Megválaszolatlan hozzászólások | Aktív témák Pontos idő: csüt. márc. 28, 2024 14:40



Hozzászólás a témához  [ 126 hozzászólás ]  Oldal 1, 2, 3  Következő
Trójai 
Szerző Üzenet
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
Igen, lehetett ez is. de ajánlom meg át nézni az AVPTOOL programmal,
Igen okosabb lenne újra rakni a gépet
http://www.virus-stell.com/2010/04/avptool.html
Nincsen mit köszönöd
Usv


vas. feb. 06, 2011 11:06
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Köszönöm a segítséget, a vírust tényleg sikerült kitakarítani, de a gépet elvittük egy közeli szervizbe ahol kiderítették, hogy a videókártya illesztőprogramjával volt a baj, ami összefüggésben állt a windows és a szervizcsomag minőségével. A programot eltávolították, így egy kicsit lassabban tölti be a netes oldalakat, és majd valamikor egy új(abb) windowst is felteszünk. Mégegyszer köszönöm!

Üdv.: Levente


vas. feb. 06, 2011 10:57
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
combofix5.txt, tedd ide

Bootolas.
2 masodpercre megjelenik a valasztas
1:winxpsp1_en_pro_bf.exe
2:Microsoft Windows Recovery Console

A nyilakal a bilentyun kivalasztod az 2:Microsoft Windows Recovery Console>.enter>>a keri hogy valaszd ki az op rendszert akkor>nyomod az [1] [enter]
vagy amilyen szam lesz ott,
megjelenik ez E:\_ vilogo kurzor>>ide beirod a parancsokat,es folytattod ugy ahogy leirtam.


pén. jan. 28, 2011 8:05
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Csak nem találom azt a logot :? a legnagyobb az a combofix5, de az is korábbi. Meg nem vágom azt a bootolásos részt sem, kell ott valamit nyomni hogy belépjek oda?


csüt. jan. 27, 2011 20:54
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
1:Mar nem muszaj csinalnod. ha megjelent a jedzet tomb,akkor ott lesz a merev lemezen, combofix5.txt,, tehat keresd meg es azt aminek a legnagyobb szamja van tedd ide lehet hogy combofix6.txt az.
2:Mikor a windows bootol, egy pilanatra megjelenik a valsztas.
1:Windows
2>Recovery konzole
Valaszd ki a recovery konzolet
es a menj a konzolara,
itt beirod a vilogo kurzorhoz ezzeket a parancsokat
fixmbr nyomod az [enter] bilentyut.
fixboot nyomod az [enter] bilentyut.
exit nyomod az [enter] bilentyut.

3:A windowsban >>klik start>>klik>>futtatas>>ird be msconfig
klik ok
Klik a fullre BOOT>INI
pipazt be /BOOTLOG
klik ok
restart

a windowsban megtalalod>>C:\windows\ntbtlog.txt
tedd azt is ide.


csüt. jan. 27, 2011 15:24
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Visszatértem, este nem tudtam befejezni, a program maga indította újra a gépet, először ki is dobta a logot egy jegyzettömb formájában, de rögtön lefagyott, utána újraindítottam és fél óráig nem akart normálisan elindulni, utána kikapcsoltam és hagytam. Most megpróbálom még egyszer talán, hátha sikerül.


csüt. jan. 27, 2011 14:22
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
Ez a regi.

De tulajdonkepen miert inditod ujra a gepet, ??Ha a combofix maga nem inditsa ujra akkor nem kell, es addig kel varni, meg a combofix.txt magatol megjelenik az asztalon,

Tehat ujbol csinald meg a CFScript.txt>.dobde bele a combofixbe es nem babaralsz semmit,addig meg meg nem jelenik a script az asztalon, ok ,,majd holnap megnezem, ma mar vegzek


szer. jan. 26, 2011 22:39
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Csak ezt találtam, de ez 18:23-as elvileg.

ComboFix 11-01-24.02 - Kovács 011.01.25. 15:22:27.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.1.1250.36.1038.18.1022.748 [GMT 1:00]
Running from: e:\documents and settings\Kovács\Asztal\ComboFix.exe
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.
ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams.
ADS - explorer.exe: deleted 132 bytes in 1 streams.
ADS - win32k.sys: deleted 68 bytes in 1 streams.
ADS - netcfgx.dll: deleted 100 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WinRAR.exe
e:\documents and settings\Kovács\Recent\Thumbs.db
e:\program files\YouTube Downloader Toolbar\IE\4.1\yoUTubedownloadertoolbarie.dll
e:\windows\daemon.dll
e:\windows\Debug\dcpromo.log
e:\windows\images.zip
e:\windows\system32\abHRBcdd.ini
e:\windows\system32\ENTEeMoq.ini
e:\windows\system32\gbre.exe
e:\windows\system32\mcrh.tmp
e:\windows\system32\muzapp.exe
e:\windows\system32\npXGffii.ini
e:\windows\system32\NTBaIRqr.ini
e:\windows\system32\qpAGQXbc.ini
e:\windows\system32\rtuuDcfe.ini

.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
((((((((((((((((((((((((( Files Created from 2010-12-25 to 2011-01-25 )))))))))))))))))))))))))))))))
.

2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- e:\program files\trend micro
2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- E:\rsit
2011-01-11 18:01 . 2011-01-11 18:01 -------- d-----w- e:\documents and settings\All Users\Application Data\DivX
2011-01-06 12:24 . 2011-01-06 12:24 -------- d-----w- e:\documents and settings\Kovács\Application Data\Carambis

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-25 13:00 . 2007-08-09 09:54 196608 ----a-w- e:\windows\system32\drivers\nStandard.bin
2011-01-13 08:47 . 2010-07-01 18:51 38848 ----a-w- e:\windows\avastSS.scr
2011-01-13 08:47 . 2010-07-01 18:32 188216 ----a-w- e:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2010-07-01 18:32 294608 ----a-w- e:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2010-07-01 18:32 47440 ----a-w- e:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:40 . 2010-07-01 18:32 100176 ----a-w- e:\windows\system32\drivers\aswmon2.sys
2011-01-13 08:39 . 2010-07-01 18:32 94544 ----a-w- e:\windows\system32\drivers\aswmon.sys
2011-01-13 08:37 . 2010-07-01 18:32 23632 ----a-w- e:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2010-07-01 18:32 29392 ----a-w- e:\windows\system32\drivers\aavmker4.sys
2010-06-02 04:22 . 2010-06-02 04:22 89944 ----a-w- e:\program files\DSETUP.dll
2010-06-02 04:22 . 2010-06-02 04:22 537432 ----a-w- e:\program files\DXSETUP.exe
2010-06-02 04:22 . 2010-06-02 04:22 1801048 ----a-w- e:\program files\dsetup32.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="e:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="e:\windows\System32\NvCpl.dll" [2006-10-22 7700480]
"avast5"="e:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624]
"HPDJ Taskbar Utility"="e:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-06 196608]

e:\documents and settings\All Users\Start Menu\Programs\Indˇt˘pult\
uninstall.exe [2011-1-25 421888]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="e:\program files\MSN Messenger\MsnMsgr.Exe" /background

R0 Stealth;Stealth;e:\windows\system32\drivers\stealth.sys [2002.06.21. 9:58 80896]
R1 aswSP;aswSP;e:\windows\system32\drivers\aswSP.sys [2010.07.01. 19:32 294608]
R2 Akamai;Akamai NetSession Interface;e:\windows\System32\svchost.exe -k Akamai [2001.10.26. 12:00 12800]
R2 Application Updater;Application Updater;e:\program files\Application Updater\ApplicationUpdater.exe [2010.10.22. 16:38 386560]
S2 gupdate;Google frissítési szolgáltatás (gupdate);e:\program files\Google\Update\GoogleUpdate.exe [2010.08.20. 19:08 136176]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);e:\windows\system32\drivers\s1018bus.sys [2009.09.26. 14:46 86696]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;e:\windows\system32\drivers\s1018mdfl.sys [2009.10.04. 15:37 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;e:\windows\system32\drivers\s1018mdm.sys [2009.10.04. 15:37 114472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contents of the 'Scheduled Tasks' folder

2011-01-24 e:\windows\Tasks\AppleSoftwareUpdate.job
- e:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08]

2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08]

2009-05-10 e:\windows\Tasks\NSSstub.job
- e:\windows\System32\Adobe\Shockwave 11\nssstub.exe [2009-05-10 07:04]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15
mStart Page = hxxp://www.maxiwe.com
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xportálás Microsoft Excel formátumba - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://e:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://85.119.9.21:2004/activex/AMC.cab
FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.ulloi129.hu
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =966134&p=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - e:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Softonic-Eng7 Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: RadioBar Toolbar: radiobar@toolbar - %profile%\extensions\radiobar@toolbar
.
- - - - ORPHANS REMOVED - - - -

BHO-{2F472834-D66C-491B-9B76-40E918BE2FFE} - e:\windows\System32\rqRIaBTN.dll
BHO-{41A5A1D9-33DA-450D-A60E-8398F35F8409} - e:\windows\System32\iiffGXpn.dll
BHO-{5DAEF7E7-47AB-4AF4-B0B4-9E24EAA6DB13} - e:\windows\System32\efcDuutr.dll
BHO-{695C5BA4-AC45-40EB-AC30-A965B2AB4746} - e:\windows\System32\cbXQGApq.dll
BHO-{A317E38C-5838-45AE-A741-89C49C59AFAB} - e:\windows\System32\qoMeETNE.dll
BHO-{DA02CDE7-1645-4EA3-8F5D-5D1119F5FA08} - e:\windows\System32\efcASiHw.dll
BHO-{EC44A89A-F6FF-4F60-9320-3703297607E7} - e:\windows\System32\ddcBRHba.dll
WebBrowser-{4C350B19-6CA1-4569-B14C-296D8D65300C} - (no file)
HKLM-Run-Kaspersky - e:\program files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe
Notify-AtiExtEvent - (no file)
Notify-urqOIyXr - urqOIyXr.dll
HKLM_ActiveSetup-ViewSonic Explorer V5.3 - e:\windows\msdtcsw32.exe
AddRemove-BDE - c:\windows\uninst.exe
AddRemove-MTA:SA - c:\gta san andreas\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-25 15:30
Windows 5.1.2600 Szervizcsomag 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_SP0812N rev.TK100-31 -> Harddisk0\DR0 -> \Device\0000006b

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\ACPI -> 0x8593d5a0
\Device\Harddisk0\DR0 -> ParseProcedure -> 0x85944060
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x859a43a0
user != kernel MBR !!!
copy of MBR has been found in sector 9 !
malicious code @ sector 0x951dfc5 size 0x1fd !
copy of MBR has been found in sector 62 !
copy of MBR has been found in sector 156360645
Warning: possible MBR rootkit infection !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-220523388-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iamdkimfnnhcgdlbob"=hex:6b,61,68,6c,6b,69,69,6f,61,6a,6e,67,6f,61,64,6a,6d,64,
6f,61,66,70,00,00
"hakemfkncaakobhj"=hex:69,61,6d,6b,68,70,6a,6f,67,68,64,64,63,6b,61,67,66,64,
00,67
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(728)
e:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(812)
e:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(3272)
e:\windows\System32\msi.dll
.
------------------------ Other Running Processes ------------------------
.
e:\program files\Alwil Software\Avast5\AvastSvc.exe
e:\windows\ATKKBService.exe
e:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
e:\windows\System32\nvsvc32.exe
e:\windows\System32\wdfmgr.exe
.
**************************************************************************
.
Completion time: 2011-01-25 15:33:50 - machine was rebooted
ComboFix-quarantined-files.txt 2011-01-25 14:33

Pre-Run: 697 188 352 bájt szabad
Post-Run: 2 850 193 408 bájt szabad

winxpsp1_en_pro_bf.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional - magyar" /fastdetect

- - End Of File - - 2334D392C0FD76F5A2D80B226B9A7182


szer. jan. 26, 2011 22:35
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
tedd be a keresobbe ha megtalalja e
ComboFix5.txt


szer. jan. 26, 2011 22:29
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Most elég volt egyszer újraindítani, akkor, amikor a windows-t töltötte be (kék háttér, üdvözöljük felirattal...), kikapcsoltam a modemet és akkor másodjára sikerült mennie. A combofix is lefutott, csak most nem találom a logját.


