Премини към съдържанието
ruci_bo

Вирус от фейсбук [темата е приключена]

    Препоръчан отговор


    Здравейте! И мен ме лепна вируса от фейсбук - в предишна тема (от mimss9) е описано премахването му - но при мен компютъра постоянно се рестартира! През сеиф мода също не може да се влезе! Компютъра е на дъщерята и има по С диска важни неща, което ме спъва да го форматирам и да инсталирам на наново! Операционната система е Windows XP. Предварително благодаря!

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Привет, доколото разбрах, няма начин да пуснете Windows през нормален режим и Safe Mode.

    Ако е така, може да опитаме нещо, което не е чак толкова трудно. За целта ви е необходим още един компютър, празно CD и търпение. Ето инструкция:

    Следвайте инструкцията за работа с OTLPEStd:

    • Изтеглете OTLPEStd.exe от линка по-долу и го запазете на десктопа на компютър с нормално функционираща операционна система.

      Публикувано изображение Изтегляне: OTLPEStd.exe (93.5 MB)

    • Поставете празно CD в CD-ROM устройството и стартирайте OTLPEStd.exe. Така ще се запише CD с OTLPEStd.

    • Направете така, че заразеният компютър да има CD за първо стартиращо устройство. Това става с настройки за реда на стартиране в BIOS. Ето как става: справка
    • Поставете записаното CD с OTLPEStd в CD-ROM устройството на заразения компютър и рестартирайте
    • Изчакайте този "Windows" да се зареди (REATOGO десктоп)
    • Стартирайте OTLPE с двукратен клик на мишката върху иконата
    • На въпроса: Do you wish to load the remote registry изберете Yes
    • На въпроса: Do you wish to load the user profile(s) for scanning изберете Yes
    • Маркирайте: Automatically Load All Remaining Users и натиснете ОК
    • Ще се стартира OTL
    • Под Custom Scans/Fixes с Copy/ Paste въведете скриптовия текст от текстовото поле по-долу. Mоже да използвате USB флашка за копиране на скрипта от чист компютър към стартирания с OTLPEStd. Ето скрипт:

      netsvcs
      msconfig
      drivers32 /all
      %SYSTEMDRIVE%\*.*
      %PROGRAMFILES%\*.*
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %PROGRAMFILES%\Internet Explorer\*.tmp
      %PROGRAMFILES%\Internet Explorer\*.dat
      %systemroot%\system32\Spool\prtprocs\w32x86\*.dll
      /md5start
      eventlog.dll
      scecli.dll
      netlogon.dll
      cngaudit.dll
      sceclt.dll
      ntelogon.dll
      logevent.dll
      iaStor.sys
      nvstor.sys
      atapi.sys
      beep.sys
      IdeChnDr.sys
      viasraid.sys
      AGP440.sys
      vaxscsi.sys
      hlp.dat
      nvatabus.sys
      viamraid.sys
      nvata.sys
      nvgts.sys
      iastorv.sys
      ViPrt.sys
      eNetHook.dll
      ahcix86.sys
      ahcix86s.sys
      KR10N.sys
      nvstor32.sys
      nvrd32.sys
      explorer.exe
      svchost.exe
      userinit.exe
      symmpi.sys
      qmgr.dll
      ws2_32.dll
      proquota.exe
      imm32.dll
      kernel32.dll
      ndis.sys
      autochk.exe
      spoolsv.exe
      xmlprov.dll
      ntmssvc.dll
      mswsock.dll
      ntfs.sys
      tcpip.sys
      termsrv.dll
      sfcfiles.dll
      st3shark.sys
      srsvc.dll
      adp3132.sys
      mv61xx.sys
      winlogon.exe
      wininit.exe
      volsnap.sys
      /md5stop
      %systemroot%\*. /mp /s
      
    • Натиснете маркираният в синьо бутон: Публикувано изображение.
    • Като приключи проверката, ще се създаде файл OTL.Txt.
    • Пренесете файла OTL.Txt на чист компютър (с USB флашка) и го прикачете в следващия си коментар (погледнете опцията "прикачени файлове", когато публикувате мнение).
    • Харесва ми 5

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Стартирайте отново заразения компютър с OTLPEStd. После пак OTLPE, по същия начин, както предишната инструкция. Като излезе OTL, копирайте (Copy) и поставете (Paste) скриптовия текст от текстовото поле по-долу под колонката Custom Scans/Fixes, като не забравяте да копирате скрипта 1 към 1, както и двете точки преди първия ред на скрипта.

