Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Mcrsvc.exe


  • Please log in to reply
27 replies to this topic

#1 Mitsos

Mitsos

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:07:49 PM

Posted 09 November 2007 - 03:02 PM

Hello ppl... This is my first topic here...

I have a problem with my pc. Yesterday while i was using my msn, an .exe file named mcrsvc.exe has been sent to me from a contact i was talking with. The file also said smth for foto's so i runned it. It done nothing.. But in a few minutes I sent it to an other contact i was talking with, without doing anything... And my friend (the contact i was talking with) send it too, to his opened msn windows... I deleted from my Recieved Files but i can see it on Ad-Watch Event Log at Running Processes..And also after i sent it to someone else my msn crashed... I runned Spybot and Adaware but still remains in my systems....C:\WINDOWS\System32\mcrsvc.exe.. I also runned combofix.exe but still not deleted.... What can i do???

Here is HJT report...

Scan saved at 9:23:29 PM, on 11/9/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\mcrsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\OTEnet-SAGEM Fast 800\dslmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Security Programms\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
C:\Program Files\MAGIX\Common\Database\bin\fabs.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Logical Disk Browser] mcrsvc.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\OTEnet-SAGEM Fast 800\dslmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{416E23F1-1C59-4E5D-B85E-92CA8696D0E6}: NameServer = 195.170.0.1 195.170.2.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

Αυτό μου έβγαλε το HJT, κι αν με ια ματιά δεν το ωρικα το συγκεκριμένο .exe, στο ad-watch ακομα υπάρχει...Τι να κάνω??? wacko.gif wacko.gif


Any advise is welcome... :thumbsup:

BC AdBot (Login to Remove)

 


#2 DASOS

DASOS

    Malware hunter


  • Security Colleague
  • 1,662 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Greece loutraki 6 km from korinth canal
  • Local time:02:49 AM

Posted 09 November 2007 - 03:08 PM

Ωραία Δημήτρη!

Ακόμα θέλω να δω μια λίστα από την προσθαφαίρεση προγραμμάτων
  • Κάνε διπλό κλικ στο HijackThis,
  • Κάνε κλικ στο "Open the Misc Tools section".
  • Μετά κλικ στο "Open uninstall manager".
  • Μετά κλικ στο κουμπί 'save list'. Θα ανοίξει το σημειωματάριο με ένα αρχείο
  • Ανέβασε το αρχείο αυτό εδώ.

Stelios

#3 Mitsos

Mitsos
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:07:49 PM

Posted 09 November 2007 - 03:11 PM

Ad-Aware SE Professional
Adobe Reader 7.0.5
ArcSoft PhotoStudio 5.5
ASUS Gamer OSD
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
ATI Parental Control & Encoder
AudibleManager
AVIVO
Azureus Vuze
BioShock
Canon MP Navigator 2.0
Canon MP170
Canon Utilities Easy-PhotoPrint
Catalyst Control Center - Branding
Company of Heroes
Creative MediaSource 5
Creative Removable Disk Manager
Creative System Information
Creative ZEN Vision W
DAEMON Tools
Earthsim
Easy-WebPrint
Firebird SQL Server - MAGIX Edition 2.0.0.1 (CA)
Free Games Offer, Desktop Shortcut
Google Earth
Guitar Pro 5.2
Hamachi 1.0.2.3
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
IsoBuster 2.2
Java™ 6 Update 3
JMB36X Raid Configurer
Lineage II
MAGIX MP3 Maker 12 deluxe 8.1.1.114 (CA)
MAGIX Photo Manager 2007 4.1.1.77 (US)
Microsoft .NET Framework 2.0
Microsoft Office Access MUI (English) 2007
Microsoft Office Access Setup Metadata MUI (English) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (English) 2007
Microsoft Office Groove MUI (English) 2007
Microsoft Office Groove Setup Metadata MUI (English) 2007
Microsoft Office InfoPath MUI (English) 2007
Microsoft Office OneNote MUI (English) 2007
Microsoft Office Outlook MUI (English) 2007
Microsoft Office PowerPoint MUI (English) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (English) 2007
Microsoft Office Publisher MUI (English) 2007
Microsoft Office Shared MUI (English) 2007
Microsoft Office Shared Setup Metadata MUI (English) 2007
Microsoft Office Word MUI (English) 2007
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (2.0.0.9)
NVIDIA Drivers
NVIDIA ForceWare Network Access Manager
OmniPage SE
OTEnet-SAGEM Fast 800
PowerISO
Pro Evolution Soccer 2008
Shockwave
Spybot - Search & Destroy 1.4
VideoLAN VLC media player 0.8.6c
Windows Driver Package - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)
Windows Installer 3.1 (KB893803)
Windows Live Messenger
Windows Media Format Runtime
Windows Media Player 10
Windows Media Player 10 Hotfix - KB895316
WinRAR archiver
XviD MPEG-4 Video Codec

#4 DASOS

DASOS

    Malware hunter


  • Security Colleague
  • 1,662 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Greece loutraki 6 km from korinth canal
  • Local time:02:49 AM

Posted 10 November 2007 - 04:24 AM

Γεια σου Δημήτρη

Μιας και έχεις ήδη τρέξει το combofix τρεξτο πάλι και ανέβασε το log που θα σου βγάλει να δω μήπως χρειαστεί να βάλω και κάτι άλλο για φτιάξιμο.

Βλέπω ότι δεν έχεις antivirus ούτε firewall μην βάλεις ακόμα, αλλά μείνε μακριά από το internet για να μην γεμίσεις και άλλους ιούς. (Μόνον για να έρχεσαι εδώ).

Προσοχή! πριν τρέξεις το combofix κλείσε ότι προγράμματα έχεις ανοιχτά και μην δουλεύεις καθόλου το ποντίκι.



Stelios

#5 Mitsos

Mitsos
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:07:49 PM

Posted 10 November 2007 - 09:03 AM

ComboFix 07-11-08.1 - Mitsos 2007-11-10 15:59:25.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1590 [GMT 2:00]
Running from: C:\Documents and Settings\Mitsos\Desktop\ComboFix.exe
.

((((((((((((((((((((((((( Files Created from 2007-10-10 to 2007-11-10 )))))))))))))))))))))))))))))))
.

