Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

dimitrov09

Вируси , след току що преинсталиран windows

Препоръчан отговор


Здравейте.... Днес си преинсталирах уиндоус-а (с изтриване и създаване на нови дялове), качих драйверите и сложих флашката където бяха програмите ми. Инсталирах всичко останало без антивирусна защото нямаше такава на флашката. След това изтеглих avast free и тя започна през 2 минути да ми показва, че имам вируси. Изпълних указанията в темата за вируси. Ето логовете: Attach.txt DDS.txt mbam-log-2010-12-11 (11-35-26).txt ако има нещо да се прави още, казвайте защото не ми се прави нова преинсталация отново. Благодаря предварително за помоща!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте dimitrov09!

Аз съм 3p1cKFa1L и ще Ви помагам да почистите вашата система от зловреден софтуер. Анализа на логовете, както и премахването на зловредния софтуер, може да отнеме време, затова моля бъдете търпеливи. Моля, имайте предвид следното:

  • Аз ще Ви помагам само за почистването на вашата система от зловреден софтуер. За всякакви други проблеми, моля създайте нова тема в съответния форум и опишете детайлно проблема Ви.
  • Решението се отнася само за този проблем и само на този компютър.
  • Задължително трябва да разполагате с администраторски привилегии, за да получим възможността успешно да почистим вашата системата.
  • Следвайте инструкциите ми стриктно, докато не Ви кажа, че системата Ви е напълно чиста. Това, че симптомите са изчезнали, не значи че всичко е наред.
  • Ако не разбирате нещо, моля Ви попитайте ме, а не рискувайте. По-добре е малко да се позабавим, отколкото да усложним нещата.
  • При наличие на руткит, аз не гарантирам 100% почистване.
  • Проявете търпение, защото процедурата по почистването на вашата система може да отнеме известно време, в зависимост от вида на зловредния софтуер.
  • Цялата кореспонденция минава през тази тема, не създавайте нова тема и не използвайте друга тема за тази цел.

Днес си преинсталирах уиндоус-а (с изтриване и създаване на нови дялове), качих драйверите и сложих флашката където бяха програмите ми.

Ако наистина е така, явно флашката ви е заразена. Хубаво е да я форматирате. След като форматирате флашката вижте: Panda USB and AutoRun Vaccine

След това:

• Изтеглете OTL от тук Публикувано изображение и я запазете на десктопа.

• Стартирайте файла Публикувано изображениес двукратен клик на мишката.

• Направете следните настройки които са очертани в червено:

Публикувано изображение

• Под "Custom Scans/Fixes" с Copy/ Paste въведете следната информация от цитата по-долу:

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\*.scr
%systemroot%\*._sy
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\system32\*.jpg
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%APPDATA%\Update\*.*
%APPDATA%\Microsoft\*.*
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%PROGRAMFILES%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

• Натиснете маркираният в синьо бутон:

Публикувано изображение

• Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt. Прикачете двата файла в следващия си коментар (погледнете опцията "прикачени файлове", когато публикувате мнение).

P.S

Искам също да направите снимка на Карантината на Аваст и да я публикувате със следващият си пост.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Снимка от клетката за вируси:

Публикувано изображение

Extras.Txt OTL.Txt

Редактирано от dimitrov09 (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Стартирайте пак OTL.exe и с Copy/ Paste под колонката Custom Scans/Fixes въведете скриптовия текст от цитата по-долу, като не забравяте да копирате скрипта 1 към 1, както и двете точки преди първия ред на скрипта!

:OTL
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (a4ouufdhfaaqoet) -- C:\WINDOWS\System32\koocucah.exe File not found
DRV - (nodpelcl) -- C:\WINDOWS\System32\Drivers\nodpelcl.sys ()
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Administrator\Application Data\nsvb.exe) - C:\Documents and Settings\Administrator\Application Data\nsvb.exe ()
O20 - HKU\S-1-5-21-854245398-113007714-1417001333-500 Winlogon: Shell - (C:\Documents and Settings\Administrator\Application Data\nsvb.exe) - C:\Documents and Settings\Administrator\Application Data\nsvb.exe ()
O20 - HKU\S-1-5-21-854245398-113007714-1417001333-500 Winlogon: Shell - (C:\Documents and Settings\Administrator\Application Data\juzjf.exe) - C:\Documents and Settings\Administrator\Application Data\juzjf.exe ()
[2010.12.11 11:38:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\CatRoot2
[2010.12.11 11:38:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\CatRoot
[2010.12.11 10:28:46 | 000,040,128 | ---- | M] () -- C:\WINDOWS\System32\drivers\nodpelcl.sys
[2010.12.11 11:35:46 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\lxxy.sys
[2010.12.11 10:26:29 | 000,109,568 | ---- | M] () -- C:\Documents and Settings\Administrator\Application Data\juzjf.exe
[2010.12.11 10:26:27 | 000,118,784 | ---- | M] () -- C:\Documents and Settings\Administrator\Application Data\nsvb.exe
[2010.12.11 11:35:46 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\lxxy.sys
[2010.12.11 10:28:46 | 000,040,128 | ---- | C] () -- C:\WINDOWS\System32\drivers\nodpelcl.sys
[2010.12.11 10:26:29 | 000,109,568 | ---- | C] () -- C:\Documents and Settings\Administrator\Application Data\juzjf.exe
[2010.12.11 10:26:27 | 000,118,784 | ---- | C] () -- C:\Documents and Settings\Administrator\Application Data\nsvb.exe
[2010.12.11 10:26:29 | 000,109,568 | ---- | C] () -- C:\Documents and Settings\Administrator\Application Data\juzjf.exe
@Alternate Data Stream - 415348 bytes -> C:\WINDOWS\Temp:temp

