http://images.malwareremoval.com/random/RSIT.exe

tolds le inen.

Hiába kattintok az RSIT-re, a lap nem jeleníthatő meg.

Megint besz*rt ez a topik. Az utolsó oldal nem létezik, mégis oda irányít.
Volt már ilyen.

MEG KELLENE JAVÍTANI.

Udv
Igen a tunetek szerint megvan fertozve a geped
Elso lepes tedd ide az RSIT logjat:
http://sites.google.com/site/virusstell ... 3#TOC-RSIT

Még néhány furcsaság.
Ha a google találatokra kattintok más oldalakra irányít nyit. Így a tárolt változatokat kell használnom. Az intézőben pedig nincs hangja, mikor a mappákat megnyitom.

Sziasztok!

Az XP-m összeszedett egy vagy több ronda vírust. Rég nem volt már ilyen:) Szóval. Már futtattam ESET NOD32-t, Avast, Avira-t és egyéb spyware progit, de nem javult. A feladatkezelőben a szokásos 20-22 helyett 35-40 dolog fut, főleg ezek: cmd.exe, 5.exe, 1.exe, qtplugin.exe, tmp2385.exe stb. Plusz a netet is csesztetik, állandóan csatlakozni akar. Egy párat már sikerült eltüntetnem. Ami furcsa még, hogy a cmd.exe, kb. 30 másodpercenként megjelenik majd eltünik. Mikor meg leállítom a gépet akkor is a cmd-vel kapcsolatos üzenetet ír, valami inicializálásról. Valaki tud valami okosat mondani?
Köszi!

Köszi. Megnyugodtam. Azt hittem, hogy valahogy "kilát" a virtuális gépből.

Az én virtuális gépemen (MS Virtual PC) nincs hálózat, Internet elérés, csak egy particiót lát a gépből.

Tessek:
1:Ok,letoltotem a virtualis gepre
2:Futtatom a crack http://xxxxxxx/top.html
teamviewer_license_code_key.exe

1:Kilote a feladat kezelot..
2:Megoltem az reader_s,, meglatom mi lesz tovabb.
3:De eltunt es ujra letoltodod vissza magatol
4:Vege a tesztnek a virut futtatot egy csomo smtp servert,
5:Kikapcsolom a virtualkat es vegzek vele,,
6:Muszaj att telepiteni a Virtualis gepet mindig vissza jon,,ujra letoltodod ""

Igen,Laci-cimbi-a kolegam tesztelte a Virutot es pontosan irta mi tortenik a virtualis gepel,,mindjart megtalalom a forumonkon es leirom

Bocs, de ezt nem értem. Megmagyaráznád?

De ha VIRUTOS akor szed szedi a virtualkat is,

Az jó, köszi!

igen,futtathatod a virtualis gepen,,,

Helló!

Nekem egy olyan kérdésem lenne, hogy van egy program, ami trójait tartalmaz, de én mégis szeretném futtatni, méghozzá virtuális gépen keresztül úgy, hogy annak a virtuális gépnek nem adok semmilyen hálózati hozzáférést, akkor az okozhat e valódi gépen problémát?

nincsen mit,sajnos ebben a hejzetben nehez megmondani hogy mi van,de serult vagy torolt rendszerfajlora muttat.a javito telepites segit ,de at kel majd nezni a gepet malwarekra mivel lehet hogy van rootkit is,,ezert futtasd le a Malwarebytes programot,es ha talal backdoort vagy rootkitet akkor a combofixet is es a logjat majd ted be ide,,nez szet az oldalomon megtalalsz mindent ami kell.
udv

Stell!
Köszönöm a gyors választ, holnap kipróbálom.
Üdv.:szidom

Topterm
bocs hogy nemvalszoltam valahogy elneztelekk,tehat most nemtudom mi a helyzet.

szidom

ugy nezki veled hogy valamit kitoroltell,ezert csinalj Javito telepitest ha van xp_telepito lemezed
http://sites.google.com/site/virusstell ... p-win-2000

Sziasztok!
Olyan problémám van, hogy az XP nem hajlandó elindulni, csak az indító menüig jut el, meg kérdezi hogy normál, csökkentett stb. módokon akarom-e indítani, de mindegy mit választok nem csinál mást csak újraindul, és kezdi előről. Az lenne a kérdésem hogy ez valami vírus lehet-e, és hogy dos alól irtható-e vagy simán megsérült az Xp, egyszerübb újrarakni?
Előre is köszi!
Üdv.:Szidom

Adminként futtatva sem tudnak túllépni az adott könyvtáron ezek a programok. Azt gondolom, nem normális, ha egy vírusirtó nem tudja lefuttatni a scant a C:\ -re, de persze lehet hogy nem vírus, hanem más jogosultság probléma okozza.

Mindenesetre köszönöm a választ.

Ha elakadnak akkor,nemtudjak olvasni,es ezert.ha nem virus es a geppel nincsen semmi problem akkor hagyad,,

Szia,

ha arra az egy file-ra gondolsz ami az adott könyvtárban van (Microsoft.JScript.dll) azt már feltöltöttem és nem talált semmit az online viruskereső - a másik sem amit a saját oldaladon kiirtál.
Ennek ellenére a scanner programok továbbra is elakadnak ennél a könyvtárnál.

udv
a combofix 64b rendszereken nemmegy,
teszteld le a fajlt a www.virustotal.com

Hello,
elég gyanús dolgok történnek a gépemen, ezért hozzátok fordulok.

Windows 7 - 64 bites verzio (Combofix kilőve, nem indult sehogy)

Alapból ESET Smart Security van a gépen, bekapcsolt védelmekkel, és rendszeresen frissitem a Windowst is.

Tegnap böngészés közben (FireFox) ráklikkeltem egy autós oldalon 1 képre, ezután egy fura Java alkalmazás indult... nem klikkeltem rá semmire, lelőttem, de elinditottam utána a NOD-ot, és több alkalommal ugyanott megállt.

Amikor a SCAN a C:\WINDOWS\assembly\GAC_MSIL\Microsoft.JScript könyvtárhoz ér, megáll, és iszonyatosan belassitja a gépet. Megnéztem, AD-AWARE ugyanigy ugyanitt megáll, belassitja, nem megy tovább, csak ha lelövöm a processt a Task Managerben (de ez is percekig tart úgy teker a gép).
Egyébként jelenleg ha nem inditom el a viruskeresőt, jól megy a gép, nem látszik semmi.

Próbáltam utánaolvasni, de csak olyan segitségeket találtam ami 64 bites rendszeren nem megy. Kérlek ha tudtok, adjatok valami tanácsot.

Köszönöm,
Péter

udv
pilaka
igen a virust mindig es mindenki bekap, hogy miert nezd meg az oldalamon.aki mast mond az nembeszel igazat,
http://sites.google.com/site/stellmajdsegit/
a virus ugyekel it foglalkozom
http://squito-web.com/stell/forum/index.php

Mar oda irtam hogy mit csinalj,

szia stell !
Megint bekaptam egy méretes dögöt....a saját hibámból , rögtön kilőtte a tűzfalamat és az Avastot , és újraindította a gépet....
A Vírus Totalra felküldtem az elkövetőt:

http://www.virustotal.com/hu/analisis/e ... 1263382279


A Netlimiteremet nem lőtte ki és látom ,hogy egy winupgro.exe állandóan ki akar menni a netre.

letoltod
OTL
- futataod
-bepipazod
-Scan all users.
-Lop check.
-Purity check.
-a sekciobaExtra Registry>bepipazod>Use SafeList
-az ablakbaCustom Scans/Fixes>masold be a zold textet>>klik>> RUN SCAN
a scan utan ted ide az OTL.txt
-OTL.txt (az asztalon lesz).

ComboFix 09-12-16.05 - Rendszergazda 009.12.18. 20:31:32.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1250.36.1038.18.223.113 [GMT 1:00]
Running from: c:\documents and settings\Rendszergazda\Asztal\KittyFix.exe
Command switches used :: c:\documents and settings\Rendszergazda\Asztal\CFScript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\utils\HDD_THER
c:\utils\HDD_THER\HDD_THER.EXE

.
((((((((((((((((((((((((( Files Created from 2009-11-18 to 2009-12-18 )))))))))))))))))))))))))))))))
.