    :otl
    SRV - File not found [Disabled] -- -- (HidServ)
    SRV - [2011/07/22 13:51:12 | 000,249,344 | ---- | M] () [Auto] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
    SRV - [2011/07/22 12:50:32 | 001,167,872 | -H-- | M] () [Auto] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
    DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
    DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
    DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
    DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
    DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
    DRV - File not found [Kernel | System] -- -- (PCIDump)
    DRV - File not found [Kernel | System] -- -- (lbrtfdc)
    DRV - File not found [Kernel | System] -- -- (i2omgmt)
    DRV - File not found [Kernel | System] -- -- (Changer)
    O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)
    O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)
    O3 - HKU\sisi_ON_C\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)
    O4 - HKLM..\Run: [3667393.exe] C:\Documents and Settings\sisi\Local Settings\Temp\3667393.exe ()
    O4 - HKLM..\Run: [6535236.exe] C:\WINDOWS\TEMP\6535236.exe ()
    O4 - HKLM..\Run: [6585074.exe] C:\WINDOWS\TEMP\6585074.exe ()
    O4 - HKLM..\Run: [7802832.exe] C:\WINDOWS\TEMP\7802832.exe ()
    O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe ()
    O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
    O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
    O4 - HKLM..\Run: [tray_ico] File not found
    O4 - HKLM..\Run: [tray_ico0] File not found
    O4 - HKLM..\Run: [tray_ico1] File not found
    O4 - HKLM..\Run: [tray_ico2] File not found
    O4 - HKLM..\Run: [tray_ico3] File not found
    O4 - HKLM..\Run: [tray_ico4] File not found
    O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()
    O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\sisi\cbzvl.exe) - C:\Documents and Settings\sisi\cbzvl.exe ()
    O20 - HKU\sisi_ON_C Winlogon: Shell - (C:\Documents and Settings\sisi\aegvvp.exe) - C:\Documents and Settings\sisi\aegvvp.exe ()
    O20 - HKU\sisi_ON_C Winlogon: Shell - (C:\Documents and Settings\sisi\cbzvl.exe) - C:\Documents and Settings\sisi\cbzvl.exe ()
    O31 - SafeBoot: AlternateShell - services32.exe
    O32 - AutoRun File - [2011/02/04 16:54:59 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
    O32 - AutoRun File - [2011/07/23 16:58:14 | 000,000,260 | ---- | M] () - E:\autorun.inf -- [ FAT ]
    O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
    [2011/07/22 14:26:33 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
    [2011/07/22 14:20:53 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
    [2011/07/22 13:02:46 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
    [2011/07/22 14:32:12 | 000,232,960 | ---- | C] () -- C:\WINDOWS\l1rezerv.exe
    [2011/07/22 14:03:44 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
    [2011/07/22 14:03:42 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
    [2011/07/22 14:03:41 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
    [2011/07/22 14:03:19 | 000,000,158 | ---- | C] () -- C:\WINDOWS\info1
    [2011/07/22 13:51:46 | 000,249,344 | ---- | C] () -- C:\WINDOWS\sysdriver32_.exe
    [2011/07/22 13:51:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
    [2011/07/22 13:51:21 | 000,249,344 | ---- | C] () -- C:\WINDOWS\sysdriver32.exe
    [2011/07/22 12:50:50 | 001,167,872 | ---- | C] () -- C:\WINDOWS\services32.exe
    [2011/07/21 02:27:23 | 000,082,432 | RHS- | C] () -- C:\Documents and Settings\sisi\cbzvl.exe
    [2011/07/17 09:09:27 | 000,084,992 | RHS- | C] () -- C:\Documents and Settings\sisi\aegvvp.exe
    :files
    recycler /alldrives
    ipconfig /flushdns /c
    :commands
    [purity]
    [resethosts]
    [emptytemp]
    [emptyflash]
    

    След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено: Run Fix (тук внимавайте да не объркате бутоните, защото преди изпползвахме Run Scan).

    Ще се създаде лог файл. Използвайте флашка за пренасяне на скрипта и за лога от OTL. Публикувайте съдържанието на лога му с Copy/Paste в следващия си коментар. Може и да не публикувате лога, а да пробвате дали заразеният компютър ще стартира в нормален режим, но само след изпълнението на скрипта.

    P.S. Прекрасно се справяте!

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Пуснах скрипта, след което прабвах да пусна заразения компютър - в нормален режим не тръгва, само safe mode! Рестартирах но пак така тръгва! Автоматичното рестартиране е изчезнало! Архивирал съм на флашка файловете които и трябват така, че евентуална преинсталация не е страшна! Генерирания лог файл е:

    ========== OTL ==========

    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HidServ deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srvsysdriver32 deleted successfully.

    C:\WINDOWS\sysdriver32.exe moved successfully.

