Бих искал, някой запознат с работата с програмата a-squared HiJackFree да ми помогне да разгадая лога от опцията вградена в самата програма "Онлайн Анализ'.Мисля, че молбата ми за помощ да открия дали съм заразен или хакнат е точно за тази тема. Лошото е, че в момента не мога да покажа шот- чак довечера....

Въпроса е в това, че в самата програма не откривам проблеми при анализите(подчертава всички важни обекти в зелено, и светло зелено- неопасни).

но при подробния онлайн анализ ми показа доста съмнителни резултати (с въпросителни и в червно):

-Пише примерно за обекта csrss.exe - "good 2/bad 2" и тези лошите са някакви вируси.

Показа подобни резултати почти за всичките ми важни системни процеси.

Според това, което показва би трябвало заразите физически да не се съберат в компа (да почнат да излизат от кутията)

Благодаря предварително на отзовалите се.

П.П. Нямам никакви (видими) симптоми на зараза,освен че нета ми прекъсва през 30 минути (преди няма и месец A-Squared 4 Free ми намери Virut, но тогава излезе че е фалшива тревога;Комодо defence + ми блокира Shellcode injection чрез explorer.exe), просто станах по-параноичен, и този анализ не ме кара да се успокоя......

П.П2 Реших да пробвам версията standalone на a-squared HiJackFree на служебния компютър.

Подобни резултати:

Разбрах (по-добре късно отколкото никога), че това са примери за използване на системните файлове от зловредни приложения, и местата където може да се намират, за разлика от оригиналните, а не че точно моя компютър е заразен с тях.

извинете ме за прибъразността ми....

Редактирано 14 април 200917 г. от stefanvalja (преглед на промените)

Не съм виждал българин заразен с този вирус досега ... за жалост се лепна при мен ... решил съм да споделя защото много хора в интернет не са намерили начин да се отърват.

Нов вирус разработен доколкото четах като хибрид наполовина червей / наполовина стелт вирус ...

Идеята му е ... reader_s.exe влиза и копира всички svhost.exe + service.exe като процеси за да бъде трудно засечен и за да може да се разпространява ... генерира тонове темпорери файлове който след премахване се генерират отново и отново ... + това създава два сервиза в System Services който тъй и не разбрах какво правят но явно са били намесени в цялата схема . + Това заразява абсолютно всеки един файл .ехе и тем подобни на компютъра ви независимо къде се намира било то C,D,E с вирус PariteB и SaliteSAD ... което прави самия reader_s още по-труден за откриване.Работих за премахването му само в Safe Mode,защото иначе е уникално бавно всичко , сърфирането , отварянето на каквито и да е папки и приложения , нефункционирането на почти нито 1 програма ....

Антивирусни програми - безполезни :

Не може да бъде изтрит от антивирусна - пробвани (Кашперски,Нод,Панда,Нортън,Ейвиджи,Аваст и др. по непознати).Не ме разбирайте погрешно антивирусна намира вируси ... но всички те са просто заразени файлове на вашият компютър който просто биват почиствани и евентуално пак заразени докато не се спре самият reader_s ... Антивирусните намират самият reader_s след което когато бъде изтрит се възтановява сам и на практика неразрушим от всяка една от по горе описаните.

Антишпионски и malware програми - неефективни :

Пробвано е да се премахне с : - (SuperAnti Spyware,Malwarebytes,Spybot S&D,spyware remover и други неизвестни)

Ефектът не беше по различен от този на антивирусните , подобрение имаше само в това че спря генерацията на тонове излишни темпорери файлове... иначе нямаше нищо по различно

И идва финалният удър ComboFix.exe - който наполовина премахва вируса

Лично аз си мислех че ще е поредната издънка , но ме изненада когато пуснах компютъра и излязах от Safe Mode видях че сервизите ги няма и вече не си генерира тонове боклуци в C , но инфекцията продължаваше да се разпространява по целия компютър,а която и антивирусна да сложех полудяваше от чистене на 5-10 файла в секунда.