szer. jan. 26, 2011 22:26
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
Most mar jobbnak kene lenie, majd ird meg,hogy viselkedig a gep , mert mar toroltuk a sokk fertozest.
Van idonk, ha nem ma akkor holnap is van nap.


szer. jan. 26, 2011 22:04
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Lehet ez kicsit lassú lesz, eléggé hátráltat az hogy kb minden 10. újraindítás sikeres csak :S


szer. jan. 26, 2011 22:02
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
ok, meg egy scriptet a combofixel
Kinyitunk - Notepadot (Jegyzetfüzetet)igy: Start>futtatás>beírod: notepad
és bemásolod- a Kód: címszó alatt található zöld textet(Kód: szó nélkül), aztán a notepadba beillesztett textet elmentjük scriptnek az asztalra , úgy:- Fájl>Mentés Másként>Fájlnév>CFScript.txt>Fájl típusa>Minden fájl>Mentés.(Ásztálra),.Kész, az astalon lévő CFScript txt húzzunk rá a ComboFix ikonnyara. Es mostan megcsinalod eztett:
Kép
A combofix maga elindul es lehet hogy restartol es befejezi a scent.Amit majd ad ted ide.
Kód:
KILLALL::
ADS::
E:\WINDOWS
E:\WINDOWS\System32\ctl3dv2.dll:KAVICHS


szer. jan. 26, 2011 21:53
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
ok, http://leteckaposta.cz/391760060


szer. jan. 26, 2011 21:46
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
Ha kellet volna valami mast is csinalnod ide irnam,

Nem jo link,ezt irja ki:
logo1 Sajnáljuk, de a keresett fájl nem található. logo1

jatszd fell ide>klik prochazet,megtalalod Poslat, a linket tedd ide
http://www.leteckaposta.cz/


szer. jan. 26, 2011 21:42
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Kész. Egyébként amikor beteszem az OTL-be, akkor csak simán kell lefuttatni, vagy valami ki kell pipálni?

http://addat.hu/75690b1c/01262011_211259.log.html


szer. jan. 26, 2011 21:39
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
ok, az Rendszer fajlok a helyen vannak, de a fertozes igen nagy van csomo ADS-fertozes, ezrt olvasd figyelmesen amit irok
Fel teszem a textet scriptet, letoltod >>KINYITOD>>es bemasolod az OTL ablakjaba ab textet >>de mindet.de most ra klikelsz az RUNFIX gombra,
http://sharegadget.com/file/472796289.1 ... db47fde/cs

A logjat tedd ide

Ha problemad lesz akkor ird ide es fokozatosan ide teszem a scriptet, mert ez oriasi ,nagy.


szer. jan. 26, 2011 20:49
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Ez meg az extras lesz:

OTL Extras logfile created on: 2011.01.26. 19:34:48 - Run 1
OTL by OldTimer - Version 3.2.20.6 Folder = E:\Documents and Settings\Kovács\Asztal
Windows XP Professional Edition Szervizcsomag 1 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2800.1106)
Locale: 0000040E | Country: Magyarország | Language: HUN | Date Format: yyyy.MM.dd.

1 022,00 Mb Total Physical Memory | 621,00 Mb Available Physical Memory | 61,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): E:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = E: | %SystemRoot% = E:\WINDOWS | %ProgramFiles% = E:\Program Files
Drive C: | 59,91 Gb Total Space | 15,49 Gb Free Space | 25,85% Space Free | Partition Type: NTFS
Drive E: | 14,64 Gb Total Space | 2,64 Gb Free Space | 18,01% Space Free | Partition Type: NTFS
Drive F: | 3,19 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS

Computer Name: KOVÁCS | User Name: Kovács | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 7 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- E:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
https [open] -- "E:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{04858915-9F49-4B2A-AED4-DC49A7DE6A7B}" = Battlefield 2(TM)
"{089DD780-DB3F-4CDB-A0C2-111360247298}" = PC Connectivity Solution
"{0A2A5039-B37F-489D-B1DC-A5258DF9E697}" = FIFA 08
"{156E82CB-20F2-46cf-BCEA-40E4F23DC4A3}" = YouTube Downloader Toolbar v4.1
"{1a413f37-ed88-4fec-9666-5c48dc4b7bb7}" = YouTube Downloader 2.6.3
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{29C22873-B939-4EF9-B6E3-1EFE7FA392D1}" = ASUS nVidia Driver
"{315ACD04-BCEB-478B-9B1D-5431D0E6CB11}" = ASUS Gamer OSD
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{350C940e-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{71A41426-C7A4-4DCF-A9ED-C5B4B105ED1D}" = Sony Media Manager 2.2
"{75E607CF-7BAE-4B88-84B3-97F3DF44BA28}" = FEARCombat
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{9011040E-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{ABEB838C-A1A7-4C5D-B7E1-8B4314600820}" = MSN Messenger 7.0
"{AC76BA86-7AD7-1038-7B44-A70000000000}" = Adobe Reader 7.0 - Hungarian
"{BC4AE628-81A4-4FC6-863A-7A9BA2E2531F}" = Nokia Connectivity Cable Driver
"{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver
"{C20CE592-B0F8-4D20-BF31-0151CA6331A6}" = Samsung Media Studio
"{C43048A9-742C-4DAD-90D2-E3B53C9DB825}" = Labtec WebCam Software
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{E09B48B5-E141-427A-AB0C-D3605127224A}" = Microsoft SQL Server Desktop Engine (SONY_MEDIAMGR)
"{EDB4C5BF-3324-410F-8E1B-60AAB5868CC3}" = DAEMON Tools
"{EF0D610C-92BE-4D8F-BD33-9F658F8754F1}" = GTI Racing
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FCF81A2A-2005-430D-AC4F-503478F9F50E}" = OpenOffice.org 2.2
"7-Zip" = 7-Zip 9.10 beta
"Abev6" = Abev6 (Verzió: 6.5.18)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Akamai" = Akamai NetSession Interface
"avast5" = avast! Free Antivirus
"AXIS Media Control Embedded" = AXIS Media Control Embedded
"cygMP" = MPlayer (cygMP) 20050113
"FIFA 10-DVD5" = FIFA 10-DVD5
"Grand Theft Auto: San Andreas hun" = Grand Theft Auto: San Andreas hun [Honosítás]
"hp deskjet 825c series" = hp deskjet 825c series (Csak törlés)
"InstallShield_{EF0D610C-92BE-4D8F-BD33-9F658F8754F1}" = GTI Racing
"KLiteCodecPack_is1" = K-Lite Codec Pack 4.1.7 (Full)
"Kresz-Teszt 3.1_is1" = Kresz-Teszt 3.1
"Messenger Plus! Live" = Messenger Plus! Live
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"MSN Toolbar" = MSN eszköztár
"MyFreeCodec" = MyFreeCodec
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"NVIDIA Drivers" = NVIDIA Drivers
"PKR" = PKR
"Postal 2 Share The Pain" = Postal 2 Share The Pain
"Postal 2 STP - Free Multiplayer Edition" = Postal 2 STP - Free Multiplayer Edition
"QcDrv" = ##CAMERADRIVERNAME##
"RealAlt_is1" = Real Alternative 1.8.4
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"Totalcmd" = Total Commander (Remove or Repair)
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"WinRAR archiver" = WinRAR archiváló

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 2011.01.25. 15:32:19 | Computer Name = KOVÁCS | Source = Perflib | ID = 2002
Description = A szolgáltatás ("WmiApRpl") megnyitási eljárása a DLL-ben ("E:\WINDOWS\System32\wbem\wmiaprpl.dll")
hosszabb
ideig tartott, mint a befejezéshez megállapított várakozási idő. Valószínűleg probléma
van a bővíthető számlálóval, vagy a szolgáltatással, amelyről az adatgyűjtés folyik,
illetve a hívás során a rendszer túlzottan elfoglalt volt.

Error - 2011.01.25. 15:55:13 | Computer Name = KOVÁCS | Source = Perflib | ID = 2002
Description = A szolgáltatás ("WmiApRpl") megnyitási eljárása a DLL-ben ("E:\WINDOWS\System32\wbem\wmiaprpl.dll")
hosszabb
ideig tartott, mint a befejezéshez megállapított várakozási idő. Valószínűleg probléma
van a bővíthető számlálóval, vagy a szolgáltatással, amelyről az adatgyűjtés folyik,
illetve a hívás során a rendszer túlzottan elfoglalt volt.

Error - 2011.01.25. 16:47:44 | Computer Name = KOVÁCS | Source = crypt32 | ID = 131080
Description = Nem sikerült lekérni az automatikus frissítés segítségével a külső
féltől származó legfelső szintű listát a következőtől: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>.
Hiba: 0x5b4

Error - 2011.01.25. 17:04:22 | Computer Name = KOVÁCS | Source = Perflib | ID = 2002
Description = A szolgáltatás ("WmiApRpl") megnyitási eljárása a DLL-ben ("E:\WINDOWS\System32\wbem\wmiaprpl.dll")
hosszabb
ideig tartott, mint a befejezéshez megállapított várakozási idő. Valószínűleg probléma
van a bővíthető számlálóval, vagy a szolgáltatással, amelyről az adatgyűjtés folyik,
illetve a hívás során a rendszer túlzottan elfoglalt volt.

Error - 2011.01.26. 3:18:51 | Computer Name = KOVÁCS | Source = Perflib | ID = 2002
Description = A szolgáltatás ("WmiApRpl") megnyitási eljárása a DLL-ben ("E:\WINDOWS\System32\wbem\wmiaprpl.dll")
hosszabb
ideig tartott, mint a befejezéshez megállapított várakozási idő. Valószínűleg probléma
van a bővíthető számlálóval, vagy a szolgáltatással, amelyről az adatgyűjtés folyik,
illetve a hívás során a rendszer túlzottan elfoglalt volt.

Error - 2011.01.26. 11:18:33 | Computer Name = KOVÁCS | Source = Perflib | ID = 2002
Description = A szolgáltatás ("WmiApRpl") megnyitási eljárása a DLL-ben ("E:\WINDOWS\System32\wbem\wmiaprpl.dll")
hosszabb
ideig tartott, mint a befejezéshez megállapított várakozási idő. Valószínűleg probléma
van a bővíthető számlálóval, vagy a szolgáltatással, amelyről az adatgyűjtés folyik,
illetve a hívás során a rendszer túlzottan elfoglalt volt.

Error - 2011.01.26. 11:36:29 | Computer Name = KOVÁCS | Source = Application Hang | ID = 1002
Description = Nem válaszoló alkalmazás: explorer.exe, verzió: 6.0.2800.1106, nem
válaszoló modul: hungapp, verzió: 0.0.0.0, memóriacím: 0x00000000.

Error - 2011.01.26. 11:36:32 | Computer Name = KOVÁCS | Source = Application Hang | ID = 1002
Description = Nem válaszoló alkalmazás: explorer.exe, verzió: 6.0.2800.1106, nem
válaszoló modul: hungapp, verzió: 0.0.0.0, memóriacím: 0x00000000.

Error - 2011.01.26. 11:36:32 | Computer Name = KOVÁCS | Source = Application Hang | ID = 1002
Description = Nem válaszoló alkalmazás: explorer.exe, verzió: 6.0.2800.1106, nem
válaszoló modul: hungapp, verzió: 0.0.0.0, memóriacím: 0x00000000.

Error - 2011.01.26. 14:09:27 | Computer Name = KOVÁCS | Source = Perflib | ID = 2002
Description = A szolgáltatás ("WmiApRpl") megnyitási eljárása a DLL-ben ("E:\WINDOWS\System32\wbem\wmiaprpl.dll")
hosszabb
ideig tartott, mint a befejezéshez megállapított várakozási idő. Valószínűleg probléma
van a bővíthető számlálóval, vagy a szolgáltatással, amelyről az adatgyűjtés folyik,
illetve a hívás során a rendszer túlzottan elfoglalt volt.

[ System Events ]
Error - 2011.01.26. 11:19:46 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7000
Description = A szolgáltatás (wscsvc) a következő hiba következtében leállt: %%1083

Error - 2011.01.26. 13:24:16 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034
Description = A(z) Application Updater szolgáltatás váratlanul leállt. Ez a(z) 1.
alkalommal fordult elő.