    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wxpdrivers deleted successfully.

    C:\WINDOWS\update.1\svchost.exe moved successfully.

    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WDICA deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PDRFRAME deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PDRELI deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PDFRAME deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PDCOMP deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCIDump deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lbrtfdc deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i2omgmt deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Changer deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ deleted successfully.

    C:\Program Files\AskBarDis\bar\bin\askBar.dll moved successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98} deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}\ deleted successfully.

    File C:\Program Files\AskBarDis\bar\bin\askBar.dll not found.

    Registry value HKEY_USERS\sisi_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041D03E-FD4B-44E0-B742-2D9B88305F98} deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}\ not found.

    File C:\Program Files\AskBarDis\bar\bin\askBar.dll not found.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\3667393.exe deleted successfully.

    C:\Documents and Settings\sisi\Local Settings\Temp\3667393.exe moved successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\6535236.exe deleted successfully.

    File C:\WINDOWS\TEMP\6535236.exe not found.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\6585074.exe deleted successfully.

    File C:\WINDOWS\TEMP\6585074.exe not found.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\7802832.exe deleted successfully.

    File C:\WINDOWS\TEMP\7802832.exe not found.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\l1rezerv.exe deleted successfully.

    C:\WINDOWS\l1rezerv.exe moved successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task deleted successfully.

    C:\Program Files\Final Codecs\QTTask.exe moved successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\sysdriver32.exe deleted successfully.

    File C:\WINDOWS\sysdriver32.exe not found.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\sysdriver32_.exe deleted successfully.

    C:\WINDOWS\sysdriver32_.exe moved successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico0 deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico1 deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico2 deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico3 deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico4 deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\wxpdrv deleted successfully.

    C:\WINDOWS\services32.exe moved successfully.

    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\TaskMan:C:\Documents and Settings\sisi\cbzvl.exe deleted successfully.

    C:\Documents and Settings\sisi\cbzvl.exe moved successfully.

    Registry value HKEY_USERS\sisi_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\sisi\aegvvp.exe deleted successfully.

    C:\Documents and Settings\sisi\aegvvp.exe moved successfully.

    Registry value HKEY_USERS\sisi_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\sisi\cbzvl.exe deleted successfully.

    File C:\Documents and Settings\sisi\cbzvl.exe not found.

    Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\\AlternateShell deleted successfully.

    C:\AUTOEXEC.BAT moved successfully.

    E:\autorun.inf moved successfully.

    File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.

    C:\WINDOWS\update.2 folder moved successfully.

    C:\WINDOWS\update.5.0 folder moved successfully.

    C:\WINDOWS\update.1 folder moved successfully.

    File C:\WINDOWS\l1rezerv.exe not found.

    C:\WINDOWS\geoiplist moved successfully.

    C:\WINDOWS\unrar.exe moved successfully.

    C:\WINDOWS\geoiplist.rar moved successfully.

    C:\WINDOWS\info1 moved successfully.

    File C:\WINDOWS\sysdriver32_.exe not found.

    C:\WINDOWS\loader2.exe_ok moved successfully.

    File C:\WINDOWS\sysdriver32.exe not found.

    File C:\WINDOWS\services32.exe not found.

    File C:\Documents and Settings\sisi\cbzvl.exe not found.

    File C:\Documents and Settings\sisi\aegvvp.exe not found.

    ========== FILES ==========

    Invalid Switch: alldrives

    < ipconfig /flushdns /c >

    Windows IP Configuration

    An internal error occurred: The system cannot find the file specified.

    Please contact Microsoft Product Support Services for further help.

    Additional information: Unable to open registry key for tcpip.

    C:\cmd.bat deleted successfully.

    C:\cmd.txt deleted successfully.

    ========== COMMANDS ==========

    C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

    HOSTS file reset successfully

    [EMPTYTEMP]

    User: Administrator

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 33170 bytes

    User: All Users

    User: All Users.WINDOWS

    User: Default User

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Default User.WINDOWS

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService.NT AUTHORITY

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 402 bytes

    User: NetworkService.NT AUTHORITY

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 715751 bytes

    User: silviya bozhinova

    ->Temp folder emptied: 656669875 bytes

    ->Temporary Internet Files folder emptied: 1371890 bytes

    ->FireFox cache emptied: 104506208 bytes

    ->Google Chrome cache emptied: 6162037 bytes

    ->Flash cache emptied: 2184 bytes

    User: sisi

    ->Temp folder emptied: 1892377233 bytes

    ->Temporary Internet Files folder emptied: 4275229 bytes

    ->FireFox cache emptied: 85028657 bytes

    ->Flash cache emptied: 7915 bytes

    %systemdrive% .tmp files removed: 0 bytes

    %systemroot% .tmp files removed: 2142714 bytes

    %systemroot%\System32 .tmp files removed: 2577 bytes

    %systemroot%\System32\dllcache .tmp files removed: 0 bytes

    %systemroot%\System32\drivers .tmp files removed: 0 bytes

    Windows Temp folder emptied: 0 bytes

    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 65072976 bytes

    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

    Total Files Cleaned = 2,688.00 mb

    [EMPTYFLASH]