Изненадата

Дойде и единственото,което остава - а именно Формата - ... Форматирах C настроих всичко и си казах край мамка му свърши се ... инсталирах антивирусна,тя почисти всичките ми файлове от предишната инфекция и се спря ... , но до момента в който не отворих папка в E,за да гледам филм.Всичко се преповтори... отново повърните и всичко (забележете не съм пуснал интернета още)... и се чудя какво става как може един вирус да оцелее формат ... след формата скан на антивирусна и антиспайуеър - невъзможно ...

Сложих само драйверите за нета за да потърся отговор от хора които вече са били заразени , защото вече бях тотално отчаян и видях че единсвеният начин е или да се човъркаш с какво ли не докато не полудееш или Формат на целия Харддиск ...

Не можех просто така да форматирам всичко и реших да преинсталирам и преди да се е инфектирало всичко да пробвам да премахна въпросната гадория , след 3 преинстала и формата мъки най-накрая с помоща на премахването на 28 регистъра(с regedit) , изтриване на самия файл(на 4 места от C,D,E) и тотално почистване на всичко с антивирусна (C,D,E с NOD Antivirus 4 ) , combofix си отдъхнах защото се бях изнервил... а и отново преинсталирах след това защото пораженията бяха големи , но след последния формат всичко се нареди.

Надявам се ако някой се зарази или се е заразил да съм помогнал.

Редактирано 15 април 200917 г. от prodigypm (преглед на промените)

Това е много дълго за поставяне в бисерите, но без съмнение мястото му е там.

A new variant of the win32/Virut infection is popping up, and many people have had a hard time removing it completely, and have been resorting to format/rebuilds.

The virus, reader_s.exe , resides in C:\documents and settings\USERNAME\ as well as c:\windows\system32\

It prevents the machine from running executables, and basically turns the machine into a glorified, lit-up brick.

I performed the following tasks to clean the machine, and from my inspection it appears to be resolved.

1) Download the Virut removal tool and put it on a flash drive (note that both files must be copied , .exe and .nt)

http://www.avg-antivirus.com.au/avg_virus_removal.htm

2) Boot into ERD with usb drive connected (or some type of PE disc)

3) From there, delete the reader_s.exe files, as well as the TEMP folders (c:\documents and settings\user, windows, etc)

4) check the registry for startup entries (local user, current user, software > microsoft > windows > currentversion> run) and delete htem.

5) Delete any items in C:\ and c:\windows\system32\ that look suspicious (a bunch of tmp, exe files) *** NOTE most of them have very recent DATE MODIFIED dates. (This is just precautionary, but still good to do, and only takes a minute)

6) Run the RMVIRUT.exe tool from within ERD's command prompt ( rmvirut c: will check the c: drive only). This tool will scan your DLL and EXE files and repair the ones that are corrupted. (Can take 1-2 hours to run)

7) Log back into Windows, check msconfig and remove any calls to reader_s.exe, and check c:\windows\system32\ and c:\documents and settings\username\ for the file, it should be gone.

8) Lastly, update the AV defs and run a full scan just to ensure the machine is clean.

9) Upon reboot, the machine worked fine, I could open executables, and connect to the internet. The machine did not show any symptoms that the malicious software was resurrected.

Редактирано 15 април 200917 г. от Ken (преглед на промените)

1. Срещали сме българи заразени с него:

http://www.kaldata.com/forums/index.php?sh...amp;hl=reader_s

http://www.kaldata.com/forums/index.php?sh...p;#entry1288631

2. Combofix не е за начинаещи и освен това, той е по-полезен след разчитането на лог файла и създаване на допълнителен скрипт с инструкции за да може да си свърши работата.