Error - 2011.01.26. 13:24:16 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034
Description = A(z) ATK Keyboard Service szolgáltatás váratlanul leállt. Ez a(z)
1. alkalommal fordult elő.

Error - 2011.01.26. 13:24:16 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034
Description = A(z) Windows User Mode Driver Framework szolgáltatás váratlanul leállt.
Ez a(z) 1. alkalommal fordult elő.

Error - 2011.01.26. 13:24:16 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034
Description = A(z) Machine Debug Manager szolgáltatás váratlanul leállt. Ez a(z)
1. alkalommal fordult elő.

Error - 2011.01.26. 13:24:16 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034
Description = A(z) NVIDIA Display Driver Service szolgáltatás váratlanul leállt.
Ez a(z) 1. alkalommal fordult elő.

Error - 2011.01.26. 13:24:16 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034
Description = A(z) Alkalmazási réteg átjárószolgáltatása szolgáltatás váratlanul
leállt. Ez a(z) 1. alkalommal fordult elő.

Error - 2011.01.26. 13:24:17 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7034
Description = A(z) Nyomtatásisor-kezelő szolgáltatás váratlanul leállt. Ez a(z)
1. alkalommal fordult elő.

Error - 2011.01.26. 14:10:41 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7023
Description = A szolgáltatás (Automatikus frissítések) leállt a következő hibával:
%%126

Error - 2011.01.26. 14:10:41 | Computer Name = KOVÁCS | Source = Service Control Manager | ID = 7000
Description = A szolgáltatás (wscsvc) a következő hiba következtében leállt: %%1083


< End of report >


szer. jan. 26, 2011 20:10
Profil Privát üzenet küldése
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
http://addat.hu/77b7a8a1/OTL.rar.html


szer. jan. 26, 2011 20:09
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
hm, ha nem tudod csomagold be es tedd fel valahova,hogy lwetudjam tolteni


szer. jan. 26, 2011 20:05
Profil Privát üzenet küldése Honlap
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
mind a kettot tedd ide, ha nem fer be egy postaba, tedd be tobbe.


szer. jan. 26, 2011 19:55
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Az OTL.txt-t tegyem ide? Mert az nagyon hosszú, sokkal több mint a többi. Van még egy extras.txt nevű is.


szer. jan. 26, 2011 19:52
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
majd megnezem hogy csinaltad, csinald meg eztet.

Letolteni az asztalra>OTListIt2>> http://oldtimer.geekstogo.com/OTL.exe
-Futatni
- file age at valtoztani 30 > 7day ra.
-bepipazni
-Scan all users.
-Lop check.
-Purity check.
-v sekciobaExtra Registry>bepotyozni>Use SafeList
-az ablakjaba -customscan/fixes masold be a textet-es klik RUNSCAN
-5-10 perc mulva add logot tedd ide
-OTL.txt (az asztalon lesz).
-exras.txt-a talcan lesz.

Kód:
netsvcs
drivers32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
c:\windows\*.* /U
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
/md5start
xmlprov.dll
wscntfy.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
nvraid.sys
ndis.sys
winlogon.exe
explorer.exe
userinit.exe
lsass.exe
svchost.exe
smss.exe
hal.dll
ws2_32.dll
tcpip.sys
cryptsvc.dll
Changer.sys
JakNDis.sys
isapnp.sys
cdrom.sys
autochk.exe
/md5stop
d3d9.dll
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
%systemroot%\system32\drivers\*.sys /3
%systemroot%\system32\*.* /3
CREATERESTOREPOINT


szer. jan. 26, 2011 19:35
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Megcsináltam, de azt a 3 fájlt csak simán az e:\-be, vagy azon belül valamelyik mappába kell rakni (pl a windows-ba)? Logot nem adott a combofix, lehet hogy azért, mert az újraindítást követőn rendre lefagyott a gép?


szer. jan. 26, 2011 19:29
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
Olvasd figyelmesen amit irok.
1:Tolds le az asztalra
http://leteckaposta.cz/728772034
Csomagold ki az asztalra>>a mappabol>huzd at a rendszer fajlokat a E:\meghajtora, ugy hogy igy lessznek
e:\wscntfy.exe
e:\xmlprov.dll
e:\d3d9.dll

Kinyitunk - Notepadot (Jegyzetfüzetet)igy: Start>futtatás>beírod: notepad
és bemásolod- a Kód: címszó alatt található zöld textet(Kód: szó nélkül), aztán a notepadba beillesztett textet elmentjük scriptnek az asztalra , úgy:- Fájl>Mentés Másként>Fájlnév>CFScript.txt>Fájl típusa>Minden fájl>Mentés.(Ásztálra),.Kész, az astalon lévő CFScript txt húzzunk rá a ComboFix ikonnyara. Es mostan megcsinalod eztett:
Kép
A combofix maga elindul es lehet hogy restartol es befejezi a scent.Amit majd ad tedd ide.
Kód:
KILLALL::
FCOPY::
e:\wscntfy.exe | e:\windows\System32\wscntfy.exe
e:\xmlprov.dll | e:\windows\System32\xmlprov.dll
e:\d3d9.dll | e:\windows\system32\d3d9.dll


szer. jan. 26, 2011 18:17
Profil Privát üzenet küldése Honlap
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
A windows 7 hez kell gep is, nem lehet minden gepre telepiteni, de mindegy kuldok neked rendszer fajlokat, es renbe hozzuk, eztet ami van,Talalok valahol, majd ide irom hogyan tovabb.


szer. jan. 26, 2011 17:58
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Hát igen, ez kissé bonyolult rész, a helyzet az hogy nem én telepítettem a windows-t, hanem egy ismerős. Azóta megszakadt a kapcsolat ezzel az ismerőssel, és most itt vagyok telepítő cd nélkül... Viszont lehet hogy mondjuk egy Windows 7-el jobban járnék :hm:


szer. jan. 26, 2011 17:49
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
Idézet:
Hi, úgy néz ki hogy az SP2-t nem tudom feltenni, már régebben sem ment, emlékszem pár éve azért lett letiltva a frissítés, mert amikor a rendszer automatikusan frissített, kapott valami vírust -állítólag emiatt.


A ez nem igaz, ha a windows eredeti, akkor fel lehet telepiteni,tehat ha nem megy át az eredetiseg vizsgalatan, akkor kilovi a windowst,
Es miert nem lehet telepiteni az SP2-ot??, mert it arról van szo, hogy virusod mar nincsen a gepen, es ha ujra is telepited a gepet az Windows SP1-el olyan lyukas lesz a rendszer mint a szita es csak ido kerdese medig lesz jo,mert tele van biztonsági réssekkel

De megoldja a rendszer fajlok hianyat, vagyis valaki ,vagy valami ki torolte a rendszer fajlokat, es az SP1-hez nekem, nincsen,megtudjuk javitani, ha van telepito lemezed, eleg a parancssorba beirnod sfc /scannow, beteszed a telepito lemezet,es a hianyzo rendszer fajlokat, vissza kenne neki adnia.

Ha akkarod ujra telepiteni.
Windows telepito lemezje mindent megcsinal, csak oda kell figyelned,le kel formaznod, elkell tavolitani a particiokat, esetleg szet osztani a merevlemezet,
Tehat ha van telepito lemezed az interneten talald meg ezeket az informacioakt.
1: A windows xp telepitese.

Es Bele lehet integralni a telepito lemezbe a szerviz csomagokat is.Mindent megtalálsz az interneten


szer. jan. 26, 2011 17:28
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Hi, úgy néz ki hogy az SP2-t nem tudom feltenni, már régebben sem ment, emlékszem pár éve azért lett letiltva a frissítés, mert amikor a rendszer automatikusan frissített, kapott valami vírust -állítólag emiatt. Szóval azóta csak az egyes szervizcsomag van fent.
Ha új Windows-t rakok fel, akkor az töröl mindent-szóval formázza a merevlemezeket?
Lefuttattam a combofixet, itt a logja:

ComboFix 11-01-24.02 - Kovács 011.01.26. 16:43:53.4.1 - x86
Microsoft Windows XP Professional 5.1.2600.1.1250.36.1038.18.1022.653 [GMT 1:00]
Running from: e:\documents and settings\Kovács\Asztal\ComboFix.exe
.

((((((((((((((((((((((((( Files Created from 2010-12-26 to 2011-01-26 )))))))))))))))))))))))))))))))
.

2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- e:\program files\trend micro
2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- E:\rsit
2011-01-11 18:01 . 2011-01-11 18:01 -------- d-----w- e:\documents and settings\All Users\Application Data\DivX
2011-01-06 12:24 . 2011-01-06 12:24 -------- d-----w- e:\documents and settings\Kovács\Application Data\Carambis

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-25 13:00 . 2007-08-09 09:54 196608 ----a-w- e:\windows\system32\drivers\nStandard.bin
2011-01-13 08:47 . 2010-07-01 18:51 38848 ----a-w- e:\windows\avastSS.scr
2011-01-13 08:47 . 2010-07-01 18:32 188216 ----a-w- e:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2010-07-01 18:32 294608 ----a-w- e:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2010-07-01 18:32 47440 ----a-w- e:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:40 . 2010-07-01 18:32 100176 ----a-w- e:\windows\system32\drivers\aswmon2.sys
2011-01-13 08:39 . 2010-07-01 18:32 94544 ----a-w- e:\windows\system32\drivers\aswmon.sys
2011-01-13 08:37 . 2010-07-01 18:32 23632 ----a-w- e:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2010-07-01 18:32 29392 ----a-w- e:\windows\system32\drivers\aavmker4.sys
2010-06-02 04:22 . 2010-06-02 04:22 89944 ----a-w- e:\program files\DSETUP.dll
2010-06-02 04:22 . 2010-06-02 04:22 537432 ----a-w- e:\program files\DXSETUP.exe
2010-06-02 04:22 . 2010-06-02 04:22 1801048 ----a-w- e:\program files\dsetup32.dll
.

------- Sigcheck -------



[-] 2004-07-09 03:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\system32\d3d9.dll
[-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\LastGood\System32\d3d9.dll
[-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\system32\DirectX\DX44.tmp\d3d9.dll

e:\windows\System32\wscntfy.exe ... is missing !!
e:\windows\System32\xmlprov.dll ... is missing !!
.
((((((((((((((((((((((((((((( SnapShot@2011-01-25_14.30.33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-01-26 15:18 . 2011-01-26 15:18 16384 e:\windows\Temp\Perflib_Perfdata_778.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="e:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="e:\windows\System32\NvCpl.dll" [2006-10-22 7700480]
"avast5"="e:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624]
"HPDJ Taskbar Utility"="e:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-06 196608]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="e:\program files\MSN Messenger\MsnMsgr.Exe" /background

R0 Stealth;Stealth;e:\windows\system32\drivers\stealth.sys [2002.06.21. 9:58 80896]
R1 aswSP;aswSP;e:\windows\system32\drivers\aswSP.sys [2010.07.01. 19:32 294608]
R2 Akamai;Akamai NetSession Interface;e:\windows\System32\svchost.exe -k Akamai [2001.10.26. 12:00 12800]
R2 Application Updater;Application Updater;e:\program files\Application Updater\ApplicationUpdater.exe [2010.10.22. 16:38 386560]
S2 gupdate;Google frissítési szolgáltatás (gupdate);e:\program files\Google\Update\GoogleUpdate.exe [2010.08.20. 19:08 136176]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);e:\windows\system32\drivers\s1018bus.sys [2009.09.26. 14:46 86696]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;e:\windows\system32\drivers\s1018mdfl.sys [2009.10.04. 15:37 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;e:\windows\system32\drivers\s1018mdm.sys [2009.10.04. 15:37 114472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contents of the 'Scheduled Tasks' folder

2011-01-24 e:\windows\Tasks\AppleSoftwareUpdate.job
- e:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2011-01-26 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08]

2011-01-26 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15
mStart Page = hxxp://www.maxiwe.com
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xportálás Microsoft Excel formátumba - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
TCP: {EA78C555-6F5C-40B7-96A9-543775E06709} = 213.163.34.66 62.77.203.10
DPF: DirectAnimation Java Classes - file://e:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://85.119.9.21:2004/activex/AMC.cab
FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.ulloi129.hu
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =966134&p=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - e:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Softonic-Eng7 Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: RadioBar Toolbar: radiobar@toolbar - %profile%\extensions\radiobar@toolbar
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-26 16:48
Windows 5.1.2600 Szervizcsomag 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(696)
e:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(752)
e:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(576)
e:\windows\System32\msi.dll
.
Completion time: 2011-01-26 16:51:05
ComboFix-quarantined-files.txt 2011-01-26 15:51
ComboFix2.txt 2011-01-25 21:07
ComboFix3.txt 2011-01-25 19:58
ComboFix4.txt 2011-01-25 14:33

Pre-Run: 2 864 685 056 bájt szabad
Post-Run: 2 849 038 336 bájt szabad

- - End Of File - - 0CC21C0E1D39799A22AD558FC4EC01B0


szer. jan. 26, 2011 17:05
Profil Privát üzenet küldése
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
jaja, majd holnap délután kb, akkor érek haza. na jó éjt! :zzz:


kedd jan. 25, 2011 22:39
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
ok, majd ird meg hogy mi van,es holnap befejezuk,


kedd jan. 25, 2011 22:32
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
OK, köszönöm szépen az eddigieket is. Majd holnap befejezem, mára eléggé lemerültem. Windowsra megpróbálok valami okosat kitalálni, nem volt beleszólásom amikor fel lett téve, aki csinálta csak így tudta megoldani... Üdv.


kedd jan. 25, 2011 22:29
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
Na most ez van.
1:hianyoznak a rendszer fajlok, leg okkosab az lenne ha a windowsod legalis, akkor feltelepiteni az Microsoft Windows XP Professional SP2_magyar szerviz csomagot.

