Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

eXasis

Досаден вирус! [РЕШЕН]

Препоръчан отговор

публикувано (редактирано)

Привет на всички,

Вчера взех на майка ми лаптопа, за да го постегна малко, тъй като днес ще ми трябва. И въобще не очаквах да намеря някакви вируси, но... Malwarebytes показа друго! Уж не се влиза в съмнителни сайтове през него, откъде и как се е заразил - нямам представа. Както и да е, сега е по-важно да го премахна. Проблемът обаче е, че не е от лесните - когато го преместя в карантината на Malware-a или му изтрия файловете нацяло, то това става само временно - до следващия рестарт. И пак се повтаря същата история, сякаш нищо не съм правил. Опитах се и ръчно - изтрих всичките му файлове и регистри, след което изчистих всички temp файлове с ATF Cleaner. Рестартирах, но пак нямаше резултат от процедурата. С Hijackthis му давах fix checked, премахваше се и пак се появяваше при следващ рестарт. И в интернет не успях да открия достатъчно информация за него, затова се обръщам към вас. Надявам се да помогнете, защото след няколко часа ще използвам лаптопчето за озвучаване на пиеса. Вирусът не пречи на работата ми, но дразни. Симптомите са почти незабележими - не позволява да виждам скрити файлове и папки и скрива уиндоус секюрити алерта, без да съм пипал настройките му. Имам и друг въпрос - Нужно ли е да сменям паролите на всички акаунти, в които съм влизал през лаптопа? Благодаря предварително!

Поздрави,

Габриел

А ето логовете от HijackThis и Malwarebytes:

hjt.txt

mbam.txt

O4 - HKCU\..\Run: [dso32] C:\DOCUME~1\ADMINI~2\LOCALS~1\Temp\dsoqq.exe - това е гадината. Сега ще пробвам да я махна през Safe Mode - само оттам не се сетих да вляза.

Редактирано от nologo (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Докато дойдат колегите ще ви посъветвам временно да повторите проверката с Malwarebytes като:

1. Обновете дефинициите до версия 4120.

2. Изберете FULL Scan, защото гадината (Spyware.OnlineGames) се нагнездва на всички дялове.

3. Публикувайте новия лог файл и изчакайте някой от колегите да се освободи.

Поздрави ! :angry:

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Да, точно така. Очаквах лог на MBAM, но както и да е.

eXasis, следвайте инструкциите по-долу, стъпка по стъпка:

Стъпка 1

Изтеглете: PeeTechFix-Win32.PSW.OnlineGames. Ето как се работи с него:

1.Разрхивирайте, после стартирайте приложението PeeTechFix-Win32.PSW.OnlineGames.

2.Рестартирайте.

Стъпка 2

Следвайте следната инструкция за работа с DDS:

  • Изтеглете DDS: от bleepingcomputer.
  • След изтегляне на файла го запишете (бутон Save -> Save as) DDS на вашия десктоп, снимка:
    2exprgh.jpg
  • След като изтеглите DDS на десктопа, иконката на програмата би трябвало да изглежда така: rvwlll.jpg
  • Прекратете временно работата на всички скрипт блокиращи приложения, ако има такива или разрешете изпълнението на dds.scr. След това стартирайте DDS с двоен клик на иконката, като потвърдите с Run.
  • След приключване на работата на DDS копирайте с Copy текста от двата файлови лога, които ще се появят в Notepad: DDS.txt и Attach.txt и ги запазете (бутон Save -> Save as) на десктопа. После прикачете двата лога към следващия си коментар по темата (погледнете опцията "прикачени файлове", когато публикувате мнение).

Стъпка 3

Следвайте следната инструкция за работа с Security Check:

  • Изтеглете Security Check (автор: screen317) от тук или от тук и го запишете на десктопа.
  • Кликнете два пъти върху SecurityCheck.exe и следвайте инструкциите.
  • Накрая, автоматично ще се отвори текстов документ: checkup.txt. Поставете съдържанието му в следващия си коментар в тази тема.

Стъпка 4

  • Обновете дефинициите на Malwarebytes' Anti-Malware (MBAM).
  • Направете Full Scan и прикачете лога от сканирането в следващия си коментар.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Извинявам се, тази вечер не можах да направя пълен скан, тъй като процесът продължи прекалено дълго, а лаптопът ми трябваше. Все пак изпълних всички стъпки подред, с изключение на това, че с malwarebytes сканът беше бърз. Всичко стана под Safe Mode. Откри ми като инфектиран секюрити алерта, но това не е от вируса - просто го бях изключил преди да започна. Другите файлове не се появиха, сякаш изчезнаха. Вече мога да виждам скрити файлове и папки, но аз ръчно го разреших, по методи описани в интернет. Обаче, след като влязох в нормален режим на уиндоус, протекцията на malwarebytes ми каза, че отново трябва да блокирам въпросния файл "dsoqq0.dll", тоест вирусът все още си стои. :yanim:

Така че утре ще направя всичко наново + пълния скан, и в нормален режим, и в Safe Mode, за да видя какво все още не е наред. Пак се извинявам за причиненото неудобство.