3. За Virut лично аз препоръчвам използването на Avira Rescue CD, repair на инсталацията на Windows и преинсталирането на всички програми...След това инсталирането и обновяването на качествен антивирусен софтуер, инсталиране на всички актуализации за Windows, почистване на временните файлове и кеша...

http://www.kaldata.com/forums/index.php?s=...t&p=1288926

4. От форума на MBAM често препоръчват и направо формат (прави се бекъп на файловете с изключение на тези с разширения: .exe/.scr/.htm/.html/.xml/.zip/.rar).

http://www.malwarebytes.org/forums/index.p...ite=%2Breader_s

5. Обсъждане на Virut:

http://www.malwarebytes.org/forums/index.p...=11158&st=0

http://209.85.129.132/search?q=cache:3cA7C...=clnk&gl=bg

Това е много дълго за поставяне в бисерите, но без съмнение мястото му е там.

ами мен така съм се чудил така съм се справил така го описвам и ми отне много време бисер или не това е от мен

Имам един ужасен проблем със вирус , значи вече за 2-ри път си преинсталирам компа заради него и отнова ми се появи няма и 2 дни след последното преинсталиране, дори и антивирусната ми програма неможе да го спре, покава, че го спира но всъщност не го прави ето и пик със въпросният вирус !! http://store.picbg.net/pubpic/8C/06/a6164902f6718c06.JPG

Значи има ли някой , който е имал същият проблем със този вирус, или някой който знае как се премахва вирусът, той е мн. гаден и ми качва натоварването на РАМТА на компютъра в "task manager" , а не е от някаква програма която да ми гълта от рамта, рамта ми е 512 а я качва до 900 "PF Usage"

PS : Пробвах и със няколко програми за премахване на вируси (от сайта които сте предложили) но и със тях не става..

Публикувайте лог файл от HiJackThis. Логът го публикувайте в тази тема:

http://www.kaldata.com/forums/index.php?sh...0&start=240

Инструкции как става работата има в първия пост от темата.

NOD32 a variant of Win32/Wigon.trojan съответства на Symantec -Trojan.Pandex , Kaspersky- Rootkit.Win32.Agent.atp, AntiVir - Rkit/Agent.atp.19 , BitDefender- Rootkit.Agent.YZ, Ikarus- Virus.Rootkit.Win32.Agent.atp, DrWeb- BackDoor.Bulknet.217 , Sophos -Troj/Pushu-Gen, Panda - Trj/Downloader.MDW. Те едва ли ще се церемонят с този вредител - а аз Ви пожелавам успех с методите след Нод32. Дано съм съдействал - нямам за цел да дразня пак Fixer. Информацията е от специализирани портали - да не съм луд всеки път да откривам Америка и да ходя по мъките... Научете се да търсите и намирате... Поздрави

Имам проблем с троянски кон в "47oupcdc.zip"

NOD32 го засича но не може да го изтрие

C Win Explorer и My Computer не го виждам

да го изтрия. Не че ми пречи тъй като е в

архив , но при всяка сканировка с НОДА ми

излиза. ХЕЛП

Прикачете файла в:

http://www.4storing.com

И пуснете линк за изтегляне в тази тема. След, което ще Ви помогна.

антивирусна за Троянския кон ПООмОЩ

антивирусна за Троянския кон ПООмОЩ

Малко си объркал раздела....

Сканирай със SUPERAntiSpyware Free, Malwarebytes' Anti-Malware и Dr.WEB CureIt! 5.00.0.

За SUPERAntiSpyware:

* стартирай програмата

* кликни бутонa Check For Updates

* след това избери Scan Your Computer

* вляво избери само дял C:, а вдясно избери Perform Complete Scan

* кликни Next и изчакай да сканира

* кликни Next, за да се премахнат намерените паразити и след това натисни Finish

* кликни бутона Preferences => придвижи се до Statistics/Logs избери лог файла и натисни бутона View Log

* копирай съдържанието му тук.