2:Mert ha nem legalis akkor bajok lessznek

Eztet igyis ugyis csinald meg:
3:kikapcsolni a rendszer visszaalitasat<restart bekapcsolni vissza.
4:Minden jelszot megvaltoztatni, mert ellopta a Mebroot, mar nincsen a gepen.
5:Ha ez meglesz akkor siman lefuttatod a combofixet es a logjat ide te;szed.

6:Ha a nem tuddod felrakni az SP2-szerviz csomagot, akkor majd holnap szerezunk rendszer fajlokat es fel teszuk.
7:ma mar vegzek, udv


kedd jan. 25, 2011 22:19
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Némi kínlódás után ezt sütöttem ki:

FILE ::
"e:\windows\Tasks\NSSstub.job"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

e:\windows\Tasks\NSSstub.job

e:\windows\system32\d3d9.dll . . . is infected!!

e:\windows\System32\wscntfy.exe . . . is infected!!

e:\windows\System32\xmlprov.dll . . . is infected!!

.
((((((((((((((((((((((((( Files Created from 2010-12-25 to 2011-01-25 )))))))))))))))))))))))))))))))
.

2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- e:\program files\trend micro
2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- E:\rsit
2011-01-11 18:01 . 2011-01-11 18:01 -------- d-----w- e:\documents and settings\All Users\Application Data\DivX
2011-01-06 12:24 . 2011-01-06 12:24 -------- d-----w- e:\documents and settings\Kovács\Application Data\Carambis

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-25 13:00 . 2007-08-09 09:54 196608 ----a-w- e:\windows\system32\drivers\nStandard.bin
2011-01-13 08:47 . 2010-07-01 18:51 38848 ----a-w- e:\windows\avastSS.scr
2011-01-13 08:47 . 2010-07-01 18:32 188216 ----a-w- e:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2010-07-01 18:32 294608 ----a-w- e:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2010-07-01 18:32 47440 ----a-w- e:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:40 . 2010-07-01 18:32 100176 ----a-w- e:\windows\system32\drivers\aswmon2.sys
2011-01-13 08:39 . 2010-07-01 18:32 94544 ----a-w- e:\windows\system32\drivers\aswmon.sys
2011-01-13 08:37 . 2010-07-01 18:32 23632 ----a-w- e:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2010-07-01 18:32 29392 ----a-w- e:\windows\system32\drivers\aavmker4.sys
2010-06-02 04:22 . 2010-06-02 04:22 89944 ----a-w- e:\program files\DSETUP.dll
2010-06-02 04:22 . 2010-06-02 04:22 537432 ----a-w- e:\program files\DXSETUP.exe
2010-06-02 04:22 . 2010-06-02 04:22 1801048 ----a-w- e:\program files\dsetup32.dll
.

(((((((((((((((((((((((((((((((((((((((((( SR_Search ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
------- Sigcheck -------



[-] 2004-07-09 03:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\system32\d3d9.dll
[-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\LastGood\System32\d3d9.dll
[-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\system32\DirectX\DX44.tmp\d3d9.dll

e:\windows\System32\wscntfy.exe ... is missing !!
e:\windows\System32\xmlprov.dll ... is missing !!
.
((((((((((((((((((((((((((((( SnapShot@2011-01-25_14.30.33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-01-25 21:04 . 2011-01-25 21:04 16384 e:\windows\Temp\Perflib_Perfdata_7a0.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="e:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="e:\windows\System32\NvCpl.dll" [2006-10-22 7700480]
"avast5"="e:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624]
"HPDJ Taskbar Utility"="e:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-06 196608]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="e:\program files\MSN Messenger\MsnMsgr.Exe" /background

R0 Stealth;Stealth;e:\windows\system32\drivers\stealth.sys [2002.06.21. 9:58 80896]
R1 aswSP;aswSP;e:\windows\system32\drivers\aswSP.sys [2010.07.01. 19:32 294608]
R2 Akamai;Akamai NetSession Interface;e:\windows\System32\svchost.exe -k Akamai [2001.10.26. 12:00 12800]
R2 Application Updater;Application Updater;e:\program files\Application Updater\ApplicationUpdater.exe [2010.10.22. 16:38 386560]
S2 gupdate;Google frissítési szolgáltatás (gupdate);e:\program files\Google\Update\GoogleUpdate.exe [2010.08.20. 19:08 136176]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);e:\windows\system32\drivers\s1018bus.sys [2009.09.26. 14:46 86696]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;e:\windows\system32\drivers\s1018mdfl.sys [2009.10.04. 15:37 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;e:\windows\system32\drivers\s1018mdm.sys [2009.10.04. 15:37 114472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contents of the 'Scheduled Tasks' folder

2011-01-24 e:\windows\Tasks\AppleSoftwareUpdate.job
- e:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08]

2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15
mStart Page = hxxp://www.maxiwe.com
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xportálás Microsoft Excel formátumba - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
TCP: {EA78C555-6F5C-40B7-96A9-543775E06709} = 213.163.34.66 62.77.203.10
DPF: DirectAnimation Java Classes - file://e:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://85.119.9.21:2004/activex/AMC.cab
FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.ulloi129.hu
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =966134&p=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - e:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Softonic-Eng7 Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: RadioBar Toolbar: radiobar@toolbar - %profile%\extensions\radiobar@toolbar
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-25 22:04
Windows 5.1.2600 Szervizcsomag 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(696)
e:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(752)
e:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(4008)
e:\windows\System32\msi.dll
.
------------------------ Other Running Processes ------------------------
.
e:\program files\Alwil Software\Avast5\AvastSvc.exe
e:\windows\ATKKBService.exe
e:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
e:\windows\System32\nvsvc32.exe
e:\windows\System32\wdfmgr.exe
.
**************************************************************************
.
Completion time: 2011-01-25 22:07:34 - machine was rebooted
ComboFix-quarantined-files.txt 2011-01-25 21:07
ComboFix2.txt 2011-01-25 19:58
ComboFix3.txt 2011-01-25 14:33

Pre-Run: 2 794 508 288 bájt szabad
Post-Run: 2 784 706 560 bájt szabad

- - End Of File - - 7961D0F7791046809BFD63E59A694B3A


kedd jan. 25, 2011 22:16
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
no ez ,probléma, mert a merev lemezen nincsenek ezek a rendszer fájlok, meglássuk ha a combofix megtalaja e.
Kinyitunk - Notepadot (Jegyzetfüzetet)igy: Start>futtatás>beírod: notepad
és bemásolod- a Kód: címszó alatt található zöld textet(Kód: szó nélkül), aztán a notepadba beillesztett textet elmentjük scriptnek az asztalra , úgy:- Fájl>Mentés Másként>Fájlnév>CFScript.txt>Fájl típusa>Minden fájl>Mentés.(Ásztálra),.Kész, az astalon lévő CFScript txt húzzunk rá a ComboFix ikonnyara. Es mostan megcsinalod eztett:
Kép
A combofix maga elindul es lehet hogy restartol es befejezi a scent.Amit majd ad ted ide.
Kód:
KILLALL::
RESTORE::
e:\windows\system32\d3d9.dll
e:\windows\System32\wscntfy.exe
e:\windows\System32\xmlprov.dll
srpeek::
e:\windows\system32\d3d9.dll
e:\windows\System32\wscntfy.exe
e:\windows\System32\xmlprov.dll
File::
e:\windows\Tasks\NSSstub.job
DDS::
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
Extra::
FireFox::
FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms}


kedd jan. 25, 2011 21:40
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Pontosan úgy cselekedtem ahogy írtad. Ez lehetséges:

SystemLook 04.09.10 by jpshortstuff
Log created at 21:27 on 25/01/2011 by Kovács
Administrator - Elevation successful

========== filefind ==========

Searching for "*wscntfy*"
No files found.

Searching for "*xmlprov*"
No files found.

-= EOF =-


kedd jan. 25, 2011 21:36
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
Ok, meg hianyzik egypar rendszer fajlo, valamivel kitorolted: :D
Tolds le az asztalra>>futtasd>>az ablakjaba masold be a zold textet es klik LOOK, a logjat tedd ide
SystemLook.exe>

Kód:
:filefind
*wscntfy*
*xmlprov*


kedd jan. 25, 2011 21:17
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
.

((((((((((((((((((((((((( Files Created from 2010-12-25 to 2011-01-25 )))))))))))))))))))))))))))))))
.

2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- e:\program files\trend micro
2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- E:\rsit
2011-01-11 18:01 . 2011-01-11 18:01 -------- d-----w- e:\documents and settings\All Users\Application Data\DivX
2011-01-06 12:24 . 2011-01-06 12:24 -------- d-----w- e:\documents and settings\Kovács\Application Data\Carambis

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-25 13:00 . 2007-08-09 09:54 196608 ----a-w- e:\windows\system32\drivers\nStandard.bin
2011-01-13 08:47 . 2010-07-01 18:51 38848 ----a-w- e:\windows\avastSS.scr
2011-01-13 08:47 . 2010-07-01 18:32 188216 ----a-w- e:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2010-07-01 18:32 294608 ----a-w- e:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2010-07-01 18:32 47440 ----a-w- e:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:40 . 2010-07-01 18:32 100176 ----a-w- e:\windows\system32\drivers\aswmon2.sys
2011-01-13 08:39 . 2010-07-01 18:32 94544 ----a-w- e:\windows\system32\drivers\aswmon.sys
2011-01-13 08:37 . 2010-07-01 18:32 23632 ----a-w- e:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2010-07-01 18:32 29392 ----a-w- e:\windows\system32\drivers\aavmker4.sys
2010-06-02 04:22 . 2010-06-02 04:22 89944 ----a-w- e:\program files\DSETUP.dll
2010-06-02 04:22 . 2010-06-02 04:22 537432 ----a-w- e:\program files\DXSETUP.exe
2010-06-02 04:22 . 2010-06-02 04:22 1801048 ----a-w- e:\program files\dsetup32.dll
.

