Премини към съдържанието
haidukpikaso

Как да премахна грешките от системата ? [ПРИКЛЮЧЕНА]

    Препоръчан отговор


    Не знам и какво да питам даже.

    Знам само че има някакви гадини в компчето и е голямо мазало.

    Нямам антивирусна,само с Malwarebytes съм,с включена защита си е.

    Снощи теглих филм от Замундата,с магнитен линк,и оставих торента да се сийдва.

    Компчето заби в един момент и пуснах сканиране-намери 14 зловредия.

    До тук добре-сложи ги под карантина,но си иска винаги рестарт после.

    ОК-рестарт-и вече нямаше никой-само тапетчето ми на десктопа.

    Ни иконки,ни лента-нищо.

    При включване изписва за грешки и ме праща на страницата на Майкрософт,но нищо не разбирам.

    http://oca.microsoft.com/en/dcp20.asp

    Та през тази страница имам връзка със света в момента,с нета.

    Грешките се намират в Уиндос в папката Темп.

    Това разбрах само.

    Операционната ми система е Windows XP S3.

    А да,посъветваха ме да върна назад системата-е през Save Mode влязох,върнах я на 5 юни-пак същото положение.

    http://www.kaldata.com/forums/public/style_emoticons/<#EMO_DIR#>/sad.gif

    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Здравей,

    Струва ми се, че си била поразена от Windows Recovery или подобна гад.

    Стъпка 1:

    Моля изтеглете unhide.exe от Grinler и го запазете на вашия десктоп.

    • Кликнете върху файла unhide.exe за да го стартирате
    • Програмата ще премахне hidden атрибутите от всички файлове на компютъра (ако имате скрити такива от вас, ще трябва да ги си ги скриете отново ръчно).

    Появиха ли се иконите на десктопа ?

    Предполагам липсват и иконите в Start Menu-то ?

    Ако е така направи следното:

    Стъпка 2:

    Изтеглете SystemLook и запазете програмата на десктопа.

    • Кликнете два пъти върху SystemLook.exe, за да стартирате програмата.
    • Копирайте съдържанието от цитата по-долу в текстовото поле на програмата:
    :dir
    %Temp%\smtmp /s
    
    • Кликнете на бутона Look, за да започне сканирането.
    • Когато сканирането завърши ще се отвори Notepad с резултата от сканирането. После публикувайте лог файла в следващия си коментар.

    Дано не си почиствала темп папките, защото гадината именно там копира всички преки пътища и изтрива оригиналите...ако си почиствала ще трябва ръчно да поправяш липсващите икони или да си преинсталираш всичките програми (за по-лесно).

    Поздрави !

    • Харесва ми 4

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Изтеглих го unhide.exe,но не мога да го стартирам.

    Нямам никакви иконки,изтеглените ми файлове отиват в My Documents в папката Downloads

    http://www.kaldata.com/forums/public/style_emoticons/<#EMO_DIR#>/sad.gif

    Да опитам освен през Save Mode да вляза там,нямам никаква друга връзка с нищо.

    Нищо не съм изтривала,аз където не разбирам не пипам.

    Затова и питам.

    Еrror Signature е прозореца,има 9 Р описани,ако трябва ще ги препиша.

    Редактирано от haidukpikaso (преглед на промените)
    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Защо не можете да го стартирате...? Какво се случва ? Някакво съобщение за грешка или просто не можете да намерите иконата за да я стартирате ?

    Ако иконата не се вижда просто отворете Start => Run => напишете командата control folders => натиснете Enter => отидете до View => и там:

    1. Сложете отметка пред Show hidden files, folders, and drives

    2. Махнете отметката пред Hide protected operating system files (recommended) и потвърдете с Apply.

    Публикувано изображение

    Сега виждат ли се иконите (макар да са леко прозрачни така) ?

    • Харесва ми 4

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Успях,донякъде де,влязох през Save Mode,стартирах unhide.exe.

    Пита ме дали искам рестарт-рестартирах и всичко се появи.

    Само че не мога да махна прозореца-иска ъпдейти,а са ми казали да не го ъпдейтвам Уиндоса.

    Ето това излезе на десктопа

    Публикувано изображение

    Пуснах и Malwarebytes-една гадина намери

    Публикувано изображение

    Публикувано изображение


    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Ок...

    СТЪПКА 1

    • Изтеглете Публикувано изображение и го запазете на вашия десктоп.