За Malwarebytes' Anti-Malware:

* стартирай програмата

* придвижи се до секцията Update и натисни Check for Updates

* след това отиди до категорията Scanner и избери Perform quick scan и кликни бутона Scan

* като приключи сканирането кликни върху бутон Remove Selected (или ако ти е на български премахни избраните)

* ще се появи текстов файл, копирай съдържанието му в следващия си отговор.

За Dr.Web CureIt:

*стартирай програмата

*Натисни клавиша F9 и направи следните настройки:

-В категория "Проверка" => придвижи се до "Списък с изключени файлове".

Маркирай ги всичките и избери "Изтрий". Потвърди с "Apply".

-Придвижи се до категорията "Действия". Приложи настройките от снимката и натисни "Apply".

Пусни пълна проверка на системата си.

След това следвай препоръките от тази тема и публикувай лог от HijackThis в нея:

Редактирано 22 април 200917 г. от B-boy[StyLe] (преглед на промените)

ComboFix 09-04-24.01 - fgtv2 04.2009 г. 8:32.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.0.1251.359.1033.18.191.85 [GMT 3:00]

Running from: c:\documents and settings\fgtv2\desktop\combofix.exe

Command switches used :: /killall

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\drivers\sysdrv32.sys

c:\windows\system32\sysmgr.exe

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_SYSDRV32

-------\Service_sysdrv32

((((((((((((((((((((((((( Files Created from 2009-05-24 to 2009-4-24 )))))))))))))))))))))))))))))))

.

2009-04-24 05:43 . 2009-04-24 05:43 73728 ----a-w c:\windows\system32\14.scr

2009-04-24 05:36 . 2009-04-24 05:36 76939 ----a-w c:\windows\system32\23.scr

2009-04-24 05:35 . 2009-04-24 05:35 76939 ----a-w c:\windows\system32\58.scr

2009-04-24 05:34 . 2009-04-24 05:34 76939 ----a-w c:\windows\system32\52.scr

2009-04-24 05:33 . 2009-04-24 05:33 76939 ----a-w c:\windows\system32\33.scr

2009-04-24 05:33 . 2009-04-24 05:33 76939 ----a-w c:\windows\system32\88.scr

2009-04-24 05:33 . 2009-04-24 05:33 76939 ----a-w c:\windows\system32\82.scr

2009-04-24 05:33 . 2009-04-24 05:33 76939 ----a-w c:\windows\system32\27.scr

2009-04-24 05:32 . 2009-04-24 05:32 76939 ----a-w c:\windows\system32\17.scr

2009-04-24 05:32 . 2009-04-24 05:32 76939 ----a-w c:\windows\system32\18.scr

2009-04-24 05:29 . 2009-04-24 05:29 76939 ----a-w c:\windows\system32\42.scr

2009-04-24 05:29 . 2009-04-24 05:29 76939 ----a-w c:\windows\system32\13.scr

2009-04-24 05:28 . 2009-04-24 05:28 76939 ----a-w c:\windows\system32\35.scr

2009-04-24 05:27 . 2009-04-24 05:27 76939 ----a-w c:\windows\system32\62.scr

2009-04-24 05:27 . 2009-04-24 05:27 76939 ----a-w c:\windows\system32\00.scr

2009-04-24 05:27 . 2009-04-24 05:27 42499 ------w c:\windows\system\msile.exe

2009-04-23 16:12 . 2009-04-23 16:12 76939 ------w c:\windows\system\netmon.exe

2009-04-23 16:10 . 2009-04-23 16:10 -------- d-----w c:\documents and settings\All Users\Application Data\SITEguard

2009-04-23 16:04 . 2009-04-23 16:04 -------- d-----w c:\documents and settings\fgtv2\Local Settings\Application Data\Help

2009-04-23 16:01 . 2009-04-23 16:14 -------- d-----w c:\documents and settings\All Users\Application Data\STOPzilla!

2009-04-23 16:00 . 2009-04-23 16:02 -------- d-----w c:\documents and settings\All Users\Application Data\SecTaskMan

2009-04-23 15:53 . 2009-04-23 15:53 76939 ----a-w c:\windows\system32\74.scr

2009-04-23 15:52 . 2009-04-23 15:52 76939 ------w c:\windows\system32\81.scr

2009-04-23 15:26 . 2009-04-23 15:26 76939 ----a-w c:\windows\system32\77.scr

2009-04-23 15:10 . 2009-04-24 05:31 76939 ----a-w c:\windows\system32\75.scr

2009-04-23 15:07 . 2009-04-23 15:53 76939 ----a-w c:\windows\system32\07.scr

2009-04-23 13:32 . 2009-04-23 15:43 76939 ----a-w c:\windows\system32\68.scr

2009-04-23 13:26 . 2009-04-24 05:29 76939 ----a-w c:\windows\system32\25.scr

2009-04-23 13:24 . 2009-04-23 15:43 76939 ----a-w c:\windows\system32\86.scr

2009-04-23 13:18 . 2009-04-23 15:53 76939 ----a-w c:\windows\system32\20.scr

2009-04-23 13:14 . 2009-04-24 05:33 76939 ----a-w c:\windows\system32\80.scr

2009-04-23 13:13 . 2009-04-23 15:37 76939 ----a-w c:\windows\system32\15.scr

2009-04-23 12:35 . 2008-12-11 05:38 159600 ----a-w c:\windows\system32\drivers\pctgntdi.sys

2009-04-23 12:34 . 2009-04-03 08:18 130936 ----a-w c:\windows\system32\drivers\PCTCore.sys

2009-04-23 12:34 . 2008-12-18 09:16 73840 ----a-w c:\windows\system32\drivers\PCTAppEvent.sys

2009-04-23 12:34 . 2008-12-10 08:36 64392 ----a-w c:\windows\system32\drivers\pctplsg.sys

2009-04-23 12:33 . 2009-04-23 12:33 -------- d-----w c:\documents and settings\fgtv2\Application Data\PC Tools

2009-04-23 12:33 . 2009-04-23 12:33 -------- d-----w c:\documents and settings\All Users\Application Data\PC Tools

2009-04-23 11:53 . 2009-04-23 11:53 102502 ----a-w c:\windows\system32\msvcrt2.dll

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-24 05:42 . 2009-04-23 07:07 1606 ----a-w c:\windows\system32\PerfStringBackup.TMP

2009-04-23 16:04 . 2009-04-23 15:59 -------- d-----w c:\program files\Security Task Manager

2009-04-23 16:01 . 2009-04-23 16:01 -------- d-----w c:\program files\Common Files\iS3

2009-04-23 13:06 . 2009-04-23 07:45 -------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-04-23 13:06 . 2009-04-23 07:44 -------- d-----w c:\program files\Your Uninstaller 2008

2009-04-23 12:58 . 2009-04-23 12:58 -------- d-----w c:\program files\Unlocker

2009-04-23 12:34 . 2009-04-23 12:34 -------- d-----w c:\program files\Common Files\PC Tools

2009-04-23 08:14 . 2009-04-23 08:14 -------- d-----w c:\program files\Avira

2009-04-23 08:14 . 2009-04-23 08:14 -------- d-----w c:\documents and settings\All Users\Application Data\Avira

2009-04-23 07:58 . 2009-04-23 07:58 -------- d-----w c:\program files\Microsoft ActiveSync

2009-04-23 07:45 . 2009-04-23 07:45 -------- d-----w c:\documents and settings\fgtv2\Application Data\URSoft

2009-04-23 06:54 . 2009-04-23 06:54 -------- d-----w c:\program files\microsoft frontpage

2009-04-23 06:49 . 2009-04-23 06:48 80007 ----a-w c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat

2009-04-23 06:41 . 2009-04-23 06:41 21640 ----a-w c:\windows\system32\emptyregdb.dat

