -> ParseProcedure -> 0x85944060 NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x859a43a0 user != kernel MBR !!! copy of MBR has been found in sector 9 ! malicious code @ sector 0x951dfc5 size 0x1fd ! copy of MBR has been found in sector 62 ! copy of MBR has been found in sector 156360645 Warning: possible MBR rootkit infection ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. ************************************************************************** . --------------------- LOCKED REGISTRY KEYS --------------------- [HKEY_USERS\S-1-5-21-220523388-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "iamdkimfnnhcgdlbob"=hex:6b,61,68,6c,6b,69,69,6f,61,6a,6e,67,6f,61,64,6a,6d,64, 6f,61,66,70,00,00 "hakemfkncaakobhj"=hex:69,61,6d,6b,68,70,6a,6f,67,68,64,64,63,6b,61,67,66,64, 00,67 . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(728) e:\windows\System32\ODBC32.dll - - - - - - - > 'lsass.exe'(812) e:\windows\System32\dssenh.dll - - - - - - - > 'explorer.exe'(3272) e:\windows\System32\msi.dll . ------------------------ Other Running Processes ------------------------ . e:\program files\Alwil Software\Avast5\AvastSvc.exe e:\windows\ATKKBService.exe e:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE e:\windows\System32\nvsvc32.exe e:\windows\System32\wdfmgr.exe . ************************************************************************** . Completion time: 2011-01-25 15:33:50 - machine was rebooted ComboFix-quarantined-files.txt 2011-01-25 14:33 Pre-Run: 697 188 352 bájt szabad Post-Run: 2 850 193 408 bájt szabad winxpsp1_en_pro_bf.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional - magyar" /fastdetect - - End Of File - - 2334D392C0FD76F5A2D80B226B9A7182 (Ez az e:\combofix.txt) |
Szerző: | stell [ kedd jan. 25, 2011 17:44 ] |
Hozzászólás témája: | Re: Trójai |
nem baj; 1:Töltse le az asztalra a bootkit_remover.rar csomagolt állományt: 2:Csomagoljuk ki az asztalra és futtassuk. http://www.esagelab.com/files/bootkit_remover.rar a logjat tedd ide es nezd meg a e:\combofix.txt, vagy e:\Qoobox\combofix.txt2 ha ott van tedd aztat is ide |
Szerző: | levi1899 [ kedd jan. 25, 2011 17:41 ] |
Hozzászólás témája: | Re: Trójai |
Sikerült megcsinálni mindent egészen az utolsó fázisig, amikor vártam hogy végezzen a combofix. 2 percre tettem ki a lábam a szobából, mire visszajöttem egy bizonyos kék hátteres szöveg várt a monitoron. A 22. újraindítás volt sikeres, és nem találtam meg a combofix naplóját sem... |
Szerző: | stell [ kedd jan. 25, 2011 16:08 ] |
Hozzászólás témája: | Re: Trójai |
http://www.jpshortstuff.247fixes.com/Defogger.exe Kérjük, töltse le DeFogger az asztalra. Dupla kettyenés DeFogger hogy futtassa az eszközt. * Az alkalmazás ablak jelenik meg * Kattintson a Tiltás gombra megbénít a CD emuláció illesztőprogramok * Igen gombra kattintva folytathatja * A "Kész!" 'Finished!' üzenet jelenik meg * Kattintson az OK gombra * DeFogger kérheti, hogy indítsd újra a gépet, ha nem - kattintson az OK gombra. Kinyitunk - Notepadot (Jegyzetfüzetet)igy: Start>futtatás>beírod: notepad és bemásolod- a Kód: címszó alatt található zöld textet(Kód: szó nélkül), aztán a notepadba beillesztett textet elmentjük scriptnek az asztalra , úgy:- Fájl>Mentés Másként>Fájlnév>CFScript.txt>Fájl típusa>Minden fájl>Mentés.(Ásztálra),.Kész, az astalon lévő CFScript txt húzzunk rá a ComboFix ikonnyara. Es mostan megcsinalod eztett: A combofix maga elindul es lehet hogy restartol es befejezi a scent.Amit majd ad ted ide. Kód: KILLALL:: MBR:: File:: E:\Documents and Settings\All Users\Start Menu\Programs\Indítópult\uninstall.exe e:\windows\Tasks\NSSstub.job DDS:: uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15 mStart Page = hxxp://www.maxiwe.com IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm Extra:: FireFox:: FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms} RegNull:: [HKEY_USERS\S-1-5-21-220523388-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}*] |
Szerző: | levi1899 [ kedd jan. 25, 2011 15:43 ] |
Hozzászólás témája: | Re: Trójai |