:Files
C:\WINDOWS\System32\drivers\nodpelcl.sys
C:\WINDOWS\System32\drivers\lxxy.sys
recycler /alldrives
ipconfig /flushdns /c
C:\WINDOWS\*.tmp
C:\WINDOWS\System32\*.tmp

:Commands
[purity]
[resethosts]
[emptyflash]
[clearallrestorepoints]
[emptytemp]
[Reboot]

След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено:

Публикувано изображение

Ще се създаде лог файл. Копирайте и поставете този файл в следващия си коментар.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

All processes killed

========== OTL ==========

Service HidServ stopped successfully!

Service HidServ deleted successfully!

File C:\WINDOWS\System32\hidserv.dll File not found not found.

Service a4ouufdhfaaqoet stopped successfully!

Service a4ouufdhfaaqoet deleted successfully!

File C:\WINDOWS\System32\koocucah.exe File not found not found.

Service nodpelcl stopped successfully!

Service nodpelcl deleted successfully!

C:\WINDOWS\system32\drivers\nodpelcl.sys moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\TaskMan:C:\Documents and Settings\Administrator\Application Data\nsvb.exe deleted successfully.

C:\Documents and Settings\Administrator\Application Data\nsvb.exe moved successfully.

Registry value HKEY_USERS\S-1-5-21-854245398-113007714-1417001333-500\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\Administrator\Application Data\nsvb.exe deleted successfully.

File C:\Documents and Settings\Administrator\Application Data\nsvb.exe not found.

Registry value HKEY_USERS\S-1-5-21-854245398-113007714-1417001333-500\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\Administrator\Application Data\juzjf.exe deleted successfully.

C:\Documents and Settings\Administrator\Application Data\juzjf.exe moved successfully.

C:\WINDOWS\System32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} folder moved successfully.

C:\WINDOWS\System32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE} folder moved successfully.

C:\WINDOWS\System32\CatRoot2 folder moved successfully.

C:\WINDOWS\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} folder moved successfully.

C:\WINDOWS\System32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE} folder moved successfully.

C:\WINDOWS\System32\CatRoot folder moved successfully.

File C:\WINDOWS\System32\drivers\nodpelcl.sys not found.

C:\WINDOWS\system32\drivers\lxxy.sys moved successfully.

File C:\Documents and Settings\Administrator\Application Data\juzjf.exe not found.

File C:\Documents and Settings\Administrator\Application Data\nsvb.exe not found.

File C:\WINDOWS\System32\drivers\lxxy.sys not found.

File C:\WINDOWS\System32\drivers\nodpelcl.sys not found.

File C:\Documents and Settings\Administrator\Application Data\juzjf.exe not found.

File C:\Documents and Settings\Administrator\Application Data\nsvb.exe not found.

File C:\Documents and Settings\Administrator\Application Data\juzjf.exe not found.

ADS C:\WINDOWS\Temp:temp deleted successfully.

========== FILES ==========

File\Folder C:\WINDOWS\System32\drivers\nodpelcl.sys not found.

File\Folder C:\WINDOWS\System32\drivers\lxxy.sys not found.

C:\RECYCLER\S-1-5-21-854245398-113007714-1417001333-500 folder moved successfully.

C:\RECYCLER\S-1-5-21-2604730624-7177754492-070583459-4676 folder moved successfully.

C:\RECYCLER folder moved successfully.

D:\RECYCLER\S-1-5-21-854245398-113007714-1417001333-500 folder moved successfully.

D:\RECYCLER folder moved successfully.

< ipconfig /flushdns /c >

Windows IP Configuration

Successfully flushed the DNS Resolver Cache.

C:\Documents and Settings\Administrator\Desktop\cmd.bat deleted successfully.

C:\Documents and Settings\Administrator\Desktop\cmd.txt deleted successfully.

C:\WINDOWS\SET3.tmp moved successfully.

C:\WINDOWS\SET4.tmp moved successfully.