Поздрави,

Габриел

Логове:

Attach.zip DDS.txt mbam-log-2010-05-20 (23-34-43).txt checkup.txt


Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Чист ли съм вече или така ми се струва? В нормален режим на Уиндоус, всичко протече доста по-бързо и не откри почти никакви вируси. Намери един съвсем различен в D:\RECYCLER\, който се надявам да не е също толкова нагъл и да се е отстранил вече, след като му дадох remove. При стартиране/рестартиране на компютъра, протекшъна на malwarebytes вече не ме алармира за spyware.onlinegames. Благодарен съм за помощта и бързия отзив!

Само искам да попитам отново това за паролите, ще трябва ли да ги сменям?

Поздрави,

Габриел

И все пак заповядайте логовете, които станаха днес, просто за проверка:

DDS.txt

Attach.zip

checkup.txt

mbam-log-2010-05-21 (16-37-47).txt

Редактирано от eXasis (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Мда, Conficker. Ще трябват логове...

Затова моля да следвате това, което е написано по-долу, стъпка по стъпка:

Стъпка 1

Следвайте следната инструкция за работа с TFC (програмата ще премахне ненужните временни файлове):

  • Изтеглете TFC (Temp File Cleaner) от тук и го запишете на десктопа
  • Стартирайте TFC.exe
  • Имайте търпение и изчакайте програмата да завърши работата си
  • Ако е необходимо, потвърдете с OK за рестартиране на Windows

Стъпка 2

Следвайте следната инструкция за работа с OTL:

  • Изтеглете OTL.exe и го запазете на десктопа.
  • Стартирайте файла otlDesktopIcon.png с двукратен клик на мишката.
  • Направете следните настройки:

33wm6o2.jpg

  • Под "Custom Scans/Fixes" с Copy/ Paste въведете следната информация от цитата по-долу:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

%systemroot%\*. /mp /s

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

beep.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

ahcix86s.sys

KR10N.sys

nvstor32.sys

nvrd32.sys

explorer.exe

svchost.exe

userinit.exe

symmpi.sys

qmgr.dll

ws2_32.dll

proquota.exe

imm32.dll

kernel32.dll

ndis.sys

autochk.exe

spoolsv.exe

xmlprov.dll

ntmssvc.dll

mswsock.dll

ntfs.sys

tcpip.sys

termsrv.dll

sfcfiles.dll

st3shark.sys

srsvc.dll

adp3132.sys

mv61xx.sys

/md5stop

CREATERESTOREPOINT

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\drivers\*.sys /90

  • Натиснете маркираният в синьо бутон: 30rn2na.jpg.
  • Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt.

Стъпка 3

Следвайте следната инструкция за работа с RootRepeal:

  • Изтеглете ZIP архив на RootRepeal, ето два миръра:geekstogo или psikotick
  • Разархивирайте RootRepeal.zip на вашия десктоп, стартирайте RootRepeal.exe и направете следните настройки:
  • Кликнете на таба Report в долната част на прозореца.
  • Кликнете на бутона Scan
  • Сложете отметки пред следното:


  • Drivers

  • Files

  • Processes

  • SSDT

  • Stealth Objects

  • Hidden Services

  • Shadow SSDT

  • Кликнете на бутона OK
  • На следващия диалогов прозорец, сложете отметки преди всички дялове (C:\ , D:\ ....)
  • Кликнете на OK, за да започне процеса на сканиране

Забележка: Процеса на сканиране може да отнеме време. Моля,
не стартирайте
никакви програми, докато програмата сканира.

  • Когато сканирането завърши успешно ще се появи бутона Save Report
  • Кликнете върху Save Report и запишете лог файла на вашия десктоп, с име RootRepeal.txt
  • Отворете File, след което Exit, за да затворите програмата.
  • Копирайте и поставете съдържанието на RootRepeal.txt, или го прикачете в следващия си коментар.
  • Забележка: ако има проблем със стартирането на програмата, не правете опити да я стартирате отново, само посочете каква е грешката.