Csak az avast van fent mint vírusirtó, azelőtt a kaspersky és a spybot S&D volt fent, de most csak az avast van. Lefuttattam a progit, és ez lett az eredmény: ComboFix 11-01-24.02 - Kovács 011.01.25. 15:22:27.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.1.1250.36.1038.18.1022.748 [GMT 1:00] Running from: e:\documents and settings\Kovács\Asztal\ComboFix.exe . ADS - svchost.exe: deleted 68 bytes in 1 streams. ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams. ADS - explorer.exe: deleted 132 bytes in 1 streams. ADS - win32k.sys: deleted 68 bytes in 1 streams. ADS - netcfgx.dll: deleted 100 bytes in 1 streams. ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WinRAR.exe e:\documents and settings\Kovács\Recent\Thumbs.db e:\program files\YouTube Downloader Toolbar\IE\4.1\yoUTubedownloadertoolbarie.dll e:\windows\daemon.dll e:\windows\Debug\dcpromo.log e:\windows\images.zip e:\windows\system32\abHRBcdd.ini e:\windows\system32\ENTEeMoq.ini e:\windows\system32\gbre.exe e:\windows\system32\mcrh.tmp e:\windows\system32\muzapp.exe e:\windows\system32\npXGffii.ini e:\windows\system32\NTBaIRqr.ini e:\windows\system32\qpAGQXbc.ini e:\windows\system32\rtuuDcfe.ini . \\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected . \\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected . ((((((((((((((((((((((((( Files Created from 2010-12-25 to 2011-01-25 ))))))))))))))))))))))))))))))) . 2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- e:\program files\trend micro 2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- E:\rsit 2011-01-11 18:01 . 2011-01-11 18:01 -------- d-----w- e:\documents and settings\All Users\Application Data\DivX 2011-01-06 12:24 . 2011-01-06 12:24 -------- d-----w- e:\documents and settings\Kovács\Application Data\Carambis . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-01-25 13:00 . 2007-08-09 09:54 196608 ----a-w- e:\windows\system32\drivers\nStandard.bin 2011-01-13 08:47 . 2010-07-01 18:51 38848 ----a-w- e:\windows\avastSS.scr 2011-01-13 08:47 . 2010-07-01 18:32 188216 ----a-w- e:\windows\system32\aswBoot.exe 2011-01-13 08:41 . 2010-07-01 18:32 294608 ----a-w- e:\windows\system32\drivers\aswSP.sys 2011-01-13 08:40 . 2010-07-01 18:32 47440 ----a-w- e:\windows\system32\drivers\aswTdi.sys 2011-01-13 08:40 . 2010-07-01 18:32 100176 ----a-w- e:\windows\system32\drivers\aswmon2.sys 2011-01-13 08:39 . 2010-07-01 18:32 94544 ----a-w- e:\windows\system32\drivers\aswmon.sys 2011-01-13 08:37 . 2010-07-01 18:32 23632 ----a-w- e:\windows\system32\drivers\aswRdr.sys 2011-01-13 08:37 . 2010-07-01 18:32 29392 ----a-w- e:\windows\system32\drivers\aavmker4.sys 2010-06-02 04:22 . 2010-06-02 04:22 89944 ----a-w- e:\program files\DSETUP.dll 2010-06-02 04:22 . 2010-06-02 04:22 537432 ----a-w- e:\program files\DXSETUP.exe 2010-06-02 04:22 . 2010-06-02 04:22 1801048 ----a-w- e:\program files\dsetup32.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="e:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="e:\windows\System32\NvCpl.dll" [2006-10-22 7700480] "avast5"="e:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624] "HPDJ Taskbar Utility"="e:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-06 196608] e:\documents and settings\All Users\Start Menu\Programs\Indˇt˘pult\ uninstall.exe [2011-1-25 421888] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MsnMsgr"="e:\program files\MSN Messenger\MsnMsgr.Exe" /background R0 Stealth;Stealth;e:\windows\system32\drivers\stealth.sys [2002.06.21. 9:58 80896] R1 aswSP;aswSP;e:\windows\system32\drivers\aswSP.sys [2010.07.01. 19:32 294608] R2 Akamai;Akamai NetSession Interface;e:\windows\System32\svchost.exe -k Akamai [2001.10.26. 12:00 12800] R2 Application Updater;Application Updater;e:\program files\Application Updater\ApplicationUpdater.exe [2010.10.22. 16:38 386560] S2 gupdate;Google frissítési szolgáltatás (gupdate);e:\program files\Google\Update\GoogleUpdate.exe [2010.08.20. 19:08 136176] S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);e:\windows\system32\drivers\s1018bus.sys [2009.09.26. 14:46 86696] S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;e:\windows\system32\drivers\s1018mdfl.sys [2009.10.04. 15:37 15016] S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;e:\windows\system32\drivers\s1018mdm.sys [2009.10.04. 