    • Стартирайте програмата и изберете 1. Натиснете Enter

    • Ще се появи лог файл с името RKreport[1].txt на вашия десктоп.

    • Копирайте съдържанието му в следващия си пост.

    СТЪПКА 2

    Сега направете следната проверка:

    • Изтеглете OTL.exe и го запазете на десктопа.
    • Стартирайте файла Публикувано изображение с двукратен клик на мишката.
    • Сложете отметка пред Scan All Users Публикувано изображение
    • Под менюто File Age => изберете 90 days
    • Под менюто Standard Registry => променете на ALL
    • Сложете отметки пред LOP и Purity Check

    • Под Публикувано изображение с Copy/ Paste въведете следната текстова информация:
    netsvcs
    %SYSTEMDRIVE%\*.*
    %USERPROFILE%\*.*
    %USERPROFILE%\Application Data\*.*
    %USERPROFILE%\Local Settings\Application Data\*.*
    %AllUsersProfile%\*.*
    %AllUsersProfile%\Application Data\*.*
    %USERPROFILE%\My Documents\*.*
    %CommonProgramFiles%\*.*
    %PROGRAMFILES%\*.*
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /90
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system32\Spool\prtprocs\w32x86\*.dll
    /md5start
    hlp.dat
    winlogon.exe
    wininit.exe
    userinit.exe
    explorer.exe
    volsnap.sys
    /md5stop
    
    • Натиснете маркираният в синьо бутон: Публикувано изображение.
    • Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt.
    • Публикувайте съдържанието на лог файловете в следващия си коментар.
    • Харесва ми 4

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Стъпка 1 -

    ами още така си стои,близо половин час ще стане,дадох Enter.

    То си беше нагласено на 1.

    Сигурно бавно става.

    Публикувано изображение

    Стъпка 2 - изпълнена,ето какво изписаха.

    Много са дълги,не стават да се копират.

    http://tranz.it/load.php?id=cHgdGmtGqQHBPtsY877152

    http://tranz.it/load.php?id=Ooym9vqmxWyWLEwY877158

    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    То трябвало да му се напише,доде вдяна що не работи.

    Ето му доклада и на него

    Публикувано изображение

    Редактирано от haidukpikaso (преглед на промените)
    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Така...

    Отворете Control Panel => Add or Remove Programs => намерете и деинсталирайте следните туулбари: (ако присъстват)

    Ask Toolbar

    Conduit Toolbar

    uTorrentBar Community Toolbar

    Burn4Free Toolbar

    След това...

    Преди да действаме да направим един бекъп на регистрите.

    Изтеглете и стартирайте Erunt като не пипате настройките.

    Сега вече...

    Cтартирайте пак OTL и с Copy/ Paste под колонката Custom Scans/Fixes въведете скриптовия текст от текстовото поле по-долу, като не забравяте да копирате скрипта 1 към 1, както и двете точки преди първия ред на скрипта!