2009-12-17 09:37 . 2009-12-17 09:37 -------- d-----w- c:\documents and settings\Rendszergazda\Application Data\BSplayer Pro
2009-12-16 23:08 . 2009-12-16 23:08 -------- d-----w- C:\rsit
2009-12-15 08:51 . 2009-12-15 09:25 -------- d-----w- c:\windows\Corel
2009-12-14 00:12 . 2009-12-14 00:12 -------- d-----w- c:\documents and settings\Rendszergazda\Local Settings\Application Data\Adobe
2009-12-13 09:42 . 2009-12-18 19:38 -------- d-----w- c:\documents and settings\Rendszergazda\Tracing
2009-12-13 09:40 . 2009-12-13 09:41 -------- d-----w- c:\program files\Windows Live
2009-12-13 00:21 . 2009-12-17 09:37 -------- d-----w- c:\program files\webteh
2009-12-12 18:13 . 2009-12-18 18:55 -------- d-----w- c:\documents and settings\Rendszergazda\Application Data\HDD Thermometer
2009-12-12 18:08 . 2009-12-12 18:08 -------- d-----w- c:\documents and settings\Rendszergazda\Local Settings\Application Data\Opera
2009-12-12 18:08 . 2009-12-12 18:08 -------- d-----w- c:\program files\Opera
2009-12-12 17:15 . 2003-06-19 00:31 18944 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2009-12-12 17:15 . 2003-06-19 00:31 17920 ----a-w- c:\windows\system32\mdimon.dll
2009-12-12 17:06 . 2009-12-12 17:06 -------- d-----w- c:\program files\Microsoft.NET
2009-12-12 17:03 . 2009-12-12 17:03 -------- d-----r- C:\MSOCache
2009-12-12 17:01 . 2009-12-12 17:01 223128 ----a-w- c:\windows\system32\drivers\dtscsi.sys
2009-12-12 17:01 . 2009-12-12 17:01 -------- d-----w- c:\program files\DAEMON Tools
2009-12-12 14:42 . 2009-12-18 08:12 54888 ----a-w- c:\documents and settings\Rendszergazda\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-12 12:20 . 2004-08-03 22:07 6400 ----a-w- c:\windows\system32\drivers\splitter.sys
2009-12-12 12:20 . 2004-08-03 22:15 82944 ----a-w- c:\windows\system32\drivers\wdmaud.sys
2009-12-12 12:20 . 2004-08-03 22:07 52864 ----a-w- c:\windows\system32\drivers\DMusic.sys
2009-12-12 12:20 . 2001-08-17 21:00 54272 ----a-w- c:\windows\system32\drivers\swmidi.sys
2009-12-12 12:18 . 2003-04-24 10:28 41984 ----a-r- c:\windows\system32\drivers\fetnd5b.sys
2009-12-12 12:18 . 2003-04-10 10:27 7040 ----a-r- c:\windows\system32\ntsim.sys
2009-12-12 11:33 . 2004-09-20 11:02 69722 ----a-w- c:\windows\system32\SynTPFcs.dll
2009-12-12 11:33 . 2004-09-20 11:04 81920 ----a-w- c:\windows\system32\SynTPCo2.dll
2009-12-12 11:33 . 2004-09-20 10:53 90202 ----a-w- c:\windows\system32\SynTPAPI.dll
2009-12-12 11:33 . 2004-09-20 10:53 114688 ----a-w- c:\windows\system32\SynCtrl.dll
2009-12-12 11:33 . 2004-09-20 10:53 77917 ----a-w- c:\windows\system32\SynCOM.dll
2009-12-12 11:33 . 2004-09-20 10:51 188672 ----a-w- c:\windows\system32\drivers\SynTP.sys
2009-12-12 11:33 . 2009-12-12 11:33 -------- d-----w- c:\program files\Synaptics
2009-12-12 11:26 . 2009-12-12 11:26 -------- d-----w- c:\program files\S3
2009-12-12 11:25 . 2005-06-20 15:21 1875968 ----a-w- c:\windows\system32\vticd.dll
2009-12-12 11:25 . 2005-06-20 15:17 225920 ----a-w- c:\windows\system32\drivers\vtmini.sys
2009-12-12 11:25 . 2005-03-11 16:45 360448 ----a-w- c:\windows\system32\VTGamma2.dll
2009-12-12 11:25 . 2005-03-11 16:43 262144 ----a-w- c:\windows\system32\VTInfo2.dll
2009-12-12 11:25 . 2005-03-11 16:36 397312 ----a-w- c:\windows\system32\VTovrlay.dll