15:37 114472] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Akamai REG_MULTI_SZ Akamai . Contents of the 'Scheduled Tasks' folder 2011-01-24 e:\windows\Tasks\AppleSoftwareUpdate.job - e:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job - e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08] 2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job - e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08] 2009-05-10 e:\windows\Tasks\NSSstub.job - e:\windows\System32\Adobe\Shockwave 11\nssstub.exe [2009-05-10 07:04] . . ------- Supplementary Scan ------- . uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15 mStart Page = hxxp://www.maxiwe.com uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: E&xportálás Microsoft Excel formátumba - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm DPF: DirectAnimation Java Classes - file://e:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://85.119.9.21:2004/activex/AMC.cab FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms} FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - www.ulloi129.hu FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =966134&p= FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - e:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} FF - Ext: Softonic-Eng7 Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b} FF - Ext: RadioBar Toolbar: radiobar@toolbar - %profile%\extensions\radiobar@toolbar . - - - - ORPHANS REMOVED - - - - BHO-{2F472834-D66C-491B-9B76-40E918BE2FFE} - e:\windows\System32\rqRIaBTN.dll BHO-{41A5A1D9-33DA-450D-A60E-8398F35F8409} - e:\windows\System32\iiffGXpn.dll BHO-{5DAEF7E7-47AB-4AF4-B0B4-9E24EAA6DB13} - e:\windows\System32\efcDuutr.dll BHO-{695C5BA4-AC45-40EB-AC30-A965B2AB4746} - e:\windows\System32\cbXQGApq.dll BHO-{A317E38C-5838-45AE-A741-89C49C59AFAB} - e:\windows\System32\qoMeETNE.dll BHO-{DA02CDE7-1645-4EA3-8F5D-5D1119F5FA08} - e:\windows\System32\efcASiHw.dll BHO-{EC44A89A-F6FF-4F60-9320-3703297607E7} - e:\windows\System32\ddcBRHba.dll WebBrowser-{4C350B19-6CA1-4569-B14C-296D8D65300C} - (no file) HKLM-Run-Kaspersky - e:\program files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe Notify-AtiExtEvent - (no file) Notify-urqOIyXr - urqOIyXr.dll HKLM_ActiveSetup-ViewSonic Explorer V5.3 - e:\windows\msdtcsw32.exe AddRemove-BDE - c:\windows\uninst.exe AddRemove-MTA:SA - c:\gta san andreas\Uninstall.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-01-25 15:30 Windows 5.1.2600 Szervizcsomag 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 5.1.2600 Disk: SAMSUNG_SP0812N rev.TK100-31 -> Harddisk0\DR0 -> \Device\0000006b device: opened successfully user: MBR read successfully kernel: MBR read successfully detected disk devices: detected hooks: \Driver\ACPI -> 0x8593d5a0 \Device\Harddisk0\DR0 -> ParseProcedure -> 0x85944060 NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x859a43a0 user != kernel MBR !!! copy of MBR has been found in sector 9 ! malicious code @ sector 0x951dfc5 size 0x1fd ! copy of MBR has been found in sector 62 ! copy of MBR has been found in sector 156360645 Warning: possible MBR rootkit infection ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. ************************************************************************** . --------------------- LOCKED REGISTRY KEYS --------------------- [HKEY_USERS\S-1-5-21-220523388-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "iamdkimfnnhcgdlbob"=hex:6b,61,68,6c,6b,69,69,6f,61,6a,6e,67,6f,61,64,6a,6d,64, 6f,61,66,70,00,00 "hakemfkncaakobhj"=hex:69,61,6d,6b,68,70,6a,6f,67,68,64,64,63,6b,61,67,66,64, 00,67 . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(728) e:\windows\System32\ODBC32.dll - - - - - - - > 'lsass.exe'(812) e:\windows\System32\dssenh.dll - - - - - - - > 'explorer.exe'(3272) e:\windows\System32\msi.dll . ------------------------ Other Running Processes ------------------------ . e:\program files\Alwil Software\Avast5\AvastSvc.exe e:\windows\ATKKBService.exe e:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE e:\windows\System32\nvsvc32.exe e:\windows\System32\wdfmgr.exe . ************************************************************************** . Completion time: 2011-01-25 15:33:50 - machine was rebooted ComboFix-quarantined-files.txt 2011-01-25 14:33 Pre-Run: 697 188 352 bájt szabad Post-Run: 2 850 193 408 bájt szabad winxpsp1_en_pro_bf.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional - magyar" /fastdetect - - End Of File - - 2334D392C0FD76F5A2D80B226B9A7182 |
Oldal: 1 / 3 | Időzóna: UTC + 1 óra |
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |