Здравейте днес почна да ми излиза това досадно нещо.С аваст изчистих няколко проблема.След това с Ad-Aware SE Professional изчистих още доста.После с Malwarebytes' Anti-Malware изчистих малко.но това продължава да се показва как мога да го оправя проблема.

Редактирано 31 януари 201115 г. от nologo (преглед на промените)

това е вирус и е много сериозен проблем:

TR/Crypt.XPACK.Gen trojan is a severe security risk that can track keystrokes and steal sensitive banking informations like credit card numbers and login passwords!

препоръчвам да прочетете Системата ми е инфектирана - Какво да правя сега?

Редактирано 30 януари 201115 г. от Bily-79 (преглед на промените)

това е вирус

TR/Crypt.XPACK.Gen trojan

...как разбра какво е точно?

Иначе браво за препоръката

Редактирано 30 януари 201115 г. от Гост (преглед на промените)

ето ги логовете предполагам знаете кои от коя програма е ако не кажете да кажа :Д

В поста над моя е посочен раздела в който трябва да ти преместят темата-има екип

за преместването добре ще я преместят ама сега да се върнем на проблемчето а именно как да се махне :-)

mbam-log-2011-01-30 (23-47-08).txt

DDS.txt

Attach.txt

b0928, благодаря за логовете. Преди да продължим ще може ли да изберете една от антивирусните си програми: avira или avast. Деинсталирайте тази, която не ви е нужна от Start -> Control Panel -> Programs -> Programs and Features -> Uninstall. Пишете, като станете готов.

b0928, благодаря за логовете. Преди да продължим ще може ли да изберете една от антивирусните си програми: avira или avast. Деинсталирайте тази, която не ви е нужна от Start -> Control Panel -> Programs -> Programs and Features -> Uninstall. Пишете, като станете готов.

Avira махнах я (много съм доволен и от авира и от аваста )

Редактирано 30 януари 201115 г. от b0928 (преглед на промените)

Добре, сега следвайте следната инструкция за работа със Security Check:

• Изтеглете Security Check (автор: screen317) от тук или от тук и го запишете на десктопа.
• Кликнете два пъти върху SecurityCheck.exe и следвайте инструкциите.
• Когато програмата завърши работата си, ще се отвори един текстов документ: checkup.txt.
• Копирайте съдържанието с Копирай (Copy) на checkup.txt и с Постави (Paste) го поставете в следващия си коментар.

Добре, сега следвайте следната инструкция за работа със Security Check:

• Изтеглете Security Check (автор: screen317) от тук или от тук и го запишете на десктопа.
• Кликнете два пъти върху SecurityCheck.exe и следвайте инструкциите.
• Когато програмата завърши работата си, ще се отвори един текстов документ: checkup.txt.
• Копирайте съдържанието с Копирай (Copy) на checkup.txt и с Постави (Paste) го поставете в следващия си коментар.

заповядайте!

Untitled1.bmp-a с това какво да правя от падащтото меню има смао делете и да го игнорирам (предполагам делете)

checkup.txt

Untitled1.bmp

Редактирано 30 януари 201115 г. от b0928 (преглед на промените)

Супер. Сега направете отново бързо сканиране (Quick Scan) с Malwarebytes' Anti-Malware (MBAM) и публикувайте резултатите в следващия си коментар. Важно: ако MalwareBytes' Anti-Malware поиска да рестартира компютъра, потвърдете че желаете рестарт.

Супер. Сега направете отново бързо сканиране (Quick Scan) с Malwarebytes' Anti-Malware (MBAM) и публикувайте резултатите в следващия си коментар. Важно: ако MalwareBytes' Anti-Malware поиска да рестартира компютъра, потвърдете че желаете рестарт.

ще го направя след като метнете едно око на едиднатия пост с 2 рата снимака

Видях снимката. Ще продължим, след като видя лога на MBAM.

Видях снимката. Ще продължим, след като видя лога на MBAM.

ок а това на аваста да му давам ли да го трие или просто с "Х" да го затоворя

Имайте търпение, тук работим с логове от програми и със специализирани инструменти за почистване на разни гадини по Windows. P.S. Дайте на avast команда да изтрие файла.

Редактирано 30 януари 201115 г. от nologo (преглед на промените)

Имайте търпение, тук работим с логове от програми и със специализирани инструменти за почистване на разни гадини по Windows.

това е лога от програмата

П.с като се рестартира ПС-то после се показа син екран не разбрах за какво става дума на но 1-вя ред след To your computer имаше този файл изписан cng.sys

mbam-log-2011-01-31 (00-29-29).txt

Това не е добре, имате рууткит. Ще се опитаме да го махнем и да оправим Windows.

Следвайте следната инструкция за работа с TDSSKiller (по-подробна инструкция на английски език: TDSSKiller):

• Изтеглете TDSSKiller и го разархивирайте на десктопa.
• Стартирайте TDSSKiller.exe, след това Start Scan.
• Ако бъде открит инфектиран (infected) файл, проверете дали е избрана опцията Cure (по подразбиране). Ако е избрана Cure - натиснете Continue, снимка:

  

• Ако бъде открит подозрителен (suspicious) файл, проверете дали е избрана опцията Skip (по подразбиране). Ако е избрана Skip - натиснете Continue.
• Възможно е програмата да изиска рестарт. Ако е така - потвърдете с Reboot Now.

  -Ако няма рестартиране, отидете на Report. Ще се появи лог файл. Копирайте и поставете съдържанието му в следващия си коментар.

  -Ако има рестартиране, отидете на в системната директория. Там трябва да има файл с формат: TDSSKiller.[Version]_[Date]_[Time]_log.txt. Отворете го, копирайте и поставете съдържанието му в следващия си коментар.

Забележка: За sptd.sys натиснете Skip.

Това не е добре, имате рууткит. Ще се опитаме да го махнем и да оправим Windows.

Следвайте следната инструкция за работа с TDSSKiller (по-подробна инструкция на английски език: TDSSKiller):

• Изтеглете TDSSKiller и го разархивирайте на десктопa.
• Стартирайте TDSSKiller.exe, след това Start Scan.
• Ако бъде открит инфектиран (infected) файл, проверете дали е избрана опцията Cure (по подразбиране). Ако е избрана Cure - натиснете Continue, снимка:

  

• Ако бъде открит подозрителен (suspicious) файл, проверете дали е избрана опцията Skip (по подразбиране). Ако е избрана Skip - натиснете Continue.
• Възможно е програмата да изиска рестарт. Ако е така - потвърдете с Reboot Now.

  -Ако няма рестартиране, отидете на Report. Ще се появи лог файл. Копирайте и поставете съдържанието му в следващия си коментар.

  -Ако има рестартиране, отидете на в системната директория. Там трябва да има файл с формат: TDSSKiller.[Version]_[Date]_[Time]_log.txt. Отворете го, копирайте и поставете съдържанието му в следващия си коментар.

Забележка: За sptd.sys натиснете Skip.

ако съм разбрал правилно това е лога

TDSSKiller.2.4.15.0_31.01.2011_00.42.15_log.txt

Да, това е логът. Пуснете отново TDSSKiller и махнете ето това: Locked service(cfttxwlyz)

Защото сте дали команда тази услуга (service) да бъде пропусната (Skip), справка:

Locked service(cfttxwlyz) - User select action: Skip

След това следва ComboFix:

1. Изтеглете ComboFix от следните миръри: от BleepingComputer или от ForoSpyware.

След изтегляне на файла го запишете (бутон Save -> Save as) ComboFix на вашия десктоп, снимка:

След като изтеглите ComboFix на десктопа, иконката на програмата би трябвало да изглежда така:

2. Затворете всички работещи приложения или отворени прозорци. Прекратете временно работата на антивирусната програма и на други програми за сигурност, ако има такива. За целта може да прегледате информацията от този линк: How To Temporarily Disable Your Anti-virus, Firewall And Anti-malware Programs.

3. Стартирайте с двоен клик ComboFix.exe. За целта използвайте YES, за да се съгласите с условията за използване на програмата. Важно: след като се стартира ComboFix не бива да се движи мишката или да се кликва върху отворения прозорец на програмата. Просто търпеливо оставете ComboFix да си свърши работата, без да използвате компютъра за други цели.

4. ComboFix ще спре временно Интернет връзката, но след като приключи работата на програмата тази връзка ще бъде възстановена автоматично. ComboFix ще сканира за проблеми и за заразени файлове, като това може да отнеме известно време. Моля да бъдете търпеливи. Ако има проблем с Интернет връзката, моля да прочетете това: Manually restoring the Internet connection section.

5. Когато работата на ComboFix приключи, ще се появи текстов документ (log) в Notepad, виж снимката:

Копирайте (Copy) и поставете (Paste) съдържанието на лога в следващия си коментар.

да го махна смисъл да сложа отметка делете ?

Редактирано 30 януари 201115 г. от nologo (преглед на промените)

Не, оставете. Продължете с ComboFix. P.S. Понеже стана доста късно, ще продължим утре. Приятна вечер.

Редактирано 30 януари 201115 г. от nologo (преглед на промените)

Не, оставете. Продължете с ComboFix.