    :OTL
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/burn4free/{F3DA4881-8FD3-4722-B3A3-790D76BCC844}
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66020
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66020
    IE - HKU\S-1-5-21-2052111302-1035525444-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/burn4free/{F3DA4881-8FD3-4722-B3A3-790D76BCC844}
    IE - HKU\S-1-5-21-2052111302-1035525444-1801674531-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} -  File not found
    IE - HKU\S-1-5-21-2052111302-1035525444-1801674531-1003\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} -  File not found
    FF - prefs.js..browser.search.defaultengine: "Ask.com"
    FF - prefs.js..browser.search.defaultenginename: "Ask.com"
    FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2828561&SearchSource=3&q={searchTerms}"
    FF - prefs.js..browser.search.order.1: "Ask.com"
    FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=FXTV5&o=101699&locale=en_EU&apn_uid=012852f6-49e5-4e06-9dab-727015e7eeb7&apn_ptnrs=F4&apn_sauid=0B25C7CB-0380-4A1B-A36A-93D459892762&apn_dtid=YYYYYYYYBG&q="
    00 | ---D | M] (Burn4Free DB Toolbar) -- C:\Documents and Settings\aia\Application Data\Mozilla\Firefox\Profiles\dfg8j4yn.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC}
    00 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\aia\Application Data\Mozilla\Firefox\Profiles\dfg8j4yn.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
    00 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\aia\Application Data\Mozilla\Firefox\Profiles\dfg8j4yn.default\extensions\engine@conduit.com
    00 | ---D | M] (Foxit PDF Creator Toolbar) -- C:\Documents and Settings\aia\Application Data\Mozilla\Firefox\Profiles\dfg8j4yn.default\extensions\toolbar@ask.com
    99 | ---- | M] () -- C:\Documents and Settings\aia\Application Data\Mozilla\Firefox\Profiles\dfg8j4yn.default\searchplugins\askcom.xml
    O2 - BHO: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} -  File not found
    O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} -  File not found
    O3 - HKLM\..\Toolbar: (Burn4Free DB Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} -  File not found
    O3 - HKLM\..\Toolbar: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} -  File not found
    O3 - HKU\S-1-5-21-2052111302-1035525444-1801674531-1003\..\Toolbar\WebBrowser: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} -  File not found
    O4 - HKLM..\Run: []  File not found
    O4 - HKLM..\Run: [ApnUpdater]  File not found
    O4 - HKLM..\Run: [netmon]  File not found
    O4 - HKLM..\Run: [UserFaultCheck]  File not found
    [2011.06.02 17:44:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\aia\Application Data\Toolbar4
    [2011.05.31 20:16:36 | 000,000,000 | ---D | C] -- C:\Documents and Settings\aia\Local Settings\Application Data\AskToolbar
    [2011.05.31 20:05:59 | 000,000,000 | ---D | C] -- C:\Documents and Settings\aia\Local Settings\Application Data\Conduit
    [2011.05.28 15:48:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\aia\Application Data\BabylonToolbar
    [2011.06.12 14:01:00 | 000,000,230 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
    [2011.06.12 13:52:21 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\cepshmoj.sys
    [2011.05.24 14:03:24 | 000,276,232 | ---- | M] () -- C:\Documents and Settings\aia\Local Settings\Application Data\ConduitInstaller.exe
    [2011.05.28 02:33:40 | 000,000,848 | ---- | C] () -- C:\Documents and Settings\aia\Start Menu\Programs\Startup\Corel Registration.lnk
    :reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    "AntiVirusOverride"=dword:00000000
    "FirewallOverride"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
    "EnableFirewall"=dword:00000001
    "DisableNotifications"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
    "DisableNotifications"=dword:00000000
    :commands
    [resethosts]
    [reboot]
    
    След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено: Публикувано изображение

    Ще се създаде лог файл. Публикувайте съдържанието му с Copy/Paste в следващия си коментар.

    PS: Ако не се появи лог файл, отворете папката C:\_OTL\MovedFiles отворете лог файла и публикувайте съдържанието му в следващия си пост.

    Тези файлове да са ви познати ?

    [2011.06.11 19:49:37 | 000,000,079 | ---- | M] () -- C:\WINDOWS\System32\asr_morlw

    [2011.06.11 19:49:32 | 000,000,079 | ---- | M] () -- C:\WINDOWS\System32\asr_jhuaz

    [2011.06.11 19:49:32 | 000,000,079 | ---- | M] () -- C:\WINDOWS\System32\asr_afelb

    Също така...предполагам, че иконите с Start Menu-то ги няма или ?

    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Нямам ги посочените туулбари,един единствен имам там - на Foxit Reader,програмата за PDF файлове.

    Стартирах Erunt и се инсталира,нищо не съм му пипала.

    Стартирах OTL с копираното,искаше ОК да му дам,дадох му,компа се рестартира.

    Не се появи лог,но го намерих в посочената папка.

    Ето го

    ========== OTL ==========

    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!

    HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\CustomizeSearch| /E : value set successfully!

    HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!

    HKU\S-1-5-21-2052111302-1035525444-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!

    Registry value HKEY_USERS\S-1-5-21-2052111302-1035525444-1801674531-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC} deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ deleted successfully.

    Registry value HKEY_USERS\S-1-5-21-2052111302-1035525444-1801674531-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{CA3EB689-8F09-4026-AA10-B9534C691CE0} deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}\ deleted successfully.

    Prefs.js: "Ask.com" removed from browser.search.defaultengine

    Prefs.js: "Ask.com" removed from browser.search.defaultenginename

    Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2828561&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl

    Prefs.js: "Ask.com" removed from browser.search.order.1

    Prefs.js: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=FXTV5&o=101699&locale=en_EU&apn_uid=012852f6-49e5-4e06-9dab-727015e7eeb7&apn_ptnrs=F4&apn_sauid=0B25C7CB-0380-4A1B-A36A-93D459892762&apn_dtid=YYYYYYYYBG&q=" removed from keyword.URL

    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{338B4DFE-2E2C-4338-9E41-E176D497299E} deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{338B4DFE-2E2C-4338-9E41-E176D497299E}\ deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

    Registry value HKEY_USERS\S-1-5-21-2052111302-1035525444-1801674531-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\netmon deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\UserFaultCheck deleted successfully.