Стъпка 4

Прикачете в следващия си коментар (погледнете опцията "прикачени файлове", когато публикувате мнение):

  • Логовете от OTL: OTL.Txt, Extras.Txt
  • Лог от RootRepeal.txt

P.S. Ще може ли да видя дали работи един инструмент: Conficker Removal Tool. Линк за изтегляне от: enigmasoftware. Интересува ме дали намира Conficker.

Ето едно видео упътване:

Редактирано от nologo (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

ей това Conficker-а е гадна напаст.скоро чистих един комп от тоя гад,но уина беше толкова развален(не само от вирусите,който бяха в С:то),че си викам:дай да направя една преинсталация с формат,и без това положението беше доста омазано.поздрави!!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Тук най-често почистваме Conficker, без да има нужда от нова инсталация на Windows. Понякога инсталацията/ преинсталацията на Windows с цел махане на Conficker не помага, особено ако има повече от един дял.

Не мога да не се съглася с теб - Conficker е доста неприятна зараза...

Редактирано от nologo (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Преди да започна с тестовете, направих още един пълен скан с malwarebytes и ми показа, че няма повече вируси. Този път нито един инфектиран файл не се хвана. Съмнително да е изчезнал толкова лесно Conficker-a, но навярно е. Ако вирусът си стои скрит, а не е изчезнал наистина, по-късно ще пусна Removal tool-a и ще кажа какви ги върши.

А сега качих логовете от предните упътвания:

RootRepeal report 05-21-10 (19-13-47).txt

OTL.Txt

Extras.Txt

Поздрави,

Габриел

Edit:

Пуснах въпросния туул, обаче ми съобщава, че нямам Conficker. Натискам "start", след което ми изписва на Steps: Conficker Not Found

Редактирано от eXasis (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Много добре. MBAM е изчистил следите от Conficker. След малко ще дам малко препоръки. Ето какво следва:

Стъпка 1

Стартирайте пак OTL.exe и с Copy/ Paste под колонката Custom Scans/Fixes въведете скриптовия текст от цитата по-долу, като не забравяте да копирате скрипта 1 към 1, както и двете точки преди OTL!

:OTL

O3 - HKU\S-1-5-21-1659004503-1563985344-1801674531-1005\..\Toolbar\WebBrowser: (no name) - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - No CLSID value found.

O20 - Winlogon\Notify\NavLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found

O32 - AutoRun File - [2009.06.25 09:31:59 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) - File not found

:Commands

[purity]

[emptytemp]

[resethosts]

[Reboot]

След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено: Run Fix. Ще се създаде лог файл.

Стъпка 2

Използвайте Microsoft Malicious Software Removal Tool за проверка.

Стъпка 3

Прикачете в следващия си коментар (погледнете опцията "прикачени файлове", когато публикувате мнение):

  • Лога от OTL

Редактирано от nologo (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Странно, windows malicious software си набеляза доста файлове при full scan (над 19). Даже не успях да видя колко са, никъде не видях как да запазя лога, но си спомням, че на всички пишеше "Not Infected", с изключение на 1 - "Removed".

OTL: 05212010_213344.zip

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Извинете, не съм дал инструкция за лога. Microsoft Malicious Software Removal Tool създава лог с име mrt.log в папката %WINDIR%\debug или C:\WINDOWS\Debug, където C е системния дял. Ще е интересно да видим лога.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Доста добре се справя този инструмент. Сега ще може ли пак да сканирате с Microsoft Malicious Software Removal Tool, само че изберете Quick Scan. Ако не намери нищо, не пускайте лог.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

"No malicious software was detected." - Тоест? Дали не се отървах най-сетне? :)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Надявам се. Няма да е лошо, ако имате запазени потребителски профили за разни сайтове, банкиране и пр. на този компютър да им промените паролите с нови. Също така почистете точките за възстановяване по следния начин: изключете System Restore и после го включете. Повече информация как става това: How to turn off and turn on System Restore in Windows XP (виж Manual steps to turn off or turn on System Restore). После може да си направите нова точка за възстановяване: Start -> All Programs -> Accessories -> System Tools -> System Restore -> Create a restore point.

Ако след това нямате оплаквания от Windows, ще дам малко препоръки.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Вече няма симптоми на заразен компютър, всичко е ОК! Много благодаря за помощта и вниманието, страхотно си вършите работата! ;)

През лаптопа съм влизал във всичките ми профили в интернет, но не съм ги запазвал. (освен facebook, skype, пощата) Сега ще трябва ли да сменям паролите и на незапомнените или не е нужно?

Иначе почистих всички точки на възстановяване, както ме посъветвахте.

Поздрави,

Габриел

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ако погледнете какво беше почистил при вас Microsoft Malicious Software Removal Tool - PWS:Win32/Frethog.gen!H, ще видите следното (Microsoft, EN):

Alert Level: Severe

Symptoms: There are no obvious symptoms that indicate the presence of this trojan on an affected system.