P.S. Понеже стана доста късно, ще продължим утре. Приятна вечер.

log-a

лека вечер и мерси за отделеното време

log.txt

Редактирано 30 януари 201115 г. от b0928 (преглед на промените)

Сега ще продължим да почистваме. Следва:

Стъпка 1

Пуснете отново TDSSKiller. Както съм написал в инструкцията:

Ако бъде открит инфектиран (infected) файл, проверете дали е избрана опцията Cure (по подразбиране). Ако е избрана Cure - натиснете Continue.

Ако има подозрителен (suspicious) файл само за sptd.sys използвайте Skip. Прикачете лога от TDSSKiller в следващия си коментар.

Стъпка 2

Следвайте следната инструкция за работа с OTL:

• Изтеглете OTL.exe или OTL.scr го запазете на десктопа.
• Стартирайте файла с двукратен клик на мишката.
• Направете следните настройки:

• Под с Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето):

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\*.scr
%systemroot%\*._sy
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\system32\*.jpg
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%APPDATA%\Update\*.*
%APPDATA%\Microsoft\*.*
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%PROGRAMFILES%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

• Натиснете маркираният в синьо бутон: .
• Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt. Прикачете тези два файла в следващия си коментар (погледнете опцията "прикачени файлове", когато публикувате мнение).

............. log

Extras.Txt

OTL.Txt

Редактирано 31 януари 201115 г. от nologo (преглед на промените)

Сега стартирайте пак OTL и с Copy/ Paste под колонката Custom Scans/Fixes въведете скриптовия текст от текстовото поле по-долу, като не забравяте да копирате скрипта 1 към 1, както и двете точки преди първия ред на скрипта!

:OTL
O2 - BHO: (GOM Player + Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (GOM Player + Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-4060807717-2604425930-1448420940-1001\..\Toolbar\WebBrowser: (GOM Player + Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O34 - HKLM BootExecute: (autocheck turegopt /OCM) - File not found

:files
C:\Users\BoBy\Desktop\facebook-pic000934519.exe
recycler /alldrives
ipconfig /flushdns /c
:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Users\BoBy\Desktop\facebook-pic000934519.exe" =-
:Commands
[purity]
[resethosts]
[emptytemp]
[emptyflash]
[clearallrestorepoints]
[Reboot]

След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено:

Ще се създаде лог файл. Публикувайте съдържанието му с Copy/Paste в следващия си коментар.

Все пак бих искал да погледна следния файл: C:\TDSSKiller.2.4.15.0_31.01.2011_13.13.57_log.txt

P.S. Ще може ли да не ме цитирате, защото коментарите в този раздел стават огромни.

http://www.4shared.com/document/ZJU2CIZF/TDSSKiller24150_31012011_13135.html

след рестарта се отвори този файл(не ми дава да го прикача тъй че

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
C:\Program Files\Ask.com\GenericAskToolbar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_USERS\S-1-5-21-4060807717-2604425930-1448420940-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\{AEB6717E-7E19-11d0-97EE-00C04FD91972} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck turegopt /OCM deleted successfully.
========== FILES ==========
File\Folder C:\Users\BoBy\Desktop\facebook-pic000934519.exe not found.
recycler not found in C:\
recycler not found in D:\
[color=#A23BEC]< ipconfig /flushdns /c >[/color]
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
C:\Users\BoBy\Desktop\cmd.bat deleted successfully.
C:\Users\BoBy\Desktop\cmd.txt deleted successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Users\BoBy\Desktop\facebook-pic000934519.exe deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: BoBy
->Temp folder emptied: 1475742 bytes
->Temporary Internet Files folder emptied: 48455767 bytes
->Google Chrome cache emptied: 142501098 bytes
->Flash cache emptied: 51993 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 119226 bytes
 
Total Files Cleaned = 184,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: BoBy
->Flash cache emptied: 0 bytes
 
User: Default
 
User: Default User
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 

 
OTL by OldTimer - Version 3.2.20.6 log created on 01312011_155129

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Редактирано 31 януари 201115 г. от b0928 (преглед на промените)

Хм, вторият опит за изтриване на този рууткит от TDSSKiller може би е успешен. Искам да проверя дали все пак е махнат:

Следвайте следната инструкция за работа със SystemLook:

Изтеглете SystemLook и запазете програмата на десктопа.

• Кликнете два пъти върху SystemLook.exe, за да стартирате програмата.
• Копирайте съдържанието от цитата по-долу в текстовото поле на програмата:

  :filefind
  *cfttxwlyz*
  :service 
  cfttxwlyz
  KLMD25
  

• Кликнете на бутона Look, за да започне сканирането.
• Когато сканирането завърши ще се отвори Notepad с резултата от сканирането. После публикувайте лог файла в следващия си коментар.