    C:\Documents and Settings\aia\Application Data\Toolbar4\{338B4DFE-2E2C-4338-9E41-E176D497299E} folder moved successfully.

    C:\Documents and Settings\aia\Application Data\Toolbar4 folder moved successfully.

    C:\Documents and Settings\aia\Local Settings\Application Data\AskToolbar folder moved successfully.

    C:\Documents and Settings\aia\Local Settings\Application Data\Conduit\Toolbar\Facebook folder moved successfully.

    C:\Documents and Settings\aia\Local Settings\Application Data\Conduit\Toolbar folder moved successfully.

    C:\Documents and Settings\aia\Local Settings\Application Data\Conduit\Community Alerts\Log folder moved successfully.

    C:\Documents and Settings\aia\Local Settings\Application Data\Conduit\Community Alerts\LanguagePacks folder moved successfully.

    C:\Documents and Settings\aia\Local Settings\Application Data\Conduit\Community Alerts\Feeds folder moved successfully.

    C:\Documents and Settings\aia\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images folder moved successfully.

    C:\Documents and Settings\aia\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog folder moved successfully.

    C:\Documents and Settings\aia\Local Settings\Application Data\Conduit\Community Alerts\Dialogs folder moved successfully.

    C:\Documents and Settings\aia\Local Settings\Application Data\Conduit\Community Alerts folder moved successfully.

    C:\Documents and Settings\aia\Local Settings\Application Data\Conduit folder moved successfully.

    C:\Documents and Settings\aia\Application Data\BabylonToolbar\BabylonToolbar folder moved successfully.

    C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job moved successfully.

    C:\WINDOWS\system32\drivers\cepshmoj.sys moved successfully.

    C:\Documents and Settings\aia\Local Settings\Application Data\ConduitInstaller.exe moved successfully.

    C:\Documents and Settings\aia\Start Menu\Programs\Startup\Corel Registration.lnk moved successfully.

    ========== REGISTRY ==========

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"AntiVirusOverride"|dword:00000000 /E : value set successfully!

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirewallOverride"|dword:00000000 /E : value set successfully!

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\\"EnableFirewall"|dword:00000001 /E : value set successfully!

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\\"DisableNotifications"|dword:00000000 /E : value set successfully!

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\\"DisableNotifications"|dword:00000000 /E : value set successfully!

    ========== COMMANDS ==========

    C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

    HOSTS file reset successfully

    OTL by OldTimer - Version 3.2.24.0 log created on 06122011_161550

    Файловете нищо не ми говорят,не ги знам какви са.Това е дневника на Malwarebytes от снощи като намери гадините,и после стана мазалото.

    Malwarebytes' Anti-Malware 1.51.0.1200

    www.malwarebytes.org

    Версия на базата от данни: 6833

    Windows 5.1.2600 Service Pack 3

    Internet Explorer 6.0.2900.5512

    12.6.2011 г. 00:54:13

    mbam-log-2011-06-12 (00-54-13).txt

    Тип сканиране: Светкавично сканиране

    Сканирани обекти: 104130

    Изминало време: 18 секунда(и)

    Заразени процеси в паметта: 1

    Заразени модули в паметта: 0

    Заразени ключове в регистратурата: 2

    Заразени стойности в регистратурата: 5

    Заразени информационни обекти в регистратурата: 2

    Заразени папки: 0

    Заразени файлове: 1

    Заразени процеси в паметта:

    c:\WINDOWS\Fonts\unwise_.exe (Virus.Virut) -> 296 -> Failed to unload process.

    Заразени модули в паметта:

    (Не бяха открити зловредни обекти)

    Заразени ключове в регистратурата:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Hosts Controller (Virus.Virut) -> Quarantined and deleted successfully.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_HOSTS_CONTROLLER (Worm.Kolab) -> Quarantined and deleted successfully.

    Заразени стойности в регистратурата:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\intime (Malware.Trace) -> Value: intime -> Quarantined and deleted successfully.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\reup (Malware.Trace) -> Value: reup -> Quarantined and deleted successfully.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\WaitToKillServiceT (Malware.Trace) -> Value: WaitToKillServiceT -> Quarantined and deleted successfully.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\unwise_.exe (Trojan.Agent) -> Value: unwise_.exe -> Quarantined and deleted successfully.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\unwise_.exe (Trojan.Agent) -> Value: unwise_.exe -> Quarantined and deleted successfully.