------- Sigcheck -------



[-] 2004-07-09 03:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\system32\d3d9.dll
[-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\LastGood\System32\d3d9.dll
[-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . e:\windows\system32\DirectX\DX44.tmp\d3d9.dll

e:\windows\System32\wscntfy.exe ... is missing !!
e:\windows\System32\xmlprov.dll ... is missing !!
.
((((((((((((((((((((((((((((( SnapShot@2011-01-25_14.30.33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-01-25 19:54 . 2011-01-25 19:54 16384 e:\windows\Temp\Perflib_Perfdata_6f0.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="e:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="e:\windows\System32\NvCpl.dll" [2006-10-22 7700480]
"avast5"="e:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624]
"HPDJ Taskbar Utility"="e:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-06 196608]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="e:\program files\MSN Messenger\MsnMsgr.Exe" /background

R0 Stealth;Stealth;e:\windows\system32\drivers\stealth.sys [2002.06.21. 9:58 80896]
R1 aswSP;aswSP;e:\windows\system32\drivers\aswSP.sys [2010.07.01. 19:32 294608]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);e:\windows\system32\drivers\s1018bus.sys [2009.09.26. 14:46 86696]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;e:\windows\system32\drivers\s1018mdfl.sys [2009.10.04. 15:37 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;e:\windows\system32\drivers\s1018mdm.sys [2009.10.04. 15:37 114472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contents of the 'Scheduled Tasks' folder

2011-01-24 e:\windows\Tasks\AppleSoftwareUpdate.job
- e:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08]

2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08]

2009-05-10 e:\windows\Tasks\NSSstub.job
- e:\windows\System32\Adobe\Shockwave 11\nssstub.exe [2009-05-10 07:04]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15
mStart Page = hxxp://www.maxiwe.com
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xportálás Microsoft Excel formátumba - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
TCP: {EA78C555-6F5C-40B7-96A9-543775E06709} = 213.163.34.66 62.77.203.10
DPF: DirectAnimation Java Classes - file://e:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://85.119.9.21:2004/activex/AMC.cab
FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.ulloi129.hu
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =966134&p=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - e:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Softonic-Eng7 Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: RadioBar Toolbar: radiobar@toolbar - %profile%\extensions\radiobar@toolbar
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-25 20:57
Windows 5.1.2600 Szervizcsomag 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(696)
e:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(752)
e:\windows\System32\dssenh.dll

- - - - - - - > 'Explorer.EXE'(1372)
e:\windows\System32\msi.dll
e:\docume~1\KOVCS~1\LOCALS~1\Temp\catchme.dll
.
------------------------ Other Running Processes ------------------------
.
e:\program files\Alwil Software\Avast5\AvastSvc.exe
e:\program files\Application Updater\ApplicationUpdater.exe
e:\windows\ATKKBService.exe
e:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
e:\windows\System32\nvsvc32.exe
e:\windows\System32\wdfmgr.exe
.
**************************************************************************
.
Completion time: 2011-01-25 20:58:28 - machine was rebooted
ComboFix-quarantined-files.txt 2011-01-25 19:58
ComboFix2.txt 2011-01-25 14:33

Pre-Run: 2 809 122 816 bájt szabad
Post-Run: 2 772 021 248 bájt szabad

- - End Of File - - C7D9CC977CCDF237603DF1661E258203


kedd jan. 25, 2011 21:08
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
:arrow: Ne kapkodj,es olvasd figyelmesen amit írok
1:Letöltöd az asztalra,>>Futtatod:
http://download.eset.com/special/EMebRemover.exe

Ha lefutt>>restartolod a gepet.

:arrow: Kikapcsolni az Antivirus pajzat
Kinyitunk - Notepadot (Jegyzetfüzetet)igy: Start>futtatás>beírod: notepad
és bemásolod- a Kód: címszó alatt található zöld textet(Kód: szó nélkül), aztán a notepadba beillesztett textet elmentjük scriptnek az asztalra , úgy:- Fájl>Mentés Másként>Fájlnév>CFScript.txt>Fájl típusa>Minden fájl>Mentés.(Ásztálra),.Kész, az astalon lévő CFScript txt húzzunk rá a ComboFix ikonnyara. Es mostan megcsinalod eztett:
Kép
A combofix maga elindul es lehet hogy restartol es befejezi a scent.Amit majd ad tedd ide.
Kód:
KILLALL::
RegNull::
[HKEY_USERS\S-1-5-21-220523388-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}*]
MBR::


kedd jan. 25, 2011 20:08
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Remélem ez az.


GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-25 19:45:59
Windows 5.1.2600 Szervizcsomag 1 Harddisk0\DR0 -> \Device\0000006b SAMSUNG_SP0812N rev.TK100-31
Running: gmer.exe; Driver: E:\DOCUME~1\KOVCS~1\LOCALS~1\Temp\pwldqpob.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwAllocateVirtualMemory [0xED3CA728]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwClose [0xED3D17EA]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateKey [0xED3D16A2]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteKey [0xED3D1CA8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteValueKey [0xED3D1BBE]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDuplicateObject [0xED3D1276]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwFreeVirtualMemory [0xED3CA7D8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenKey [0xED3D177E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenProcess [0xED3D11B2]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenThread [0xED3D1218]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwProtectVirtualMemory [0xED3CA870]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwQueryValueKey [0xED3D18C2]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRenameKey [0xED3D1D76]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRestoreKey [0xED3D1880]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwSetValueKey [0xED3D1A04]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0xED3DE82E]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0xED3DE652]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwLoadDriver [0xED3DE78C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software)

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

Device \Driver\ACPI \Device\00000043 8597D5A0
Device \Driver\ACPI \Device\00000051 8597D5A0
Device \Driver\ACPI \Device\00000052 8597D5A0
Device \Driver\ACPI \Device\00000053 8597D5A0
Device \Driver\ACPI \Device\00000046 8597D5A0
Device \Driver\ACPI \Device\00000054 8597D5A0
Device \Driver\ACPI \Device\00000047 8597D5A0
Device \Driver\ACPI \Device\00000055 8597D5A0
Device \Driver\ACPI \Device\00000048 8597D5A0

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

Device \Driver\ACPI \Device\00000063 8597D5A0
Device \Driver\ACPI \Device\00000064 8597D5A0
Device \Driver\ACPI \Device\00000058 8597D5A0
Device \Driver\Cdrom \Device\CdRom0 86717FD1
Device \Driver\ACPI \Device\00000065 8597D5A0
Device \Driver\ACPI \Device\00000059 8597D5A0
Device \Driver\Cdrom \Device\CdRom1 86717FD1
Device \Driver\ACPI \Device\00000066 8597D5A0
Device \Driver\ACPI \Device\0000005a 8597D5A0
Device \Driver\ACPI \Device\0000004e 8597D5A0

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

Device \Driver\nvata \Device\0000006b 86719014
Device \Driver\nvata \Device\0000006c 86719014
Device \Driver\nvata \Device\NvAta0 86719014
Device \Driver\nvata \Device\NvAta1 86719014
Device \Driver\nvata \Device\NvAta2 86719014
Device \Driver\Stealth \Device\Scsi\Stealth1Port0Path0Target0Lun0 8671900C
Device \Driver\Stealth \Device\Scsi\Stealth1 8671900C

---- Threads - GMER 1.0.15 ----

Thread System [4:480] 859E5B50
Thread System [4:2536] 859B4BA0
Thread System [4:2540] 85A02DC0
Thread System [4:2544] 859C40E0

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@RequireSignedAppInit_DLLs 1
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}@iamdkimfnnhcgdlbob 0x6B 0x61 0x68 0x6C ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}@hakemfkncaakobhj 0x69 0x61 0x6D 0x6B ...

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior; <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x951dfc5 size 0x1fd
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- EOF - GMER 1.0.15 ----


kedd jan. 25, 2011 19:53
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
De neked az E:\a rendszer lemez,ezert az E:\lemezet bepipazod.
Ne rakjal ide,logokat amit nem kerek, ez is a regi, most megcsinalod eztet:,ha lehet akkor csökkentet módban,ha nem akkor a rendes windowsban.
Tolds le az asztalra>.csomagold ki az asztalra http://www.gmer.net/gmer.zip

Kapcsold le a gepet az internetrol,zarj be minden programot,
Kikapcsolni az Antivirus vedo pajzat.
Futtasd>.lefut egy rovid vizsgalat,,,
ha kiirja rootkit activity and asks if you want to run scan>>klik >>>NO<<
es bealitod igy
Kép

>> klik>> scan,<<
a scan vegen >>SAVE<< ads neki nevet ,,lehet akarmi.txt>>tedd az asztalra aztan tedd ide,,


Ha nem kapsz semilyen jelentest,,,mindent bepipazol es klik>> SCAN->>>>az skan utan tedd ide a logjat.>>SAVE>.mented.ahogy leirtam.,


kedd jan. 25, 2011 18:46
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Először nem, de másodjára már úgy csináltam. Az E:\rsit mappában találtam a log.txt-t:

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Alwil Software\Avast5\AvastSvc.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe
E:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
E:\Program Files\MessengerPlus! 3\MsgPlus.exe
E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Application Updater\ApplicationUpdater.exe
E:\WINDOWS\ATKKBService.exe
E:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Documents and Settings\Kovács\Asztal\RSIT.exe
E:\Program Files\trend micro\Kovács.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.maxiwe.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.maxiwe.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.maxiwe.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hivatkozások
R3 - URLSearchHook: YouTube Downloader Toolbar - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - E:\Program Files\YouTube Downloader Toolbar\IE\4.1\youtubedownloaderToolbarIE.dll
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - E:\Program Files\YouTube Downloader Toolbar\SearchSettings.dll (file missing)
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - E:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F472834-D66C-491B-9B76-40E918BE2FFE} - E:\WINDOWS\System32\rqRIaBTN.dll (file missing)
O2 - BHO: (no name) - {41A5A1D9-33DA-450D-A60E-8398F35F8409} - E:\WINDOWS\System32\iiffGXpn.dll (file missing)
O2 - BHO: (no name) - {5DAEF7E7-47AB-4AF4-B0B4-9E24EAA6DB13} - E:\WINDOWS\System32\efcDuutr.dll (file missing)
O2 - BHO: (no name) - {5F11D5D5-3FB2-4ADD-84AD-D69BC9A5D312} - E:\WINDOWS\System32\urqOIyXr.dll (file missing)
O2 - BHO: (no name) - {695C5BA4-AC45-40EB-AC30-A965B2AB4746} - E:\WINDOWS\System32\cbXQGApq.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - E:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {A317E38C-5838-45AE-A741-89C49C59AFAB} - E:\WINDOWS\System32\qoMeETNE.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\hu-hu\msntb.dll
O2 - BHO: (no name) - {DA02CDE7-1645-4EA3-8F5D-5D1119F5FA08} - E:\WINDOWS\System32\efcASiHw.dll (file missing)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - E:\Program Files\YouTube Downloader Toolbar\SearchSettings.dll (file missing)
O2 - BHO: (no name) - {EC44A89A-F6FF-4F60-9320-3703297607E7} - E:\WINDOWS\System32\ddcBRHba.dll (file missing)
O2 - BHO: YouTube Downloader Toolbar - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - E:\Program Files\YouTube Downloader Toolbar\IE\4.1\youtubedownloaderToolbarIE.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\hu-hu\msntb.dll
O3 - Toolbar: &Rádió - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - E:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll
O3 - Toolbar: YouTube Downloader Toolbar - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - E:\Program Files\YouTube Downloader Toolbar\IE\4.1\youtubedownloaderToolbarIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Kaspersky] E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe
O4 - HKLM\..\Run: [SearchSettings] "E:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe"
O4 - HKLM\..\Run: [avast5] E:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKCU\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "E:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: uninstall.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportálás Microsoft Excel formátumba - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Kutatás - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3097702171
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.33/g_bin/eng/poker_2_0_0_49.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://85.119.9.21:2004/activex/AMC.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA78C555-6F5C-40B7-96A9-543775E06709}: NameServer = 213.163.34.66 62.77.203.10
O20 - Winlogon Notify: urqOIyXr - urqOIyXr.dll (file missing)
O22 - SharedTaskScheduler: Browseui előbetöltője - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Komponenskategóriák gyorsítótárazási szolgáltatása - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - E:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Application Updater - Spigot, Inc. - E:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - E:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - AVAST Software - E:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Logikai lemezkezelő felügyeleti szolgáltatás (dmadmin) - Unknown owner - E:\WINDOWS\System32\dmadmin.exe
O23 - Service: Eseménynapló (Eventlog) - Unknown owner - E:\WINDOWS\system32\services.exe
O23 - Service: Google frissítési szolgáltatás (gupdate) (gupdate) - Unknown owner - E:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-égető COM-szolgáltatás (ImapiService) - Unknown owner - E:\WINDOWS\System32\imapi.exe
O23 - Service: NetMeeting távoli asztalmegosztás (mnmsrvc) - Unknown owner - E:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Hálózati DDE (NetDDE) - Unknown owner - E:\WINDOWS\system32\netdde.exe
O23 - Service: Hálózati DDE DSDM (NetDDEdsdm) - Unknown owner - E:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - E:\WINDOWS\system32\services.exe
O23 - Service: Távoli asztal súgó-munkamenetének kezelője (RDSessMgr) - Unknown owner - E:\WINDOWS\system32\sessmgr.exe
O23 - Service: Intelligens kártya segítője (SCardDrv) - Unknown owner - E:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Intelligens kártya (SCardSvr) - Unknown owner - E:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia - E:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Teljesítménynaplók és riasztások (SysmonLog) - Unknown owner - E:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Kötet árnyékmásolata (VSS) - Unknown owner - E:\WINDOWS\System32\vssvc.exe
O23 - Service: WMI teljesítményadapter (WmiApSrv) - Unknown owner - E:\WINDOWS\System32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - http://www.sextazis.hu/html/tkep.php?gID=712&k=7