2007-11-09 20:22 <DIR> d-------- C:\Documents and Settings\Mitsos\.housecall6.6
2007-11-09 16:45 <DIR> d-------- C:\Program Files\Trend Micro
2007-11-09 13:06 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-09 12:26 <DIR> d-------- C:\Documents and Settings\Mitsos\Application Data\Lavasoft
2007-11-09 02:35 10,752 -r-hs---- C:\WINDOWS\system32\mcrsvc.exe
2007-11-06 16:57 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2007-11-06 16:57 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2007-11-06 16:57 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2007-11-06 00:35 <DIR> d-------- C:\Program Files\Hamachi
2007-11-06 00:35 <DIR> d-------- C:\Documents and Settings\Mitsos\Application Data\Hamachi
2007-11-06 00:35 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-11-05 04:13 <DIR> d-------- C:\Program Files\Google
2007-11-04 20:30 <DIR> d-------- C:\Program Files\Smart Projects
2007-11-03 17:37 <DIR> d-------- C:\WINDOWS\Sun
2007-11-02 14:07 24,576 --------- C:\WINDOWS\system32\msxml3a.dll
2007-11-02 14:06 <DIR> d-------- C:\Program Files\Audible
2007-11-02 13:55 <DIR> d--h----- C:\Program Files\Creative Installation Information
2007-11-02 13:55 <DIR> d-------- C:\Program Files\Common Files\Creative
2007-11-02 13:55 44,032 --------- C:\WINDOWS\system32\CTSVCCDA.EXE
2007-11-02 13:55 25,088 --------- C:\WINDOWS\system32\CTSVCCTL.EXE
2007-10-30 21:40 <DIR> d-------- C:\Documents and Settings\Mitsos\Application Data\Creative
2007-10-30 19:47 41,984 --------- C:\WINDOWS\Ctregrun.exe
2007-10-30 19:45 <DIR> d-------- C:\Program Files\Creative
2007-10-17 11:35 <DIR> d-------- C:\Program Files\MSBuild
2007-10-17 11:35 <DIR> d-------- C:\Program Files\Microsoft Works
2007-10-17 11:35 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2007-10-17 11:34 <DIR> d-------- C:\Program Files\Microsoft.NET
2007-10-17 11:33 <DIR> d-------- C:\Program Files\Microsoft Visual Studio 8
2007-10-17 11:32 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-10-17 11:32 <DIR> dr-h----- C:\MSOCache
2007-10-17 11:32 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2007-10-17 02:59 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\FREEDB
2007-10-17 01:29 <DIR> d-------- C:\Program Files\Guitar Pro 5
2007-10-17 01:22 <DIR> d-------- C:\Program Files\PowerISO
2007-10-16 17:17 <DIR> d-------- C:\Documents and Settings\Mitsos\Application Data\MAGIX
2007-10-16 17:17 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avg7
2007-10-16 17:15 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-10-16 17:13 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\MAGIX
2007-10-16 17:13 1,233,920 --a------ C:\WINDOWS\system32\msxml4.dll
2007-10-16 17:13 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2007-10-16 17:13 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2007-10-16 17:12 420,240 --a------ C:\WINDOWS\system32\mpg4c32.dll
2007-10-16 17:12 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll
2007-10-16 17:11 <DIR> d-------- C:\Program Files\MAGIX
2007-10-16 17:11 <DIR> d-------- C:\Program Files\Common Files\MAGIX Shared
2007-10-16 17:10 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2007-10-16 17:10 663,552 --a------ C:\WINDOWS\system32\mgxoschk.dll
2007-10-15 20:52 <DIR> d-------- C:\Documents and Settings\Mitsos\Application Data\Canon
2007-10-15 20:52 <DIR> d--h----- C:\Documents and Settings\All Users\Application Data\CanonBJ
2007-10-15 20:52 140,288 --a------ C:\WINDOWS\system32\CNMLM7J.DLL
2007-10-15 20:52 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-10-15 20:52 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2007-10-15 20:52 8,704 --a------ C:\WINDOWS\system32\CNMVS7J.DLL
2007-10-15 20:51 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-10-15 20:51 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2007-10-15 20:49 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2007-10-15 20:49 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-10-15 20:44 <DIR> d-------- C:\Program Files\ScanSoft
2007-10-15 20:44 <DIR> d-------- C:\Program Files\Common Files\ScanSoft Shared
2007-10-15 20:44 <DIR> d-------- C:\Documents and Settings\Mitsos\Application Data\ScanSoft
2007-10-15 20:44 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SSScanWizard
2007-10-15 20:44 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SSScanAppDataDir
2007-10-15 20:43 <DIR> d-------- C:\Program Files\ArcSoft
2007-10-15 20:43 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2007-10-15 20:41 <DIR> d--h----- C:\WINDOWS\system32\CanonMP Uninstaller Information
2007-10-15 20:41 <DIR> d-------- C:\WINDOWS\StartHtmico
2007-10-15 20:41 221,184 --a------ C:\WINDOWS\system32\CNCC170.DLL
2007-10-15 20:41 139,264 --a------ C:\WINDOWS\system32\CNCL170.DLL
2007-10-15 20:41 69,632 --a------ C:\WINDOWS\system32\CNCI170.DLL
2007-10-15 20:41 49,152 --a------ C:\WINDOWS\system32\cncisco.dll
2007-10-15 20:40 <DIR> d-------- C:\Program Files\Canon
2007-10-15 01:32 <DIR> d-------- C:\Program Files\D-Tools
2007-10-15 01:32 155,136 --a------ C:\WINDOWS\system32\drivers\d347bus.sys
2007-10-15 01:32 5,248 --a------ C:\WINDOWS\system32\drivers\d347prt.sys
2007-10-15 01:31 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-10-14 23:53 <DIR> d-------- C:\Program Files\VideoLAN
2007-10-14 23:53 <DIR> d-------- C:\Documents and Settings\Mitsos\Application Data\vlc
2007-10-14 16:25 <DIR> dr-h----- C:\Documents and Settings\Mitsos\Application Data\SecuROM
2007-10-14 16:25 <DIR> d-------- C:\Documents and Settings\Mitsos\Application Data\Bioshock
2007-10-14 16:06 108,144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-10-14 15:56 <DIR> d-------- C:\Documents and Settings\Mitsos\Application Data\InstallShield
2007-10-14 15:30 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2007-10-14 14:34 <DIR> d-------- C:\Documents and Settings\Mitsos\Application Data\AdobeUM
2007-10-14 14:32 <DIR> d-------- C:\Program Files\Common Files\Adobe
2007-10-13 20:40 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-10-13 20:22 <DIR> d-------- C:\Documents and Settings\Mitsos\Application Data\Azureus
2007-10-13 20:22 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
2007-10-13 20:21 <DIR> d-------- C:\Program Files\Azureus
2007-10-13 20:12 <DIR> d-------- C:\Program Files\Java
2007-10-13 20:04 <DIR> d-------- C:\Program Files\Common Files\Java
2007-10-13 15:58 <DIR> d-------- C:\swsetup
2007-10-13 15:35 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Earthsim
2007-10-13 15:22 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\ATI
2007-10-13 15:22 0 --a------ C:\WINDOWS\ativpsrm.bin
2007-10-13 15:16 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-10-13 15:08 <DIR> dr------- C:\WINDOWS\AsDmiHtm
2007-10-13 14:39 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys
2007-10-13 14:39 1,286 --a------ C:\WINDOWS\mozver.dat
2007-10-13 14:33 <DIR> d-------- C:\Program Files\GAMES
2007-10-13 14:15 <DIR> d-------- C:\Program Files\Security Programms