2009-12-12 11:25 . 2005-03-08 02:33 53248 ----a-w- c:\windows\system32\VTTimer.exe
2009-12-12 11:25 . 2005-06-20 15:17 3494144 ----a-w- c:\windows\system32\vtdisp.dll
2009-12-12 11:25 . 2005-05-24 01:36 581632 ----a-w- c:\windows\system32\VTDisply.dll
2009-12-12 11:25 . 2005-04-18 10:15 40960 ----a-w- c:\windows\system32\VModes.exe
2009-12-12 11:25 . 2003-05-27 14:01 159792 ----a-w- c:\windows\system32\S3hotkey.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-17 08:59 . 2009-12-11 20:15 -------- d-----w- c:\documents and settings\Rendszergazda\Application Data\Media Player Classic
2009-12-16 17:02 . 2009-12-11 20:07 -------- d-----w- c:\program files\Unlocker
2009-12-15 09:00 . 2009-12-11 20:18 -------- d-----w- c:\documents and settings\Rendszergazda\Application Data\Corel
2009-12-14 22:42 . 2009-12-11 20:18 -------- d-----w- c:\program files\Winamp
2009-12-12 12:19 . 2009-12-12 12:19 -------- d-----w- c:\program files\VIA Technologies, INC
2009-12-12 11:26 . 2009-12-11 20:16 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-12 11:26 . 2009-12-11 20:04 -------- d-----w- c:\program files\Common Files\InstallShield
2009-12-11 20:18 . 2009-12-11 20:18 8704 ----a-r- c:\documents and settings\Rendszergazda\Application Data\Microsoft\Installer\{A16BE761-139E-40D8-826F-F6D077CDFDAD}\IconA16BE7611.exe
2009-12-11 20:18 . 2009-12-11 20:18 80896 ----a-r- c:\documents and settings\Rendszergazda\Application Data\Microsoft\Installer\{A16BE761-139E-40D8-826F-F6D077CDFDAD}\IconA16BE761.exe
2009-12-11 20:18 . 2009-12-11 20:18 -------- d-----w- c:\documents and settings\All Users\Application Data\InstallShield
2009-12-11 20:17 . 2009-12-11 20:17 -------- d-----w- c:\program files\Corel
2009-12-11 20:17 . 2009-12-11 20:17 -------- d-----w- c:\program files\Common Files\Corel
2009-12-11 20:17 . 2009-12-11 20:16 -------- d-----w- c:\program files\CyberLink
2009-12-11 20:15 . 2009-12-11 20:15 -------- d-----w- c:\program files\MSN Messenger
2009-12-11 20:15 . 2009-12-11 20:14 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-12-11 20:14 . 2009-12-11 20:14 -------- d-----w- c:\program files\Common Files\Adobe
2009-12-11 20:13 . 2001-10-26 10:00 90012 ----a-w- c:\windows\system32\perfc00E.dat
2009-12-11 20:13 . 2001-10-26 10:00 406250 ----a-w- c:\windows\system32\perfh00E.dat
2009-12-11 20:13 . 2009-12-11 20:13 136 ----a-w- c:\documents and settings\Rendszergazda\Local Settings\Application Data\fusioncache.dat
2009-12-11 20:07 . 2009-12-11 20:07 -------- d-----w- c:\program files\AutoIt3
2009-12-11 20:06 . 2009-12-11 20:06 -------- d-----w- c:\program files\Java
2009-12-11 20:06 . 2009-12-11 20:06 -------- d-----w- c:\program files\Common Files\Java
2009-12-11 20:05 . 2009-12-11 20:05 96256 ----a-w- c:\windows\system32\drivers\sptd0269.sys
2009-12-11 20:05 . 2009-12-11 20:05 643072 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-12-11 20:03 . 2009-12-11 20:11 10134 ----a-r- c:\documents and settings\Rendszergazda\Application Data\Microsoft\Installer\{F3CA9611-CD42-4562-ADAB-A554CF8E17F1}\ARPPRODUCTICON.exe
2009-12-11 20:03 . 2009-12-11 20:03 -------- d-----w- c:\program files\Microsoft WSE
2009-12-11 19:54 . 2009-12-11 19:53 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-12-11 19:49 . 2009-12-11 19:49 21948 ----a-w- c:\windows\system32\emptyregdb.dat
.