    Заразени информационни обекти в регистратурата:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Заразени папки:

    (Не бяха открити зловредни обекти)

    Заразени файлове:

    c:\WINDOWS\Fonts\unwise_.exe (Virus.Virut) -> Delete on reboot.

    Иконките и на Старт менюто се появиха заедно с тези на десктопа веднага като стартирах unhide.exe.

    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Интересен лог...искам първо да се консултирам с главния ресърчър на Malwarebytes за някои неща.

    Но наличието на Virut, прави борбата леко казано излишна...полиморфните вируси са Game Over ситуация.

    http://www.threatexpert.com/report.aspx?md5=1efef64002797ceb7d298f89b71af7a8

    Направете една проверка с Kaspersky Virus Removal Tool

    След като стартирате инструмента, сложете отметка пред My Computer.

    От опциите за почистване изберете Disinfect => но не избирайте delete if disinfection fails.

    Изберете Start Scan.

    Ако по време на сканирането ви попита за дадено действие изберете skip.

    След като приключи проверката изберете Report, копирайте съдържанието му в следващия си пост.

    Затворете инструмента - това ше до деинсталира автоматично.

    Да се надяваме, че няма да се окаже Virut наистина...

    Всъщност си мисля, че това не е Virut, а червея Win32/Hatob.E.

    Тези файлове са част от него:

    [2011.06.11 19:49:37 | 000,000,079 | ---- | M] () -- C:\WINDOWS\System32\asr_morlw

    [2011.06.11 19:49:32 | 000,000,079 | ---- | M] () -- C:\WINDOWS\System32\asr_jhuaz

    [2011.06.11 19:49:32 | 000,000,079 | ---- | M] () -- C:\WINDOWS\System32\asr_afelb

    (после ще ги оправим тях, ако Касперски не ги изтрие първи).

    • Харесва ми 4

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Баси,наистина е Virut

    :)

    Не съм го изключила,то веднага намери това и си стои на 1 %,не го знам какво още сканира,какво да го правя

    Публикувано изображение

    Публикувано изображение

    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    За съжаление това е доста лоша новина...Надявах се да е само червея...ама така става като стоите без антивирусна програма !

    Борбата със полиморфни вируси от типа на Virut е загубена кауза.

    Virut проявява апетит към всички файлове с разширения .exe/ .com/ .scr/ .bat/ .pif/ .doc/ .htm/ .html/ .php/ .xml/ .zip/ .rar/ .7z/ .asp/ на всички дялове на дадена система....повече описание за вируса от статията на Night_Raven:

    Virut инжектира код в Winlogon.exe, за да забрани защитата на системни файлове на Windows (System File Protection).

    Чрез добавяне на ключове/стойности от регистратурата вирусът разрешава достъпа си до интернет (преодолявайки защитната стена на Windows, ако има такава).

    След сваляне на свой файл от интернет стартира свое копие на svchost.exe (който сам по себе си е легитимен и важен файл, част от Windows) и започва заразяването на файлове.

    Заразява файловете, които е програмиран да заразява, като това могат да са файлове на локални дялове, на външни памети или мрежови ресурси, като тези файлове могат да се намират и в архиви. Интересното в случая е, че Virut не се впечатлява от това дали даден файл е вече е заразен от свой събрат (Virut) или от друг вирус и заразява файловете отново.

    Впива мазните си пипалца в ntdll.dll чрез т.нар. кука (hook) и всички заявки за създаване на файл, отваряне на файл, създаване на процес, извеждане на информация за даден процес и др. минават първо през него (вируса).

    Вирусът заразява и .htm, .html, .php и .asp файлове, като добавя iframe със зловреден код. Това е особено опасно действие, ако заразеният компютър е интернет сървър, защото така всеки, който отвори въпросните файлове, ще бъде заразен.

    Отваря задна врата (backdoor) в системата и се свързва чрез IRC към определени чат канали, като предоставя възможност на автора на вируса да подава допълнителни инструкции, които гадинката да изпълнява - най-често изтегляне на още зловреден код и допълнително компрометиране на системата.

    Този тип вируси съдържат БЪГАВ зловреден код, който в повечето случаи не се почиства коректно от антивирусните приложения и в резултат на това редица приложения после спират да работят или дават грешки (както при вас се случва в момента). Още по-зле е когато инжектираните файлове са системни файлове на самата Операционна Система...това влияе върху нейната стабилност и производителност.