2007-02-21 21:2009-04-23 07:48 57:40 . c:\program files\mozilla firefox\components\jar50.dll

2007-02-21 21:2009-04-23 07:48 57:40 . c:\program files\mozilla firefox\components\jsd3250.dll

2007-02-21 21:2009-04-23 07:48 57:40 . c:\program files\mozilla firefox\components\myspell.dll

2007-02-21 21:2009-04-23 07:48 57:40 . c:\program files\mozilla firefox\components\spellchk.dll

2007-02-21 21:2009-04-23 07:48 57:40 . c:\program files\mozilla firefox\components\xpinstal.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2001-08-23 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872]

"netmon"="c:\windows\system\netmon.exe" [2009-04-23 76939]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-23 13312]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msile]

@="Service"

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2009-04-03 130936]

R2 msile;microsoft install le;c:\windows\system\msile.exe [2009-04-24 42499]

R3 NtApm;NT Apm/Legacy Interface Driver;c:\windows\system32\DRIVERS\NtApm.sys [2001-08-17 9344]

R3 sdAuxService;PC Tools Auxiliary Service; [x]

S0 avgntmgr;avgntmgr;c:\windows\SYSTEM32\DRIVERS\avgntmgr.sys [2009-02-13 22360]

S1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2009-02-13 45416]

S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - ALG

*NewlyCreated* - IPNAT

*NewlyCreated* - SYSDRV32

.

- - - - ORPHANS REMOVED - - - -

SafeBoot-netmon

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.bg/

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

TCP: {B3524457-3987-4EEE-8533-AC7B31D15E31} = 91.191.216.34,91.191.216.35

FF - ProfilePath - c:\documents and settings\fgtv2\Application Data\Mozilla\Firefox\Profiles\rfaxloym.default\

FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-24 08:42

Windows 5.1.2600 NTFS

scanning hidden processes ...

c:\windows\system\netmon.exe [264] 0xFFBBDB30

scanning hidden autostart entries ...

scanning hidden files ...

c:\windows\system32\14.scr 76939 bytes executable

scan completed successfully

hidden files: 1

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(664)

c:\windows\system32\ODBC32.dll

- - - - - - - > 'lsass.exe'(724)

c:\windows\System32\dssenh.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

.

**************************************************************************

.

Completion time: 2009-04-24 8:48 - machine was rebooted

ComboFix-quarantined-files.txt 2009-04-24 05:48

Pre-Run: 1 233 993 728 bytes free

Post-Run: 1 226 813 440 bytes free

148

След комбофикса реших да унинстална авирата и след това уина не ще да зареди! Някакъв файл му липсвал. Но нямам диск с ХП в момента

След комбофикса реших да унинстална авирата и след това уина не ще да зареди! Някакъв файл му липсвал. Но нямам диск с ХП в момента

ComboFix как е със сертифицирането, има ли цифров подпис ? Защо са малко, които проверяват подобни неща? AntiVir 7.9.0.148 7.1.3.79 2009-04-20 APPL/PsExec.E Преди 4 дни Авира установяваше вредоносен код в ComboFix. Според мен е съвсем реална констатация за произведение на щатски творци. Поздрави

freako, Отворете Notepad и чрез copy/paste поставете следното:

Killall::


File::

c:\windows\system32\14.scr

c:\windows\system32\23.scr

c:\windows\system32\58.scr

c:\windows\system32\52.scr

c:\windows\system32\33.scr

c:\windows\system32\88.scr

c:\windows\system32\82.scr

c:\windows\system32\27.scr

c:\windows\system32\17.scr

c:\windows\system32\18.scr

c:\windows\system32\42.scr

c:\windows\system32\13.scr

c:\windows\system32\35.scr

c:\windows\system32\62.scr

c:\windows\system32\00.scr

c:\windows\system32\74.scr

c:\windows\system32\81.scr

c:\windows\system32\77.scr

c:\windows\system32\75.scr

c:\windows\system32\07.scr

c:\windows\system32\68.scr

c:\windows\system32\25.scr

c:\windows\system32\86.scr

c:\windows\system32\20.scr

c:\windows\system32\80.scr

c:\windows\system32\15.scr

c:\windows\system\msile.exe

c:\windows\system\netmon.exe


Driver::

msile

avgntmgr

avgntdd


Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msile]

Запазете файла с името CFScript.txt и го поставете върху ComboFix.