--
End of file - 9794 bytes

======Scheduled tasks folder======

E:\WINDOWS\tasks\AppleSoftwareUpdate.job
E:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
E:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
E:\WINDOWS\tasks\NSSstub.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}]
Dealio Toolbar - E:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll [2010-01-08 700416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 63136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2F472834-D66C-491B-9B76-40E918BE2FFE}]
E:\WINDOWS\System32\rqRIaBTN.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{41A5A1D9-33DA-450D-A60E-8398F35F8409}]
E:\WINDOWS\System32\iiffGXpn.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5DAEF7E7-47AB-4AF4-B0B4-9E24EAA6DB13}]
E:\WINDOWS\System32\efcDuutr.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5F11D5D5-3FB2-4ADD-84AD-D69BC9A5D312}]
E:\WINDOWS\System32\urqOIyXr.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{695C5BA4-AC45-40EB-AC30-A965B2AB4746}]
E:\WINDOWS\System32\cbXQGApq.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll [2008-02-22 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9394EDE7-C8B5-483E-8773-474BF36AF6E4}]
ST - E:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll [2004-08-13 155648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A317E38C-5838-45AE-A741-89C49C59AFAB}]
E:\WINDOWS\System32\qoMeETNE.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}]
MSNToolBandBHO - E:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\hu-hu\msntb.dll [2006-01-17 282624]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DA02CDE7-1645-4EA3-8F5D-5D1119F5FA08}]
E:\WINDOWS\System32\efcASiHw.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
E:\Program Files\YouTube Downloader Toolbar\SearchSettings.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EC44A89A-F6FF-4F60-9320-3703297607E7}]
E:\WINDOWS\System32\ddcBRHba.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F3FEE66E-E034-436a-86E4-9690573BEE8A}]
YouTube Downloader Toolbar - E:\Program Files\YouTube Downloader Toolbar\IE\4.1\youtubedownloaderToolbarIE.dll [2010-10-22 726016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - MSN - E:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\hu-hu\msntb.dll [2006-01-17 282624]
{8E718888-423F-11D2-876E-00A0C9082467} - &Rádió - E:\WINDOWS\System32\msdxm.ocx [2002-09-20 844828]
{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - Dealio Toolbar - E:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll [2010-01-08 700416]
{F3FEE66E-E034-436a-86E4-9690573BEE8A} - YouTube Downloader Toolbar - E:\Program Files\YouTube Downloader Toolbar\IE\4.1\youtubedownloaderToolbarIE.dll [2010-10-22 726016]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=E:\WINDOWS\System32\NvCpl.dll [2006-10-22 7700480]
"Kaspersky"=E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe []
"SearchSettings"=E:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe [2010-10-22 524288]
"avast5"=E:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe [2011-01-13 3396624]
"MessengerPlus3"=E:\Program Files\MessengerPlus! 3\MsgPlus.exe [2010-07-16 190024]
"HPDJ Taskbar Utility"=E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe [2001-12-06 196608]
""= []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MessengerPlus3"=E:\Program Files\MessengerPlus! 3\MsgPlus.exe [2010-07-16 190024]
"msnmsgr"=E:\Program Files\MSN Messenger\msnmsgr.exe [2007-09-04 6856704]

E:\Documents and Settings\All Users\Start Menu\Programs\Indítópult
uninstall.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqOIyXr]
urqOIyXr.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5F11D5D5-3FB2-4ADD-84AD-D69BC9A5D312}"=E:\WINDOWS\System32\urqOIyXr.dll []
"{88485281-8b4b-4f8d-9ede-82e29a064277}"=E:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 192512]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
E:\WINDOWS\System32\ddcBRHba

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=189

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=189

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"E:\Program Files\Internet Explorer\IEXPLORE.EXE"="E:\Program Files\Internet Explorer\IEXPLORE.EXE:*:Enabled:UUSEE"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2011-01-25 14:24:28 ----D---- E:\Program Files\trend micro
2011-01-25 14:24:27 ----D---- E:\rsit
2011-01-24 21:53:14 ----A---- E:\TDSSKiller.2.4.15.0_24.01.2011_21.53.14_log.txt
2011-01-11 19:01:18 ----D---- E:\Documents and Settings\All Users\Application Data\DivX
2011-01-06 13:24:22 ----D---- E:\Documents and Settings\Kovács\Application Data\Carambis

======List of files/folders modified in the last 1 months======

2011-01-25 14:24:28 ----RD---- E:\Program Files
2011-01-25 14:24:28 ----D---- E:\WINDOWS\Prefetch
2011-01-25 14:17:52 ----D---- E:\Program Files\Mozilla Firefox
2011-01-25 14:03:28 ----D---- E:\WINDOWS\Temp
2011-01-25 14:00:05 ----A---- E:\WINDOWS\NeroDigital.ini
2011-01-25 09:57:22 ----D---- E:\WINDOWS\Debug
2011-01-25 09:57:16 ----D---- E:\Program Files\Common Files\Akamai
2011-01-25 09:24:46 ----A---- E:\WINDOWS\SchedLgU.Txt
2011-01-24 21:53:14 ----D---- E:\WINDOWS\System32\drivers
2011-01-24 14:35:16 ----D---- E:\WINDOWS\System32\CatRoot2
2011-01-24 08:57:47 ----D---- E:\WINDOWS\system32
2011-01-23 14:54:53 ----SHD---- E:\WINDOWS\Installer
2011-01-23 14:42:36 ----D---- E:\WINDOWS
2011-01-18 19:51:35 ----SHD---- E:\System Volume Information
2011-01-18 10:29:46 ----A---- E:\WINDOWS\wincmd.ini
2011-01-13 09:47:32 ----A---- E:\WINDOWS\System32\aswBoot.exe
2011-01-05 21:35:31 ----D---- E:\Documents and Settings\Kovács\Application Data\uTorrent

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 nvata;nvata; E:\WINDOWS\System32\DRIVERS\nvata.sys [2005-08-18 93568]
R0 sfdrv01;StarForce Protection Environment Driver (version 1.x); E:\WINDOWS\System32\drivers\sfdrv01.sys [2006-03-26 51200]
R0 sfhlp02;StarForce Protection Helper Driver (version 2.x); E:\WINDOWS\System32\drivers\sfhlp02.sys [2006-03-13 6656]
R0 sfsync04;StarForce Protection Synchronization Driver (version 4.x); E:\WINDOWS\System32\drivers\sfsync04.sys [2006-03-24 50176]
R0 Stealth;Stealth; E:\WINDOWS\System32\DRIVERS\stealth.sys [2002-06-21 80896]
R1 Aavmker4;avast! Asynchronous Virus Monitor; E:\WINDOWS\System32\drivers\Aavmker4.sys [2011-01-13 29392]
R1 AmdK8;AMD processzor-illesztőprogram; E:\WINDOWS\System32\DRIVERS\AmdK8.sys [2005-03-09 43008]
R1 asuskbnt;Enhanced Display Driver Helper Service; E:\WINDOWS\system32\drivers\atkkbnt.sys [2006-10-31 11008]
R1 aswRdr;aswRdr; E:\WINDOWS\System32\drivers\aswRdr.sys [2011-01-13 23632]
R1 aswSP;aswSP; E:\WINDOWS\System32\drivers\aswSP.sys [2011-01-13 294608]
R1 aswTdi;avast! Network Shield Support; E:\WINDOWS\System32\drivers\aswTdi.sys [2011-01-13 47440]
R1 StarOpen;StarOpen; E:\WINDOWS\System32\drivers\StarOpen.sys [2009-09-08 5632]
R2 aswMon2;avast! Standard Shield Support; E:\WINDOWS\System32\drivers\aswMon2.sys [2011-01-13 100176]
R2 EIO;EIO; \??\E:\WINDOWS\system32\drivers\EIO.sys []
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); E:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-08-19 3644800]
R3 nv;nv; E:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2006-10-22 3994624]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; E:\WINDOWS\System32\DRIVERS\NVENETFD.sys [2005-04-05 33536]
R3 nvnetbus;NVIDIA Network Bus Enumerator; E:\WINDOWS\System32\DRIVERS\nvnetbus.sys [2005-04-05 12928]
R3 Video3D;ASUS Video3D Service; E:\WINDOWS\System32\Drivers\Video3D32.sys [2006-09-29 10752]
S3 CCDECODE;Closed Caption Decoder; E:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2004-07-09 16384]
S3 EagleNT;EagleNT; \??\E:\WINDOWS\System32\drivers\EagleNT.sys []
S3 FTDIBUS;USB Serial Converter Driver; E:\WINDOWS\system32\drivers\ftdibus.sys [2009-10-22 57800]
S3 FTSER2K;USB Serial Port Driver; E:\WINDOWS\system32\drivers\ftser2k.sys [2009-10-22 72520]
S3 HidUsb;Microsoft HID osztályú illesztőprogram; E:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 LVUSBSta;Logitech USB Monitor Filter; E:\WINDOWS\system32\drivers\lvusbsta.sys [2004-10-11 22016]
S3 mouhid;Egér HID-illesztőprogram; E:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-10-26 12160]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; E:\WINDOWS\system32\drivers\MSTEE.sys [2002-12-12 5504]
S3 NABTSFEC;NABTS/FEC VBI Codec; E:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2004-07-09 83968]
S3 NdisIP;Microsoft TV/Video Connection; E:\WINDOWS\System32\DRIVERS\NdisIP.sys [2004-07-09 10112]
S3 nmwcd;Nokia USB Phone Parent; E:\WINDOWS\system32\drivers\ccdcmb.sys [2008-05-02 17536]
S3 nmwcdc;Nokia USB Generic; E:\WINDOWS\system32\drivers\ccdcmbo.sys [2008-05-02 20864]
S3 PID_0928;Labtec WebCam(PID_0928); E:\WINDOWS\System32\DRIVERS\LV561AV.SYS [2004-10-11 211712]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM); E:\WINDOWS\System32\DRIVERS\s1018bus.sys [2008-11-04 86696]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter; E:\WINDOWS\System32\DRIVERS\s1018mdfl.sys [2008-11-04 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver; E:\WINDOWS\System32\DRIVERS\s1018mdm.sys [2008-11-04 114472]
S3 SLIP;BDA Slip De-Framer; E:\WINDOWS\System32\DRIVERS\SLIP.sys [2004-07-09 10880]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM); E:\WINDOWS\System32\DRIVERS\ss_bus.sys [2007-05-02 83592]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter; E:\WINDOWS\System32\DRIVERS\ss_mdfl.sys [2007-05-02 15112]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers; E:\WINDOWS\System32\DRIVERS\ss_mdm.sys [2007-05-02 109704]
S3 streamip;BDA IPSink; E:\WINDOWS\System32\DRIVERS\StreamIP.sys [2004-07-09 14976]
S3 usbprint;Microsoft USB PRINTER osztály; E:\WINDOWS\System32\DRIVERS\usbprint.sys [2002-08-29 24960]
S3 usbscan;USB-képolvasó illesztőprogramja; E:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 14208]
S3 usbser;Nokia USB Serial Port; E:\WINDOWS\system32\drivers\usbser.sys [2001-08-17 24192]
S3 UsbserFilt;UsbserFilt; E:\WINDOWS\System32\DRIVERS\usbser_lowerfltj.sys [2008-05-02 8064]
S3 USBSTOR;USB háttértár illesztőprogramja; E:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 21760]
S3 Wdf01000;Kernel Mode Driver Frameworks service; E:\WINDOWS\System32\Drivers\wdf01000.sys [2009-07-14 444136]
S3 WpdUsb;WpdUsb; E:\WINDOWS\System32\Drivers\wpdusb.sys [2005-01-28 18944]
S3 WSTCODEC;World Standard Teletext Codec; E:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2004-07-09 18688]
S4 WS2IFSL;Windows Socket 2.0 - nem IFS-t szolgáltató támogatási környezet; E:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-10-26 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Akamai;Akamai NetSession Interface; E:\WINDOWS\System32\svchost.exe [2001-10-26 12800]
R2 Application Updater;Application Updater; E:\Program Files\Application Updater\ApplicationUpdater.exe [2010-10-22 386560]
R2 ATKKeyboardService;ATK Keyboard Service; E:\WINDOWS\ATKKBService.exe [2006-09-29 258560]
R2 avast! Antivirus;avast! Antivirus; E:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2011-01-13 40384]
R2 MDM;Machine Debug Manager; E:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 NVSvc;NVIDIA Display Driver Service; E:\WINDOWS\System32\nvsvc32.exe [2006-10-22 159810]
R2 UMWdf;Windows User Mode Driver Framework; E:\WINDOWS\System32\wdfmgr.exe [2005-01-28 38912]
S2 gupdate;Google frissítési szolgáltatás (gupdate); E:\Program Files\Google\Update\GoogleUpdate.exe [2010-08-20 136176]
S3 Adobe LM Service;Adobe LM Service; E:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe [2007-08-28 72704]
S3 aspnet_state;ASP.NET State Service; E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 IDriverT;InstallDriver Table Manager; E:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 MSSQL$SONY_MEDIAMGR;MSSQL$SONY_MEDIAMGR; C:\Program Files\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe [2002-12-17 7520337]
S3 MSSQLServerADHelper;MSSQLServerADHelper; E:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe [2002-12-17 66112]
S3 ose;Office Source Engine; E:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 ServiceLayer;ServiceLayer; E:\Program Files\PC Connectivity Solution\ServiceLayer.exe [2010-06-14 615936]
S3 SQLAgent$SONY_MEDIAMGR;SQLAgent$SONY_MEDIAMGR; C:\Program Files\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE [2002-12-17 311872]