C:\WINDOWS\SET8.tmp moved successfully.

C:\WINDOWS\System32\CONFIG.TMP moved successfully.

========== COMMANDS ==========

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

[EMPTYFLASH]

User: Administrator

->Flash cache emptied: 849 bytes

User: All Users

User: Default User

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb

Restore points cleared and new OTL Restore Point set!

[EMPTYTEMP]

User: Administrator

->Temp folder emptied: 11066165 bytes

->Temporary Internet Files folder emptied: 137907 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 70598218 bytes

->Flash cache emptied: 0 bytes

All processes killed

========== OTL ==========

Service HidServ stopped successfully!

Service HidServ deleted successfully!

File C:\WINDOWS\System32\hidserv.dll File not found not found.

Service a4ouufdhfaaqoet stopped successfully!

Service a4ouufdhfaaqoet deleted successfully!

File C:\WINDOWS\System32\koocucah.exe File not found not found.

Service nodpelcl stopped successfully!

Service nodpelcl deleted successfully!

C:\WINDOWS\system32\drivers\nodpelcl.sys moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\TaskMan:C:\Documents and Settings\Administrator\Application Data\nsvb.exe deleted successfully.

C:\Documents and Settings\Administrator\Application Data\nsvb.exe moved successfully.

Registry value HKEY_USERS\S-1-5-21-854245398-113007714-1417001333-500\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\Administrator\Application Data\nsvb.exe deleted successfully.

File C:\Documents and Settings\Administrator\Application Data\nsvb.exe not found.

Registry value HKEY_USERS\S-1-5-21-854245398-113007714-1417001333-500\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\Administrator\Application Data\juzjf.exe deleted successfully.

C:\Documents and Settings\Administrator\Application Data\juzjf.exe moved successfully.

C:\WINDOWS\System32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} folder moved successfully.

C:\WINDOWS\System32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE} folder moved successfully.

C:\WINDOWS\System32\CatRoot2 folder moved successfully.

C:\WINDOWS\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} folder moved successfully.

C:\WINDOWS\System32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE} folder moved successfully.

C:\WINDOWS\System32\CatRoot folder moved successfully.

File C:\WINDOWS\System32\drivers\nodpelcl.sys not found.

C:\WINDOWS\system32\drivers\lxxy.sys moved successfully.

File C:\Documents and Settings\Administrator\Application Data\juzjf.exe not found.

File C:\Documents and Settings\Administrator\Application Data\nsvb.exe not found.

File C:\WINDOWS\System32\drivers\lxxy.sys not found.

File C:\WINDOWS\System32\drivers\nodpelcl.sys not found.

File C:\Documents and Settings\Administrator\Application Data\juzjf.exe not found.

File C:\Documents and Settings\Administrator\Application Data\nsvb.exe not found.

File C:\Documents and Settings\Administrator\Application Data\juzjf.exe not found.

ADS C:\WINDOWS\Temp:temp deleted successfully.

========== FILES ==========

File\Folder C:\WINDOWS\System32\drivers\nodpelcl.sys not found.

File\Folder C:\WINDOWS\System32\drivers\lxxy.sys not found.

C:\RECYCLER\S-1-5-21-854245398-113007714-1417001333-500 folder moved successfully.

C:\RECYCLER\S-1-5-21-2604730624-7177754492-070583459-4676 folder moved successfully.

C:\RECYCLER folder moved successfully.

D:\RECYCLER\S-1-5-21-854245398-113007714-1417001333-500 folder moved successfully.

D:\RECYCLER folder moved successfully.

< ipconfig /flushdns /c >

Windows IP Configuration

Successfully flushed the DNS Resolver Cache.

C:\Documents and Settings\Administrator\Desktop\cmd.bat deleted successfully.

C:\Documents and Settings\Administrator\Desktop\cmd.txt deleted successfully.

C:\WINDOWS\SET3.tmp moved successfully.

C:\WINDOWS\SET4.tmp moved successfully.

C:\WINDOWS\SET8.tmp moved successfully.

C:\WINDOWS\System32\CONFIG.TMP moved successfully.

========== COMMANDS ==========

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

[EMPTYFLASH]

User: Administrator

->Flash cache emptied: 849 bytes

User: All Users

User: Default User

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb

Restore points cleared and new OTL Restore Point set!

[EMPTYTEMP]

User: Administrator

->Temp folder emptied: 11066165 bytes

->Temporary Internet Files folder emptied: 137907 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 70598218 bytes

->Flash cache emptied: 0 bytes

User: All Users

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService

->Temp folder emptied: 65984 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 402 bytes

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 36515 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 0 bytes

Total Files Cleaned = 78,00 mb

OTL by OldTimer - Version 3.2.17.3 log created on 12112010_125415

Files\Folders moved on Reboot...

File move failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...