След, като програмата приключи ще Ви изведе лог файла. Чрез Copy/Paste поставете информацията тук.

От тук на татък не правете никакви промени, изчакайте нашите инструкции.

Добре как да го стартирам Уина като неще?

Добре как да го стартирам Уина като неще?

Tрябва да намериш диск с читав Уиндоус....нищо, че няма да е същия, гледай поне да е със същия SP, и тогава мисля, че може да пуснеш Repair, за да продължите борбата.

То тогава чисто начало ще е по-бързо, но ще обезмисли всичко направеното дотук...

Пробва ли Save Mode

Редактирано 24 април 200917 г. от stefanvalja (преглед на промените)

Здравейте хакери,

РС ми взе да забива, не може да се ъпдеитва win xp, bsplayer не върви. Използвах няколко антивирусни програми avast,spybot, sdfix, combofix, а avg вируса не ми позволи да я инсталирам. Първите 4 антивирусни го откриват трият го в някаква степен после като се стартира пак го има, няма спасение.

И как да махна при стартирането на Win потребителското име и парола. Ако някои се е сблъсквал с този вирус или знае някакво решение на проблема, благодаря предварително за помощта.

Здравейте хакери,

РС ми взе да забива, не може да се ъпдеитва win xp, bsplayer не върви. Използвах няколко антивирусни програми avast,spybot, sdfix, combofix, а avg вируса не ми позволи да я инсталирам. Първите 4 антивирусни го откриват трият го в някаква степен после като се стартира пак го има, няма спасение.

И как да махна при стартирането на Win потребителското име и парола. Ако някои се е сблъсквал с този вирус или знае някакво решение на проблема, благодаря предварително за помощта.

http://www.kaldata.com/forums/index.php?s=...t&p=1359820

и следващия пост

http://www.kaldata.com/forums/index.php?s=...t&p=1366803

"Първите 4 антивирусни го откриват трият го в някаква степен после като се стартира пак го има, няма спасение." Какво откриват ? Търси информация в мрежата конкретно други как са го отстранявали. Поздрави

Използвах няколко антивирусни програми avast,spybot, sdfix, combofix, а avg вируса не ми позволи да я инсталирам. Първите 4 антивирусни го откриват трият го в някаква степен после като се стартира пак го има, няма спасение.

И как да махна при стартирането на Win потребителското име и парола.

Спри System Restore преди да сканираш с каквото и да е било:

Десен бутон на My Computer => Properties => System Restore => слагаш отметка пред Turn Off System Restore

Изчисти Start => run => cleanmgr => More Options => System Restore => Clean UP

За паролата в този раздел http://www.kaldata.com/forums/index.php?showforum=76

Успех!

Malwarebytes' Anti-Malware 1.36

Database version: 1945

Windows 5.1.2600 Service Pack 2

5/2/2009 7:35:51 PM

mbam-log-2009-05-02 (19-35-47).txt

Scan type: Quick Scan

Objects scanned: 65845

Time elapsed: 1 minute(s), 22 second(s)

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 2

Folders Infected: 0

Files Infected: 0

Memory Processes Infected:

(No malicious items detected)

Memory Modules Infected:

(No malicious items detected)

Registry Keys Infected:

(No malicious items detected)

Registry Values Infected:

(No malicious items detected)

Registry Data Items Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Folders Infected:

(No malicious items detected)

Files Infected:

(No malicious items detected)

becinko, какво искаш да кажеш/посочиш? Дай някаква информация.