------- Sigcheck -------

[-] 2006-11-14 . DE891AD282E856ACFD40990094A63B6F . 359808 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerMenu"="c:\windows\powermenu.exe" [2002-12-20 57344]
"AllSnap"="c:\windows\allsnap.exe" [2006-11-14 81920]
"MakeFolder"="c:\windows\makefolder.exe" [2006-11-14 69632]
"S3hotkey"="S3hotkey.exe" [2003-05-27 159792]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-09-20 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-09-20 684122]
"Corel Reminder"="d:\corel\Register\NAVBrowser.exe" [2000-10-04 208896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"AfterPost"="c:\windows\afterpost.cmd" [2006-09-22 1322]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
"ForceCopyAclwithFile"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
"ForceCopyAclwithFile"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
2005-11-08 22:00 128920 ----a-w- c:\program files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\wincmd\\WINCMD32.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Corel\\Register\\NAVBrowser.exe"=
"c:\\Documents and Settings\\Rendszergazda\\Asztal\\utorrent_1.8.5_17414_EN.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2009.12.11. 21:05 643072]
S3 ZD1211BU(TP-LINK);TL-WN322G/WN322G+ Wireless USB Adapter Driver(TP-LINK);c:\windows\system32\drivers\ZD1211BU.sys [2009.12.11. 21:21 500736]
.
------- Supplementary Scan -------
.
uStart Page = about:blank
IE: E&xportálás Microsoft Excel formátumba - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-18 20:39
Windows 5.1.2600 Szervizcsomag 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe >>UNKNOWN [0x812FAA40]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> 0x812faa40
\Driver\ACPI -> ACPI.sys @ 0xf9d7acb8
\Driver\atapi -> atapi.sys @ 0xf9d112f0
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
NDIS: VIA Rhine II Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf9c19ba0
PacketIndicateHandler -> NDIS.sys @ 0xf9c26b21
SendHandler -> NDIS.sys @ 0xf9c0487b
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(680)
c:\windows\system32\sfc_os.dll

- - - - - - - > 'explorer.exe'(4040)
c:\windows\PowerMenuHook.dll
c:\windows\snap_libW.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\S3hotkey.exe
c:\windows\system32\VTTimer.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-12-18 20:41:42 - machine was rebooted
ComboFix-quarantined-files.txt 2009-12-18 19:41
ComboFix2.txt 2009-12-17 10:30

Pre-Run: 7 003 324 416 bájt szabad
Post-Run: 6 978 535 424 bájt szabad

- - End Of File - - EDEA295F4E3000049106B0260BF335BF

Igen manualisan
nincsen mit
Udv,

Manuálisan értetted, ugye? Mert úgy töröltem ki!
Oké, leteszem az asztalra a KittyFix-et.

Nagyon nagyon köszönöm!

Jó sok időd megy az itteni segítségadásra. Maxi Respect!

Torold le ezt a falylot,a combofixet nemlehet akarhova beasni,,d:\download\KittyFix.exe >>mindig az asztalon kel lenie,,es ok,,enyi az egesz,,
g:\windows\system32\fjhdyfhsn.bat

Hát már kikerültem ezt a letöltést, enélkül futott le a ComboFix.
Menetközben kapcsoltam ki az Avira Antivirt, miután figyelmeztető ablak szólt, hogy kapcsoljam ki a folytatáshoz.




Itt a log:


ComboFix 09-12-17.01 - FP 009.12.18. 11:47:31.6.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1250.36.1038.18.383.38 [GMT 1:00]
Running from: d:\download\KittyFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IMAPISERVICE
-------\Service_ImapiService


((((((((((((((((((((((((( Files Created from 2009-11-18 to 2009-12-18 )))))))))))))))))))))))))))))))
.