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-08 18:58 12,464 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-05 01:23 16 ---ha-w C:\Program Files\mxfilerelatedcache.mxc2
2007-11-02 14:29 196,582 ----a-w C:\WINDOWS\system32\drivers\aAsmedia.bin
2007-10-14 22:13 196,653 ----a-w C:\WINDOWS\system32\drivers\aVivid.bin
2007-10-14 22:10 196,582 ----a-w C:\WINDOWS\system32\drivers\aStandard.bin
2007-10-12 07:30 23 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2007-09-29 05:46 47,376 ----a-w C:\WINDOWS\system32\drivers\ativvpxx.vp
2007-09-29 03:21 9,854,976 ----a-w C:\WINDOWS\system32\atioglx2.dll
2007-09-29 03:06 268,800 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-09-29 03:05 2,456,064 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-09-29 02:58 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2007-09-29 02:58 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2007-09-29 02:58 143,360 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2007-09-29 02:58 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2007-09-29 02:57 122,880 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2007-09-29 02:56 483,328 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2007-09-29 02:55 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2007-09-29 02:47 3,130,720 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-09-29 02:47 172,032 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2007-09-29 02:36 1,593,600 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-09-29 02:22 376,832 ----a-w C:\WINDOWS\system32\atikvmag.dll
2007-09-29 02:20 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2007-09-29 02:19 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2007-09-29 02:14 499,712 ----a-w C:\WINDOWS\system32\ati2cqag.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 06:12]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 14:44]
"36X Raid Configurer"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-11-16 11:05]
"ASUSGamerOSD"="C:\Program Files\ASUS\GamerOSD\GamerOSD.exe" [2007-07-12 09:03]
"itype"="C:\Program Files\Microsoft IntelliType Pro\itype.exe" [2006-11-22 03:08]
"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2007-02-06 01:52]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"OpwareSE2"="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 10:00]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 23:47]
"Logical Disk Browser"="mcrsvc.exe" [2007-11-09 00:34 C:\WINDOWS\system32\mcrsvc.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:56]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:54]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26]
DSLMON.lnk - C:\Program Files\SAGEM\OTEnet-SAGEM Fast 800\dslmon.exe [2007-10-12 09:30:54]