Technical Information (Analysis): Win32/Frethog is a large family of password-stealing trojans that target confidential data, such as account information, from Massive Multiplayer Online Games (such as World of Warcraft, for example).

Installation: Win32/Frethog is a large family and variants may install themselves using different file paths and file names. When executed, Win32/Frethog drops a DLL with a randomly generated file name and injects it into explorer.exe.

......................

Prevention: Take the following steps to help prevent infection on your computer:

* Enable a firewall on your computer.

* Get the latest computer updates for all your installed software.

* Use up-to-date antivirus software.

* Use caution when opening attachments and accepting file transfers.

* Use caution when clicking on links to Web pages.

* Avoid downloading pirated software.

* Protect yourself against social engineering attacks.

* Use strong passwords.

Сега деинсталирайте OTL. Ето как: стартирайте OTL.exe още веднъж и натиснете бутона CleanUp!

35hfp21.jpg

При дeинсталацията на OTL ще бъдат почистени инструменти и файлове, които използвахме в темата.

Препоръки:

  • Да погледнете тази тема - Паролата и нейното значение за сигурността .
  • Да инсталирате програма за сигурност и да направите пълно сканиране с антивирусния модул. Ако решите да използвате безплатни, мога да препоръчам:


    > Комбинация между
    Microsoft Security Essentials
    (за лицензиран Windows) и
    Online Armor Free
    .

    > Или комплексна защита с
    Comodo Internet Security
    .

    > И разбира се избор на защита по препоръка на многобройните потребители във форум:
    . Има доста теми по въпроса.

    > Да използвате
    MBAM
    за сканиране от време на време.


  • Да инсталирате KB971029. Този ъпдейт ще ограничи AutoRun възможностите в диалога AutoPlay само за CD и DVD.
  • Да използвате CCleaner за почистване на излишни файлове. Също така за тази цел може да използвате функцията My Computer -> Local Disk -> Properties -> Disk Cleanup.
  • Да дефрагментирате харддиска: My Computer -> Local Disk -> Properties -> Tools -> Defragment Now.
  • Да използвате Panda USB Vaccine и да ваксинирате компютъра (Vaccinate computer). Така ще се спре Autorun/Autoplay, който е един от най-често срещаните начините на заразяване напоследък. При използване на флашка ще се наложи да я отваряте ръчно през My Computer, защото менюто няма да се появи. Също така трябва да изпълните следната инструкция за почистване и имунизиране на USB флаш памети.

Сега маркирам проблема като приключен и добавям [РЕШЕН] в заглавието на темата.

Приятен ден и успех!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Последни въпроси:

Имам пълната версия на malwarebytes и използвам protection модула му. Достатъчен ли е само той? А вместо CCleaner, на лаптопа са инсталирани TuneUp Utilities и WinXP Manager, добра алтернатива ли са те?

Поздрави,

Габриел

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Аз бих използвал пълната версия на MBAM само ако имам официален лиценз. Ако нямате такъв, ограничете се само с безплатната версия. Засега най-добре е да инсталирате програма за сигурност със защитна стена и да пуснете пълно сканиране, както написах по-горе. От TuneUp Utilities и WinXP Manager няма почти никаква нужда. По-скоро безразборното им използване, както триене на регистри, оптимизации и пр. е доста опасно.

Редактирано от nologo (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Само че малко преди да махна MBAM, тъй като нямам официален лиценз, съвсем неочаквано защитата ме предупреди, че блокира някакъв "malicious" IP адрес. sad.gif Не успях да го запиша, защото "балончето" се скри прекалено бързо,a нищо друго не беше отворено, освен Add/Remove Programs... И оставих malwarebytes, за да видя дали ще се повтори този номер отново. През това време не правих нищо на компа, но след около час, програмата отново ми заяви за блокиране на IP адрес и този път успях да го запиша,(89.28.2.188) беше съвсем различен от първия. Съмнявам се да е фалшива тревога, щом го повтори?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

За трети път повтарям. Инсталирайте програма за сигурност плюс защитна стена, пуснете пълно сканиране с антивирусния модул. После правете с MBAM каквото искате.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

За трети път повтарям. Инсталирайте програма за сигурност плюс защитна стена, пуснете пълно сканиране с антивирусния модул. После правете с MBAM каквото искате.

абсолютно е прав nologo

има достатъчно безплатни

антивирусни програми и

защитни стени

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Сложих му Comodo Internet Security и ще сканирам с антивирусната след малко. За модула на MBAM разбрах, че блокира сайтове за щяло и нещяло...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...