2009-12-18 09:00 . 2009-12-18 09:00 -------- d-----w- g:\documents and settings\FP\Application Data\Malwarebytes
2009-12-18 08:59 . 2009-12-03 15:14 38224 ----a-w- g:\windows\system32\drivers\mbamswissarmy.sys
2009-12-18 08:59 . 2009-12-18 08:59 -------- d-----w- g:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-18 08:59 . 2009-12-03 15:13 19160 ----a-w- g:\windows\system32\drivers\mbam.sys
2009-12-17 14:09 . 2009-12-17 14:09 116 ----a-w- g:\windows\system32\fjhdyfhsn.bat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-18 10:41 . 2009-03-14 12:58 79704 ----a-w- g:\documents and settings\FP\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-18 06:07 . 2009-11-03 16:32 -------- d-----w- g:\program files\trend micro
2009-11-18 06:41 . 2009-11-18 06:41 -------- d-----w- g:\documents and settings\FP\Application Data\RealColonel
2009-11-14 06:08 . 2009-07-25 10:08 -------- d-----w- g:\documents and settings\All Users\Application Data\Microsoft Help
2009-11-13 18:02 . 2009-11-13 18:02 53248 ----a-w- g:\documents and settings\FP\Application Data\Thinstall\Microsoft Office Enterprise 2007\300000007100002h\SETUP.EXE
2009-11-13 18:02 . 2009-11-13 18:02 53248 ----a-w- g:\documents and settings\FP\Application Data\Thinstall\Microsoft Office Enterprise 2007\300000003f00002h\CLVIEW.EXE
2009-11-07 07:59 . 2009-11-07 07:59 -------- d-----w- g:\documents and settings\All Users\Application Data\Avira
2009-11-03 17:28 . 2001-10-26 10:00 89814 ----a-w- g:\windows\system32\perfc00E.dat
2009-11-03 17:28 . 2001-10-26 10:00 406012 ----a-w- g:\windows\system32\perfh00E.dat
2009-10-20 07:37 . 2009-10-20 07:37 -------- d-----w- g:\documents and settings\All Users\Application Data\Alternate
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="g:\windows\system32\NvCpl.dll" [2006-11-17 7700480]
"nwiz"="nwiz.exe" [2006-11-17 1622016]
"NvMediaCenter"="NvMCTray.dll" [2006-11-17 86016]
"NeroFilterCheck"="g:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="g:\other\Java6\bin\jusched.exe" [2009-08-13 148888]
"HP Software Update"="g:\driver\HP-F4210\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152]
"WheelMouse"="g:\driver\A4TechMouse\Amoumain.exe" [2007-02-10 188416]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="g:\windows\System32\CTFMON.EXE" [2004-08-17 15360]

g:\documents and settings\FP\Start Menu\Programs\Indˇt˘pult\
NetPerSec.lnk - g:\other\Netpersec\NetPerSec.exe [2009-3-14 192512]

g:\documents and settings\All Users\Start Menu\Programs\Indˇt˘pult\
Adobe Reader gyorsindˇt˘.lnk - g:\other\AReader7\Reader\reader_sl.exe [2005-9-24 29696]
AutoCAD Startup Accelerator.lnk - g:\program files\Common Files\Autodesk Shared\acstart16.exe [2004-2-25 10872]
Microsoft Office.lnk - g:\other\MsOffice10\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"g:\\Program Files\\Messenger\\msmsgs.exe"=
"g:\\other\\Dxdiag\\DXDIAG.EXE"=
"g:\\WINDOWS\\system32\\dpnsvr.exe"=
"g:\\other\\Wincmd452\\WINCMD32.EXE"=

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;g:\other\Avira\AntiVir Desktop\sched.exe [2009.11.07. 8:59 108289]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;g:\windows\system32\drivers\Amps2prt.sys [2007.02.09. 19:04 14336]
R3 wdm_au8830;Aureal Vortex 8830 audio-illesztőprogram (WDM);g:\windows\system32\drivers\adm8830.sys [2009.03.14. 13:11 747392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08
.
------- Supplementary Scan -------
.
uStart Page = about:blank
IE: az összes letöltése free download managerrel - file://g:\other\FreeDownloadManager\dlall.htm
IE: E&xportálás a Microsoft Excel programba - g:\other\MSOFFI~3\Office12\EXCEL.EXE/3000
IE: E&xportálás Microsoft Excel formátumba - g:\other\MSOFFI~1\Office10\EXCEL.EXE/3000
IE: kijelölés letöltése free download managerrel - file://g:\other\FreeDownloadManager\dlselected.htm
IE: letöltés free download managerrel - file://g:\other\FreeDownloadManager\dllink.htm
IE: video letöltése a free download manager-rel - file://g:\other\FreeDownloadManager\dlfvideo.htm
DPF: DirectAnimation Java Classes - file://g:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://g:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-18 11:56
Windows 5.1.2600 Szervizcsomag 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(3356)
g:\windows\system32\nview.dll
g:\windows\system32\nvwddi.dll
g:\windows\system32\msi.dll
.
------------------------ Other Running Processes ------------------------
.
g:\other\Avira\AntiVir Desktop\avguard.exe
g:\other\Java6\bin\jqs.exe
g:\program files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
g:\windows\system32\nvsvc32.exe
g:\windows\System32\wbem\wmiapsrv.exe
g:\windows\system32\wscntfy.exe
g:\windows\system32\rundll32.exe
.
**************************************************************************
.
Completion time: 2009-12-18 12:01:43 - machine was rebooted
ComboFix-quarantined-files.txt 2009-12-18 11:01