R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
S3 UPnPService;UPnPService;C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\start.exe /checksection

.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-10 16:00:33
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-11-10 16:01:18
C:\ComboFix2.txt ... 2007-11-09 13:20
C:\ComboFix3.txt ... 2007-11-09 13:10
.
--- E O F ---

#6 DASOS

DASOS

    Malware hunter


  • Security Colleague
  • 1,662 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Greece loutraki 6 km from korinth canal
  • Local time:02:49 AM

Posted 10 November 2007 - 01:29 PM

Γεια σου Δημήτρη!!

Αυτός είναι νέος ιός και πρέπει να τον αναλύσουμε πριν τον σβήσουμε, για να ενημερώσουμε και τα antivirus που κυκλοφορούν.

Κατέβασε αυτό το πρόγραμμα,
submit files packer

Μπλεδισε με δεξί κλικ το αρχείο πιο κάτω, μετά δεξί κλικ αντιγραφή,

C:\WINDOWS\system32\mcrsvc.exe

Μετά ξεκίνα το πρόγραμμα file packer κάνε δεξί κλικ στο άσπρο κουτάκι και επικόλληση.
Μετά πάτα το κουμπί Continue
Θα δημιουργηθεί ένα αρχείο στην επιφάνεια εργασίας και ένα μικρό αρχείο με το όνομα requested-files (ημερομηνία) .cab
Μετονόμασε το αρχείο αυτό σε mitsos. cab
Μετά πήγαινε εδώ:
http://www.bleepingcomputer.com/submit-malware.php
Γράψε τα απαιτούμενα στοιχεία και με το κουμπί browse βρες το αρχείο mitsos. cab στην επιφάνεια εργασίας διπλό κλικ επάνω του, και πατά το κουμπί Send File
=====

Μας το ζήτησαν και από αλλού το αρχείο. :thumbsup:

Μετά πήγαινε εδώ:
The Spy Killer Forum

Πάτα στο (new topic)
Βάλε όνομα mitsos / email και για (topic title) βάλε C:\WINDOWS\system32\mcrsvc.exe
Βάλε αυτό το λίνκ: http://www.bleepingcomputer.com/forums/ind...st&p=657864
Μετά κάνε κλικ στο κουμπί browse και βρες την θέση που είναι αυτό το αρχείο στο:

C:\WINDOWS\system32\mcrsvc.exe

Πάτα διπλό κλικ επάνω του.
Και μετά κλικ Post.
=====

Τώρα μπορούμε να το σβήσουμε!!

Open notepad μόνον το notepad όχι κάτι άλλο and copy/paste the text in the quotebox below into it:

http://www.bleepingcomputer.com/forums/ind...st&p=658337

Collect::
C:\WINDOWS\system32\mcrsvc.exe




Save this as "CFScript"
Posted Image

Referring to the picture above, drag CFScript into ComboFix.exe
Then post the resultant log.
This will start ComboFix again. After reboot, (in case it asks to reboot), post the contents of Combofix.txt in your next reply together with a new HijackThis log

Note:
Do not mouseclick combofix's window whilst it's running. That may cause it to stall

When CF finishes running, the ComboFix log will open along with a message box--do not be alarmed. With the above script, ComboFix will capture a file to submit for analysis.

Ensure you are connected to the internet and click OK on the message box. A browser will open. Simply follow the instructions to copy/paste/send the requested file.

Πες μου αν πήγαν όλα καλά!