-----------------EOF-----------------


Egyébként megint bejött a kék képernyő miután a program megkérdezte hogy akarom-é újrabootolni.


kedd jan. 25, 2011 18:43
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
hm, meg a 9-sectorban es a 62 sectorban ot van a malicious kod.
Az hogy lelassult nem szamit,majd meg javul,
De irtam NE FUTTASD de a start FUTTATASBA masold be a parancsot,igy csinaltad??


kedd jan. 25, 2011 18:17
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Ez lesz az?

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_SP0812N rev.TK100-31 -> Harddisk0\DR0 -> \Device\0000006b

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\ACPI -> 0x859505a0
\Device\Harddisk0\DR0 -> ParseProcedure -> 0x85957060
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x859b73a0
user != kernel MBR !!!
copy of MBR has been found in sector 9 !
malicious code @ sector 0x951dfc5 size 0x1fd !
copy of MBR has been found in sector 62 !
copy of MBR has been found in sector 156360645
Warning: possible MBR rootkit infection !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.




Egyébként most eléggé belassult a gép, majd' fél perc a firefox indítása is, és a fórumot sem rendesen tölti be.


kedd jan. 25, 2011 18:13
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
A e:\Qoobox\combofix.txt
itt nincsen csak ez az egy combofix.txt??mert ez a regi,amit eloszor kaptal.
Igen, mert ahogy nezem csak SP-1 szerviz scomagod van, na nem baj,
Tolds le az asztalra:de ne futtasd:
http://www2.gmer.net/mbr/mbr.exe
klik,start,klik futtatas>masold be az ablakba ezt a parancsot,es klik ok, egy pilanat mulva add az asztalra logot,mbr.txt tedd ide
"%userprofile%\Asztal\MBR.exe" -f


kedd jan. 25, 2011 18:00
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Úgy tűnik hogy megtaláltam a combofix cuccát, de az bootkit removert nem tudom használni, mert nem támogatja a meghajtóm vagy mi. (nem vagyok perfekt angolból...)

.
ADS - svchost.exe: deleted 68 bytes in 1 streams.
ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams.
ADS - explorer.exe: deleted 132 bytes in 1 streams.
ADS - win32k.sys: deleted 68 bytes in 1 streams.
ADS - netcfgx.dll: deleted 100 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WinRAR.exe
e:\documents and settings\Kovács\Recent\Thumbs.db
e:\program files\YouTube Downloader Toolbar\IE\4.1\yoUTubedownloadertoolbarie.dll
e:\windows\daemon.dll
e:\windows\Debug\dcpromo.log
e:\windows\images.zip
e:\windows\system32\abHRBcdd.ini
e:\windows\system32\ENTEeMoq.ini
e:\windows\system32\gbre.exe
e:\windows\system32\mcrh.tmp
e:\windows\system32\muzapp.exe
e:\windows\system32\npXGffii.ini
e:\windows\system32\NTBaIRqr.ini
e:\windows\system32\qpAGQXbc.ini
e:\windows\system32\rtuuDcfe.ini

.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
((((((((((((((((((((((((( Files Created from 2010-12-25 to 2011-01-25 )))))))))))))))))))))))))))))))
.

2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- e:\program files\trend micro
2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- E:\rsit
2011-01-11 18:01 . 2011-01-11 18:01 -------- d-----w- e:\documents and settings\All Users\Application Data\DivX
2011-01-06 12:24 . 2011-01-06 12:24 -------- d-----w- e:\documents and settings\Kovács\Application Data\Carambis

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-25 13:00 . 2007-08-09 09:54 196608 ----a-w- e:\windows\system32\drivers\nStandard.bin
2011-01-13 08:47 . 2010-07-01 18:51 38848 ----a-w- e:\windows\avastSS.scr
2011-01-13 08:47 . 2010-07-01 18:32 188216 ----a-w- e:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2010-07-01 18:32 294608 ----a-w- e:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2010-07-01 18:32 47440 ----a-w- e:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:40 . 2010-07-01 18:32 100176 ----a-w- e:\windows\system32\drivers\aswmon2.sys
2011-01-13 08:39 . 2010-07-01 18:32 94544 ----a-w- e:\windows\system32\drivers\aswmon.sys
2011-01-13 08:37 . 2010-07-01 18:32 23632 ----a-w- e:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2010-07-01 18:32 29392 ----a-w- e:\windows\system32\drivers\aavmker4.sys
2010-06-02 04:22 . 2010-06-02 04:22 89944 ----a-w- e:\program files\DSETUP.dll
2010-06-02 04:22 . 2010-06-02 04:22 537432 ----a-w- e:\program files\DXSETUP.exe
2010-06-02 04:22 . 2010-06-02 04:22 1801048 ----a-w- e:\program files\dsetup32.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="e:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="e:\windows\System32\NvCpl.dll" [2006-10-22 7700480]
"avast5"="e:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624]
"HPDJ Taskbar Utility"="e:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-06 196608]

e:\documents and settings\All Users\Start Menu\Programs\Indˇt˘pult\
uninstall.exe [2011-1-25 421888]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="e:\program files\MSN Messenger\MsnMsgr.Exe" /background

R0 Stealth;Stealth;e:\windows\system32\drivers\stealth.sys [2002.06.21. 9:58 80896]
R1 aswSP;aswSP;e:\windows\system32\drivers\aswSP.sys [2010.07.01. 19:32 294608]
R2 Akamai;Akamai NetSession Interface;e:\windows\System32\svchost.exe -k Akamai [2001.10.26. 12:00 12800]
R2 Application Updater;Application Updater;e:\program files\Application Updater\ApplicationUpdater.exe [2010.10.22. 16:38 386560]
S2 gupdate;Google frissítési szolgáltatás (gupdate);e:\program files\Google\Update\GoogleUpdate.exe [2010.08.20. 19:08 136176]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);e:\windows\system32\drivers\s1018bus.sys [2009.09.26. 14:46 86696]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;e:\windows\system32\drivers\s1018mdfl.sys [2009.10.04. 15:37 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;e:\windows\system32\drivers\s1018mdm.sys [2009.10.04. 15:37 114472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contents of the 'Scheduled Tasks' folder

2011-01-24 e:\windows\Tasks\AppleSoftwareUpdate.job
- e:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08]

2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08]

2009-05-10 e:\windows\Tasks\NSSstub.job
- e:\windows\System32\Adobe\Shockwave 11\nssstub.exe [2009-05-10 07:04]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15
mStart Page = hxxp://www.maxiwe.com
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xportálás Microsoft Excel formátumba - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://e:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://85.119.9.21:2004/activex/AMC.cab
FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.ulloi129.hu
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =966134&p=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - e:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Softonic-Eng7 Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: RadioBar Toolbar: radiobar@toolbar - %profile%\extensions\radiobar@toolbar
.
- - - - ORPHANS REMOVED - - - -

BHO-{2F472834-D66C-491B-9B76-40E918BE2FFE} - e:\windows\System32\rqRIaBTN.dll
BHO-{41A5A1D9-33DA-450D-A60E-8398F35F8409} - e:\windows\System32\iiffGXpn.dll
BHO-{5DAEF7E7-47AB-4AF4-B0B4-9E24EAA6DB13} - e:\windows\System32\efcDuutr.dll
BHO-{695C5BA4-AC45-40EB-AC30-A965B2AB4746} - e:\windows\System32\cbXQGApq.dll
BHO-{A317E38C-5838-45AE-A741-89C49C59AFAB} - e:\windows\System32\qoMeETNE.dll
BHO-{DA02CDE7-1645-4EA3-8F5D-5D1119F5FA08} - e:\windows\System32\efcASiHw.dll
BHO-{EC44A89A-F6FF-4F60-9320-3703297607E7} - e:\windows\System32\ddcBRHba.dll
WebBrowser-{4C350B19-6CA1-4569-B14C-296D8D65300C} - (no file)
HKLM-Run-Kaspersky - e:\program files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe
Notify-AtiExtEvent - (no file)
Notify-urqOIyXr - urqOIyXr.dll
HKLM_ActiveSetup-ViewSonic Explorer V5.3 - e:\windows\msdtcsw32.exe
AddRemove-BDE - c:\windows\uninst.exe
AddRemove-MTA:SA - c:\gta san andreas\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-25 15:30
Windows 5.1.2600 Szervizcsomag 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_SP0812N rev.TK100-31 -> Harddisk0\DR0 -> \Device\0000006b

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\ACPI -> 0x8593d5a0
\Device\Harddisk0\DR0 -> ParseProcedure -> 0x85944060
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x859a43a0
user != kernel MBR !!!
copy of MBR has been found in sector 9 !
malicious code @ sector 0x951dfc5 size 0x1fd !
copy of MBR has been found in sector 62 !
copy of MBR has been found in sector 156360645
Warning: possible MBR rootkit infection !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-220523388-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iamdkimfnnhcgdlbob"=hex:6b,61,68,6c,6b,69,69,6f,61,6a,6e,67,6f,61,64,6a,6d,64,
6f,61,66,70,00,00
"hakemfkncaakobhj"=hex:69,61,6d,6b,68,70,6a,6f,67,68,64,64,63,6b,61,67,66,64,
00,67
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(728)
e:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(812)
e:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(3272)
e:\windows\System32\msi.dll
.
------------------------ Other Running Processes ------------------------
.
e:\program files\Alwil Software\Avast5\AvastSvc.exe
e:\windows\ATKKBService.exe
e:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
e:\windows\System32\nvsvc32.exe
e:\windows\System32\wdfmgr.exe
.
**************************************************************************
.
Completion time: 2011-01-25 15:33:50 - machine was rebooted
ComboFix-quarantined-files.txt 2011-01-25 14:33

Pre-Run: 697 188 352 bájt szabad
Post-Run: 2 850 193 408 bájt szabad

winxpsp1_en_pro_bf.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional - magyar" /fastdetect

- - End Of File - - 2334D392C0FD76F5A2D80B226B9A7182
(Ez az e:\combofix.txt)


kedd jan. 25, 2011 17:54
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
nem baj;
1:Töltse le az asztalra a bootkit_remover.rar
csomagolt állományt:
2:Csomagoljuk ki az asztalra és futtassuk.
http://www.esagelab.com/files/bootkit_remover.rar
a logjat tedd ide es nezd meg a e:\combofix.txt, vagy e:\Qoobox\combofix.txt2 ha ott van tedd aztat is ide


kedd jan. 25, 2011 17:44
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Sikerült megcsinálni mindent egészen az utolsó fázisig, amikor vártam hogy végezzen a combofix. 2 percre tettem ki a lábam a szobából, mire visszajöttem egy bizonyos kék hátteres szöveg várt a monitoron. A 22. újraindítás volt sikeres, és nem találtam meg a combofix naplóját sem...


kedd jan. 25, 2011 17:41
Profil Privát üzenet küldése
a fórum lelke
Avatar

Csatlakozott: vas. jún. 24, 2007 10:18
Hozzászólások: 6679
Tartózkodási hely: Revuca.S.k>>Szlovákia, nem tudok jól magyarul írni, ezért ilyen amit látsz,
Hozzászólás Re: Trójai
:arrow: http://www.jpshortstuff.247fixes.com/Defogger.exe
Kérjük, töltse le DeFogger az asztalra.