Pre-Run: 1 874 862 080 bájt szabad
Post-Run: 1 846 358 016 bájt szabad

- - End Of File - - 93816329218608F78DCF9727C5F2C9E0

nemuszaj,,de ha rootkitek lesznek akor kell,nefelly ez ingyenes es nem vizsgallya hogy nincsen legal windows,,aztan ha ir lya hogy avast bevan kapcsolva ignorald es klik ok,

Elindítottam ezt a KittyFix-et.
Azt írja, hogy



Ha jól gondolom, a Microsoft oldaláról akar letölteni egy összetevőt. Azt inkább nem választanám.

na es,ez tisztito program ..csinald amit irtam,

Ez az OTC leszedte az OTM programot is.

nem,mert a combofixed akor regi,,leszedni a geprol,start futatas beirod
combofix /uninstall ok
lefutatod ezt a programot kipucoli a combofix maradekat
OTC
futatod>>klik Cleanup,,a restart utan letoltod ezt a combofixet
combofix
futatod es a logjat ted ide

Elindítottam a ComboFix-et, de frissíteni akarja magát. Engedjem neki a frissítést?

Torold ki mindent amit talalt,,de ahogylatom Rustock rootkit van,ezert ted ide a combofix loglyat,

Na ez eltartott egy darabig.
Itt a log file:



Malwarebytes' Anti-Malware 1.42
Adatbázis verzió: 3383
Windows 5.1.2600 Szervizcsomag 2
Internet Explorer 6.0.2900.2180

2009.12.18. 10:46:15
mbam-log-2009-12-18 (10-46-04).txt

Vizsgálat típusa: Teljes vizsgálat (G:\|)
Átvizsgált objektumok: 140496
Eltelt idő: 42 minute(s), 9 second(s)

Fertőzött memóriafolyamatok: 0
Fertőzött memória modulok: 0
Fertőzött rendszerleíró kulcsok: 0
Fertőzött rendszerleíró értékek: 0
Fertőzött rednszerleíró elemek: 1
Fertőzött mappák: 0
Fertőzött fájlok: 10

Fertőzött memóriafolyamatok:
(Nem észleltem rosszindulatú elemeket)

Fertőzött memória modulok:
(Nem észleltem rosszindulatú elemeket)

Fertőzött rendszerleíró kulcsok:
(Nem észleltem rosszindulatú elemeket)

Fertőzött rendszerleíró értékek:
(Nem észleltem rosszindulatú elemeket)

Fertőzött rednszerleíró elemek:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Fertőzött mappák:
(Nem észleltem rosszindulatú elemeket)

Fertőzött fájlok:
G:\Qoobox\Quarantine\G\Documents and Settings\All Users\Application Data\03971020\03971020.exe.vir (Rogue.SystemSecurity) -> No action taken.
G:\Qoobox\Quarantine\G\Documents and Settings\All Users\Application Data\26037422\26037422.exe.vir (Rogue.SecurityTool) -> No action taken.
G:\Qoobox\Quarantine\G\Documents and Settings\All Users\Application Data\28335122\28335122.exe.vir (Rogue.SystemSecurity) -> No action taken.
G:\Qoobox\Quarantine\G\Documents and Settings\All Users\Application Data\54667937\54667937.exe.vir (Rogue.SecurityTool) -> No action taken.
G:\Qoobox\Quarantine\G\WINDOWS\system32\drivers\f5856b39.sys.vir (Rootkit.Agent) -> No action taken.
G:\WINDOWS\system32\pqrs.tmo (Backdoor.Bredavi) -> No action taken.
G:\WINDOWS\system32\drivers\413f5aea.sys (Rootkit.Rustock) -> No action taken.
G:\WINDOWS\system32\drivers\f65b83c1.sys (Rootkit.Rustock) -> No action taken.
G:\Documents and Settings\FP\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
G:\Documents and Settings\NetworkService\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.