Στέλιος

#7 Mitsos

Mitsos
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:07:49 PM

Posted 10 November 2007 - 02:34 PM

Στέλιο, κόλλησα στο Spykiller.... :blink:

Έκανα register και πάτησα να κάνς new topic. Για subject έβαλα C:\WINDOWS\system32\mcrsvc.exe, και μετά πάτησα browse...
Τώρα, αν εννοείς να πας να βρω το αρχείο mcrsvc.exe στο C:\WINDOWS\system32 δέν μπορώ!! Δέν το βρίσκω...... :thumbsup:

#8 DASOS

DASOS

    Malware hunter


  • Security Colleague
  • 1,662 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Greece loutraki 6 km from korinth canal
  • Local time:02:49 AM

Posted 10 November 2007 - 02:37 PM

Θα είναι κρυφό αρχείο! Κάνε αυτό και πες μου.

Πρέπει να κάνεις φανερά τα κρυφά αρχεία και φακέλους.
  • Διπλό κλικ στο υπολογιστής μου.
  • Μετά κάνε κλικ, επάνω εκεί που λέει εργαλεία.
  • Μετά κλικ στο επιλογές φακέλων,
  • Μετά κλικ στο προβολή,
  • Μετά τσεκάρισε εκεί που λέει: εμφάνιση κρυφών αρχείων και φακέλων.
  • Μετά ξετσέκαρε εκεί που λέει: απόκρυψη επεκτάσεων για γνωστούς τύπους αρχείων.
  • Το ίδιο, ξετσέκαρε εκεί που λέει: απόκρυψη προστατευμένων αρχείων λειτουργικού συστήματος (προτείνεται)
  • Μετά κλικ εφαρμογή.
  • Μετά κλικ ok.


#9 Mitsos

Mitsos
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:07:49 PM

Posted 10 November 2007 - 02:42 PM

Και κάτι ακόμη..
Το notepad θα είναι έτσι όπωσ στο στέλνω??

Attached File  CFScript.txt   11.91KB   18 downloads

#10 DASOS

DASOS

    Malware hunter


  • Security Colleague
  • 1,662 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Greece loutraki 6 km from korinth canal
  • Local time:02:49 AM

Posted 10 November 2007 - 02:46 PM

Στο θα βάλεις αυτά

http://www.bleepingcomputer.com/forums/ind...st&p=658337

Collect::
C:\WINDOWS\system32\mcrsvc.exe



χωρις το quote φυσικα!

#11 Mitsos

Mitsos
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:07:49 PM

Posted 10 November 2007 - 02:50 PM

Λοιπόν, οκ το βρήκα και τελείωσα το post στο thespykiller... Τώρα για να το σβήσω κάνω το notepad έτσι όπως μου είπες δηλ γράφω μέσα:

http://www.bleepingcomputer.com/forums/ind...st&p=658337

Collect::
C:\WINDOWS\system32\mcrsvc.exe

σωστά?? Και το αποθηκεύω ως CFScript και μετά το "σέρνω" στο comboFIX....

#12 Mitsos

Mitsos
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:07:49 PM

Posted 10 November 2007 - 02:52 PM

Ton io ayto ton kollise kai i aderfi mou....Tha kanw tin idia diadikasia ekei???
Dld dimiourgw CFScript kai meta drag sto ComboFix (xwris na to trexw prwta i to trexw kai meta to kanw drag..??)

#13 DASOS

DASOS

    Malware hunter


  • Security Colleague
  • 1,662 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Greece loutraki 6 km from korinth canal
  • Local time:02:49 AM

Posted 10 November 2007 - 02:53 PM

μην αφησης καθολου κενο στο επανω μερος του notepad!

εισαι πρωτος :thumbsup:

#14 Mitsos

Mitsos
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:07:49 PM

Posted 10 November 2007 - 02:54 PM

Πρώτος που τον κόλλησα προφανώς σίγουρα...:thumbsup:)

#15 Mitsos

Mitsos
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:07:49 PM

Posted 10 November 2007 - 03:52 PM

Στέλιο τελικά η αδερφή μου δεν το κόλλησε!!Οπότε είμαστε οκ!! :) :wacko:

Σε ευχαριστώ πααρα πολύ!! Να σαι καλά!!

Πριν που είπες οτι δεν εχω firewall kai antivirus..τι μου προτείνεις να βάλω???

Να σαι καλα και πάλι!!
:) :) :thumbsup: :blink:




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users