    User: Administrator

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 0 bytes

    User: All Users

    User: All Users.WINDOWS

    User: Default User

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User.WINDOWS

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 0 bytes

    User: LocalService

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 0 bytes

    User: LocalService.NT AUTHORITY

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 0 bytes

    User: NetworkService

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 0 bytes

    User: NetworkService.NT AUTHORITY

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 0 bytes

    User: silviya bozhinova

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 0 bytes

    ->FireFox cache emptied: 0 bytes

    ->Google Chrome cache emptied: 0 bytes

    ->Flash cache emptied: 0 bytes

    User: sisi

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 0 bytes

    ->FireFox cache emptied: 0 bytes

    ->Flash cache emptied: 0 bytes

    Total Flash Files Cleaned = 0.00 mb

    OTLPE by OldTimer - Version 3.1.48.0 log created on 07242011_011718

    P.S. И двата диска се препълнени (C и D) но в момента не знам кое да изтъркам (собственичката на компа вече е заспала) утре ще освободя пространство!

    Редактирано от ruci_bo (преглед на промените)

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Хм, това, че поне Safe Mode тръгне все пак е нещо. Има шанс да оправим нещата. Има пачнати системни файлове, които може да възстановим. Ако желаете, пробвайте в Safe Mode следното:

    Изтеглете ComboFix от: тук

    ВАЖНО: Запазете ComboFix.exe на вашия десктоп!

    Ако има проблем с програма за сигурност, вижте как може да я спрете временно: How to Disable your Security Programs.

    • Стартирайте Combofix.exe и следвайте инструкциите.

    Забележка:

    • Моля, не движете мишката, докато ComboFix работи. Това може да наруши процеса на работа.
    • ComboFix ще нулира всички настройки на Internet Explorer (IE), включително да направи IE браузър по подразбиране.
    • ComboFix ще изключи autorun функцията на всички CD, Floppy и USB устройства, за да помогне при премахването на зловредния софтуер и защити системата от бъдещи вируси/заплахи, които поразяват посредством autorun. Ако това е проблем за вас - моля, уведомете ме.
    • ComboFix ще изключи вашата интернет връзка. Интернет връзката ще се възстанови автоматично, преди ComboFix да завърши процеса на работа. При проблем, той също ще изключи интернет връзката. За да възстановите интернет връзката си, рестартирайте компютъра си.
    • В случай на проблем с ComboFix, той може да създаде лог файл. Моля, включете съдържанието на C:\BUG.txt в следващия Ви коментар в тази тема.

    Работата на ComboFix може да отнеме до 20-30 минути. Затова имайте търпение. Когато процесът приключи успешно, ComboFix ще създаде лог файл. Моля, копирайте съдържанието на C:\ComboFix.txt и го поставете в следващия си коментар в тази тема.

    ...................................................

    P.S. Предполагам, че имате Safe Mode с мрежа (Network), Ако не е така, може да прехвърлите ComboFix на десктопа на заразената машина с OTLPEStd. Там имате достъп до дяловете.

    Ако не ви се занимава, направете преинсталация. Във всички случаи пишете за вашето решение. Успех!

    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Тази стъпка се позакучи!

    1-ви опит през SAFE MODE - вървя до някъде, обаче проблема дойде (предполагам), че няма мрежа стигна до някъде и до там остана - не ми генерира тхт файловете. От тук дойде и следващ проблем - при рестарт вече тръгва на SAFE MODE но в DOS режим.

    2-ри опит - стартиране на заразената машина с OTLPEStd. По Вашата инструкция слагам ComboFix на дестопа и пускам - дава ми, че си търси файл 023.dat (x:\32788r22fwjfw\023.dat) - и до тук бях с опита.

    3-ти опит - пускам заразената машина като предварително съм поставил ComboFix на С. Пуснах комбото през DOS вървя и генерира тоз път файла ComboFix.тхт но в един момент ми даде следното съобщение: PEV.exe. has encountered a problem and needs to close. We are sorry for the inconvenience.