Még nem zártam be a programot!

http://download.bleepingcomputer.com/ma ... -setup.exe
letoltod valaszd ki a magyar nyevet a telepitesnel,,frisiteni,,es csinalj komplet skant,,ha talal valamit nem torolni de ted ide a logot,,nem bezarni a programot,,ha megmondom hogy torolni akor csak torlod,,mert sokszor van hamis jelzese is,

Ennek a programnak az elérhetőségét meg tudod adni?

a wincsester homersekmero egy oriasi virus,,
Tsyga

Kinyitod a Notepadot>Start>futatas>beirod notepad
Es bemasolod a piros textet

Mostan>a notepadon elso full-fajl>ballfelsosarokban>4-sor>lementenni mint....
A txt-hejetfajlnev beteszed eztett>CFScript.txt<alatta bealitod >minden fajl<
legfelull>asztall i<klik gomb letenni.Es mostan megcsinalod eztett:

A combofix maga elindul es lehet hogy restartol es befejezi a scent.Amit majd ad ted ide

integral
ha ot volt ez a Troja akor meg van ot tobb is,,futasd lea Malwarebytes programot,
udv

Most találtam egy oldalon:

http://www.technibble.com/how-to-fix-sv ... mory-leak/



Esetemben ezek szerint mégis volt/van összefüggés a siszyd32 és az svchost terhelése között. Francos trojan siszyd32! Remélem nem lopott el személyes adatokat a gépről.

Sziasztok!

Tegnap este 11-ig ment az svchost.exe ~100%-os terhelése. Aztán kikapcsoltam a gépet.
Ma reggel bekapcsoláskor folytatódott a CPU terhelése.
Aztán felkerekedtem, hogy valamit tenni kell.

Úgy tűnik sikerült mindkét bajt orvosolni, stell mester korábbi útmutatásai alapján kiokoskodtam. Köszönet neki ezúton is.

Az OTM programba beírtam a következőket:



És újraindítás után jó lett!!! HURRÁ! Mindkét nyavaja megszűnt.

Jópár helyen kerestem a neten a megoldást az svchost.exe sokáig tartó CPU terhelésére, de nem találtam rá megoldást. De ez meghozta a várva várt eredményt. Logikusan gondolkozva, ehhez elég ha az OTM progiba a következő kerül:



Lehet, hogy elégséges hozzá csak a [resethosts] és [Reboot] is.
A netes kereséseim alapján úgy vettem észre, sokakat érint a téma. Remélem itt rátalálnak a megoldásra.
Ha volt már róla szó, akkor bocs.

Ez lett az eredmény:

HDD Ther:
http://www.virustotal.com/hu/analisis/a ... 1261095730


tcpip.sys:
http://www.virustotal.com/hu/analisis/f ... 1261095875

Érdekes, a fórum órája 20:52-t mutat. Késik 13 percet.

Rákerestem az svchostra, itt tanyáznak:

\WINDOWS\Prefetch\SVCHOST.EXE-350F672.pf
\WINDOWS\ERDNT\cache\svchost.exe
\WINDOWS\ServicePackFiles\i386\svchost.exe
\WINDOWS\System32\svchost.exe
\WINDOWS\$NtServicePackUninstall$\svchost.exe


A Prefetch és ERDNT könyvtárban lévő nem gyanús?

Egyébként még mindig totál fogja a CPU-t! Idő: 21:05

Sziasztok!

Jó helyen járok?

Két problémám van

1.
A "Startup list"-be bekerült egy siszyd32.exe fájl.
Ezt se manuálisan, se a RegCleaner programmal nem tudom törölni.

2.
A futó alkalmazások között gépbekapcsolástól kezdve az egyik svchost.exe fájl 85-98% között terheli a CPU-t, de jellemzően a 90 fölött. Az ablakban kijelzett többi svchost.exe fájl nem terheli, csak az egyik. Párszor már újraindítottam a gépet, de mindig pörgeti a CPU-t. Meddig csinálja ezt? Mert összességében már kb 15-20 perc fölött jár.

Nem tudom, hogy a 2 probléma összefügg-e egymással.
Remélem, tudtok segíteni. Köszi előre is.

meg aztat,,olvasd mit irok,,Oda irtam letesztelni a Virustotalon,
teszteld le a virustotalon,az linket az reredmenyrol ted ide
c:\utils\HDD_THER\HDD_THER.EXE
c:\windows\system32\drivers\tcpip.sys
na VIRUSTOTALu
http://www.virustotal.com/hu/

Azzal a két fájllal mit csináljak? töröljem ki? (az egyik a winchester hőmérséklet kijelzőm)