Dupla kettyenés DeFogger hogy futtassa az eszközt.

* Az alkalmazás ablak jelenik meg
* Kattintson a Tiltás gombra megbénít a CD emuláció illesztőprogramok
* Igen gombra kattintva folytathatja
* A "Kész!" 'Finished!' üzenet jelenik meg
* Kattintson az OK gombra
* DeFogger kérheti, hogy indítsd újra a gépet, ha nem - kattintson az OK gombra.

Kinyitunk - Notepadot (Jegyzetfüzetet)igy: Start>futtatás>beírod: notepad
és bemásolod- a Kód: címszó alatt található zöld textet(Kód: szó nélkül), aztán a notepadba beillesztett textet elmentjük scriptnek az asztalra , úgy:- Fájl>Mentés Másként>Fájlnév>CFScript.txt>Fájl típusa>Minden fájl>Mentés.(Ásztálra),.Kész, az astalon lévő CFScript txt húzzunk rá a ComboFix ikonnyara. Es mostan megcsinalod eztett:
Kép
A combofix maga elindul es lehet hogy restartol es befejezi a scent.Amit majd ad ted ide.
Kód:
KILLALL::
MBR::
File::
E:\Documents and Settings\All Users\Start Menu\Programs\Indítópult\uninstall.exe
e:\windows\Tasks\NSSstub.job
DDS::
uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15
mStart Page = hxxp://www.maxiwe.com
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
Extra::
FireFox::
FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms}
RegNull::
[HKEY_USERS\S-1-5-21-220523388-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}*]


kedd jan. 25, 2011 16:08
Profil Privát üzenet küldése Honlap
ezüst tag

Csatlakozott: hétf. jan. 24, 2011 21:23
Hozzászólások: 26
Tartózkodási hely: Magyarország; Harost
Hozzászólás Re: Trójai
Csak az avast van fent mint vírusirtó, azelőtt a kaspersky és a spybot S&D volt fent, de most csak az avast van. Lefuttattam a progit, és ez lett az eredmény:

ComboFix 11-01-24.02 - Kovács 011.01.25. 15:22:27.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.1.1250.36.1038.18.1022.748 [GMT 1:00]
Running from: e:\documents and settings\Kovács\Asztal\ComboFix.exe
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.
ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams.
ADS - explorer.exe: deleted 132 bytes in 1 streams.
ADS - win32k.sys: deleted 68 bytes in 1 streams.
ADS - netcfgx.dll: deleted 100 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WinRAR.exe
e:\documents and settings\Kovács\Recent\Thumbs.db
e:\program files\YouTube Downloader Toolbar\IE\4.1\yoUTubedownloadertoolbarie.dll
e:\windows\daemon.dll
e:\windows\Debug\dcpromo.log
e:\windows\images.zip
e:\windows\system32\abHRBcdd.ini
e:\windows\system32\ENTEeMoq.ini
e:\windows\system32\gbre.exe
e:\windows\system32\mcrh.tmp
e:\windows\system32\muzapp.exe
e:\windows\system32\npXGffii.ini
e:\windows\system32\NTBaIRqr.ini
e:\windows\system32\qpAGQXbc.ini
e:\windows\system32\rtuuDcfe.ini

.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
((((((((((((((((((((((((( Files Created from 2010-12-25 to 2011-01-25 )))))))))))))))))))))))))))))))
.

2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- e:\program files\trend micro
2011-01-25 13:24 . 2011-01-25 13:25 -------- d-----w- E:\rsit
2011-01-11 18:01 . 2011-01-11 18:01 -------- d-----w- e:\documents and settings\All Users\Application Data\DivX
2011-01-06 12:24 . 2011-01-06 12:24 -------- d-----w- e:\documents and settings\Kovács\Application Data\Carambis

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-25 13:00 . 2007-08-09 09:54 196608 ----a-w- e:\windows\system32\drivers\nStandard.bin
2011-01-13 08:47 . 2010-07-01 18:51 38848 ----a-w- e:\windows\avastSS.scr
2011-01-13 08:47 . 2010-07-01 18:32 188216 ----a-w- e:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2010-07-01 18:32 294608 ----a-w- e:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2010-07-01 18:32 47440 ----a-w- e:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:40 . 2010-07-01 18:32 100176 ----a-w- e:\windows\system32\drivers\aswmon2.sys
2011-01-13 08:39 . 2010-07-01 18:32 94544 ----a-w- e:\windows\system32\drivers\aswmon.sys
2011-01-13 08:37 . 2010-07-01 18:32 23632 ----a-w- e:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2010-07-01 18:32 29392 ----a-w- e:\windows\system32\drivers\aavmker4.sys
2010-06-02 04:22 . 2010-06-02 04:22 89944 ----a-w- e:\program files\DSETUP.dll
2010-06-02 04:22 . 2010-06-02 04:22 537432 ----a-w- e:\program files\DXSETUP.exe
2010-06-02 04:22 . 2010-06-02 04:22 1801048 ----a-w- e:\program files\dsetup32.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="e:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="e:\windows\System32\NvCpl.dll" [2006-10-22 7700480]
"avast5"="e:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624]
"HPDJ Taskbar Utility"="e:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-06 196608]

e:\documents and settings\All Users\Start Menu\Programs\Indˇt˘pult\
uninstall.exe [2011-1-25 421888]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="e:\program files\MSN Messenger\MsnMsgr.Exe" /background

R0 Stealth;Stealth;e:\windows\system32\drivers\stealth.sys [2002.06.21. 9:58 80896]
R1 aswSP;aswSP;e:\windows\system32\drivers\aswSP.sys [2010.07.01. 19:32 294608]
R2 Akamai;Akamai NetSession Interface;e:\windows\System32\svchost.exe -k Akamai [2001.10.26. 12:00 12800]
R2 Application Updater;Application Updater;e:\program files\Application Updater\ApplicationUpdater.exe [2010.10.22. 16:38 386560]
S2 gupdate;Google frissítési szolgáltatás (gupdate);e:\program files\Google\Update\GoogleUpdate.exe [2010.08.20. 19:08 136176]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);e:\windows\system32\drivers\s1018bus.sys [2009.09.26. 14:46 86696]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;e:\windows\system32\drivers\s1018mdfl.sys [2009.10.04. 15:37 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;e:\windows\system32\drivers\s1018mdm.sys [2009.10.04. 15:37 114472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contents of the 'Scheduled Tasks' folder

2011-01-24 e:\windows\Tasks\AppleSoftwareUpdate.job
- e:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08]

2011-01-25 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- e:\program files\Google\Update\GoogleUpdate.exe [2010-08-20 18:08]

2009-05-10 e:\windows\Tasks\NSSstub.job
- e:\windows\System32\Adobe\Shockwave 11\nssstub.exe [2009-05-10 07:04]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://ziggytv.toolbaroptions.com/?tmp= ... b04ie&v=15
mStart Page = hxxp://www.maxiwe.com
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xportálás Microsoft Excel formátumba - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://e:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://85.119.9.21:2004/activex/AMC.cab
FF - ProfilePath - e:\documents and settings\Kovács\Application Data\Mozilla\Firefox\Profiles\qoqu684e.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.ulloi129.hu
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =966134&p=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - e:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Softonic-Eng7 Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: RadioBar Toolbar: radiobar@toolbar - %profile%\extensions\radiobar@toolbar
.
- - - - ORPHANS REMOVED - - - -

BHO-{2F472834-D66C-491B-9B76-40E918BE2FFE} - e:\windows\System32\rqRIaBTN.dll
BHO-{41A5A1D9-33DA-450D-A60E-8398F35F8409} - e:\windows\System32\iiffGXpn.dll
BHO-{5DAEF7E7-47AB-4AF4-B0B4-9E24EAA6DB13} - e:\windows\System32\efcDuutr.dll
BHO-{695C5BA4-AC45-40EB-AC30-A965B2AB4746} - e:\windows\System32\cbXQGApq.dll
BHO-{A317E38C-5838-45AE-A741-89C49C59AFAB} - e:\windows\System32\qoMeETNE.dll
BHO-{DA02CDE7-1645-4EA3-8F5D-5D1119F5FA08} - e:\windows\System32\efcASiHw.dll
BHO-{EC44A89A-F6FF-4F60-9320-3703297607E7} - e:\windows\System32\ddcBRHba.dll
WebBrowser-{4C350B19-6CA1-4569-B14C-296D8D65300C} - (no file)
HKLM-Run-Kaspersky - e:\program files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe
Notify-AtiExtEvent - (no file)
Notify-urqOIyXr - urqOIyXr.dll
HKLM_ActiveSetup-ViewSonic Explorer V5.3 - e:\windows\msdtcsw32.exe
AddRemove-BDE - c:\windows\uninst.exe
AddRemove-MTA:SA - c:\gta san andreas\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-25 15:30
Windows 5.1.2600 Szervizcsomag 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_SP0812N rev.TK100-31 -> Harddisk0\DR0 -> \Device\0000006b

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\ACPI -> 0x8593d5a0
\Device\Harddisk0\DR0 -> ParseProcedure -> 0x85944060
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x859a43a0
user != kernel MBR !!!
copy of MBR has been found in sector 9 !
malicious code @ sector 0x951dfc5 size 0x1fd !
copy of MBR has been found in sector 62 !
copy of MBR has been found in sector 156360645
Warning: possible MBR rootkit infection !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-220523388-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F789F1DC-75CA-7199-34ED-C659D268C397}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iamdkimfnnhcgdlbob"=hex:6b,61,68,6c,6b,69,69,6f,61,6a,6e,67,6f,61,64,6a,6d,64,
6f,61,66,70,00,00
"hakemfkncaakobhj"=hex:69,61,6d,6b,68,70,6a,6f,67,68,64,64,63,6b,61,67,66,64,
00,67
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(728)
e:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(812)
e:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(3272)
e:\windows\System32\msi.dll
.
------------------------ Other Running Processes ------------------------
.
e:\program files\Alwil Software\Avast5\AvastSvc.exe
e:\windows\ATKKBService.exe
e:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
e:\windows\System32\nvsvc32.exe
e:\windows\System32\wdfmgr.exe
.
**************************************************************************
.
Completion time: 2011-01-25 15:33:50 - machine was rebooted
ComboFix-quarantined-files.txt 2011-01-25 14:33

Pre-Run: 697 188 352 bájt szabad
Post-Run: 2 850 193 408 bájt szabad

winxpsp1_en_pro_bf.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional - magyar" /fastdetect

- - End Of File - - 2334D392C0FD76F5A2D80B226B9A7182


kedd jan. 25, 2011 15:43
Profil Privát üzenet küldése
Hozzászólások megjelenítése:  Rendezés  
Hozzászólás a témához   [ 126 hozzászólás ]  Oldal 1, 2, 3  Következő

Ki van itt

Jelenlévő fórumozók: nincs regisztrált felhasználó valamint 11 vendég


Nem nyithatsz témákat ebben a fórumban.
Nem válaszolhatsz egy témára ebben a fórumban.
Nem szerkesztheted a hozzászólásaidat ebben a fórumban.
Nem törölheted a hozzászólásaidat ebben a fórumban.

Keresés:
Ugrás:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group.
Designed by ST Software for PTF.
Magyar fordítás © Magyar phpBB Közösség