    Преинсталацията в случая е непълноценно решение. За целта ще трябва да направите следното:

    1. Не използвайте външни носители на информация за този компютър - USB флаш памети, преносими дискове и т.н. защото има опастност да пренесете заразата до други машини или да се заразите отново след поредната преинсталация и така да се получи един омагьосан кръг.

    Забележка: Ако имате ценни файлове, може да ги запишете и качите на безплатен хостинг в интернет. Но избягвайте да спасявате следните файлови разширения: .exe/ .com/ .scr/ .bat/ .pif/ .doc/ .htm/ .html/ .php/ .xml/ .zip/ .rar/ .7z/ .asp/

    2. Снабдете се с инсталационно CD на Windows и направете чиста инсталация с изтриване на всички дялове, формат и инсталация нa Windows.

    Публикувано изображение

    3. След като направиите чиста инсталация, инсталирайте Service Pack 3 и обновявайте Windows редовно.

    4. Инсталирайте някоя добра програма за защита: от безплатните - Avira, Avast, Microsoft Security Essentials, Comodo Internet Security и др., а за платените - вижте коментарите във форума за Сигурност и антивирусна защита, както и промоциите. След като инсталирате избраното от вас решение (моля инсталирайте само ЕДНА антивирусна програма) не забравяйте да я обновите и да проверите вече преинсталирания компютър.

    5. След това изтеглете, разархивирайте и стартирайте Panda USB Vaccine.

    Нарочно ви качвам по-стара версия, която не се нуждае от инсталиране. Разархивирайте архива и стартирайте приложението. Натиснете Vaccinate Computer. Чак след това можете да ползвате отново флашките си, но не забравяйте да ги сканирате след като ги включите към компютъра си.

    6. Ето затова трябва да избягвате торент сайтовете...Има си достатъчно на брой читави и безплатни алтернативи на повечето програми.

    Авторите на зловреден код ги обожават и затова моя съвет е да стоите надалеч от тях или поне да проверявате резултатите на за всички изтеглени файлове (преди да ги инсталирате) VirusTotal. Разбира се, не е задължително всички файлове оттам да са непременно зловредни, но ако не сте сигурни по-добре попитайте отколкото да рискувате.

    7. Добре е стартирането на непознати файлове да става в програми от сорта на BufferZone или Sandieboxie.

    8. Сърфирането е добре да става чрез Mozilla Firefox 4.0.1 с инсталирана добавка NoScript (с цел предпазване от iFrames атаки - забележка - NoScript действа на принципите на WebFirewall - не всички iframes са опасни - повечето са нужни за визуализацията на някои сайтове, но чрез добавката вие ще решите кои сайтове да добавяте в доверената зона на NoScript).

    9. Винаги използвайте актуални версии на използвания софтуер. Може да използвате SECUNIA за да проверите коя програма има нужда от актуализация.

    10. Внимавайте с използването на шернати папки...ако не използвате (споделени файлове и папки) аз предлагам да спрете тази функционалност...

    - от мрежовата карта (просто махнете тази отметка)

    Публикувано изображение

    - от десен бутон на My Computer => Manage => Shared Folders (изберете всичко едно по едно и натиснете Stop Sharing)

    Публикувано изображение

    (по-лесен начин е и спирането на Server услугата - Start => Run => напишете services.msc => натиснете Enter => намерете услугата Server => кликнете върху нея и я сложете на Disabled).

    Много съжалявам, че не можем да помогнем повече. Успех!

    • Харесва ми 5

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Благодаря ви за помощта и за всичко.

    :)

    Преинсталираха го.

    Каквото можах бях изпратила по пощите си като файлове-щото усещах че станало мазало.

    Та сме в изходна позиция,наново всичко.

    На никого не го пожелавам,гадно е

    http://www.kaldata.com/forums/public/style_emoticons/<#EMO_DIR#>/sad.gif

    Публикувано изображение

    • Харесва ми 4

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Регистрирайте се или влезете в профила си за да коментирате

    Трябва да имате регистрация за да може да коментирате това

    Регистрирайте се

    Създайте нова регистрация в нашия форум. Лесно е!

    Нова регистрация

    Вход

    Имате регистрация? Влезте от тук.

    Вход


    ×

    Информация

    Този сайт използва бисквитки (cookies), за най-доброто потребителско изживяване. С използването му, вие приемате нашите Условия за ползване.