    Прилагам ComboFix.тхт:

    ComboFix 11-07-23.04 - Administrator 07/24/2011 17:22:18.2.1 - x86 MINIMAL

    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1918.1595 [GMT 3:00]

    Running from: C:\ComboFix.exe

    AV: Symantec AntiVirus Corporate Edition *Enabled/Outdated* {FB06448E-52B8-493A-90F3-E43226D3305C}

    .

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

    .

    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    .

    .

    ---- Previous Run -------

    .

    c:\windows\front_ip_list.txt

    c:\windows\iecheck_iplist.txt

    c:\windows\iplist.txt

    c:\windows\proc_list1.log

    c:\windows\system32\drivers\etc\HSTS~1

    c:\windows\winlog-dirs.txt

    c:\windows\winlog-ids.txt

    c:\windows\winsetupapi.log

    .

    .

    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .

    .

    -------\Legacy_SRVIECHECK

    .

    .

    ((((((((((((((((((((((((( Files Created from 2011-06-24 to 2011-07-24 )))))))))))))))))))))))))))))))

    .

    .

    2011-07-24 05:17 . 2011-07-13 02:55 2237440 ----a-r- C:\OTLPE.exe

    2011-07-24 05:17 . 2011-07-24 05:17 -------- d-----w- C:\_OTL

    2011-07-23 10:59 . 2011-07-23 10:59 -------- d-----w- c:\documents and settings\Administrator

    2011-07-23 09:24 . 2001-08-17 10:48 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys

    2011-07-23 09:24 . 2001-08-17 11:02 9600 ----a-w- c:\windows\system32\drivers\hidusb.sys

    2011-07-04 19:05 . 2011-07-04 19:05 -------- d-----w- c:\documents and settings\sisi\Application Data\TeamViewer

    .

    .

    .

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    2010-01-26 09:11 . 2011-03-18 16:16 444283 -c--a-w- c:\program files\Common Files\WinPcapNmap.exe

    .

    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    .

    *Note* empty entries & legit default entries are not shown

    REGEDIT4

    .

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "RTHDCPL"="RTHDCPL.EXE" [2006-09-06 16262656]

    "SkyTel"="SkyTel.EXE" [2006-05-16 2879488]

    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-12-12 344064]

    "ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2006-07-19 52896]

    "vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-09-27 125168]

    "Battery Optimizer"="c:\program files\ReviverSoft\Battery Optimizer\BatteryOptimizer.exe" [2010-09-14 8788848]

    .

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

    "EnableSecureUIAPaths"= 0 (0x0)

    .

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]

    "FirewallOverride"=dword:00000001

    "DisableThumbnailCache"=dword:00000001

    .

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

    "DisableMonitoring"=dword:00000001

    .

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

    "EnableFirewall"= 0 (0x0)

    .

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

    "%windir%\\system32\\sessmgr.exe"=

    "c:\\Program Files\\BitComet\\BitComet.exe"=

    "c:\\Documents and Settings\\sisi\\My Documents\\Downloads\\Flash-Player.exe"=

    .

    R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2/14/2011 6:21 PM 715248]

    S2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [1/27/2010 5:09 AM 50704]

    S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [6/10/2011 9:08 PM 105592]

    S3 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [9/27/2006 9:33 PM 116464]

    .

    Contents of the 'Scheduled Tasks' folder

    .

    2011-07-22 c:\windows\Tasks\AppleSoftwareUpdate.job

    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

    .

    .

    ------- Supplementary Scan -------

    .

    TCP: DhcpNameServer = 10.10.0.1 77.76.144.129

    .

    .

    **************************************************************************

    .

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2011-07-24 17:33

    Windows 5.1.2600 Service Pack 2 NTFS

    .

    scanning hidden processes ...

    .

    scanning hidden autostart entries ...

    .

    scanning hidden files ...

    .

    scan completed successfully

    hidden files: 0

    .

    **************************************************************************

    .

    --------------------- DLLs Loaded Under Running Processes ---------------------

    .

    - - - - - - - > 'winlogon.exe'(240)

    c:\windows\system32\Ati2evxx.dll

    .

    Completion time: 2011-07-24 17:36:38

    ComboFix-quarantined-files.txt 2011-07-24 14:36

    .

    Pre-Run: 3,304,579,072 bytes free

    Post-Run: 3,256,033,280 bytes free

    .

    - - End Of File - - B1B8AFE380A6547939D05850930B061E

    P.S. Заразената машина в момета тръгва само в SAFE MODE с DOS, при опити да вляза през менюто за избор - влизам в менюто - но каквото и да избера - то си знае неговата и си тръгва все така! При пускане на машината с OTLPEStd - нет си има!

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Здравейте пак! И тази стъпка я закучих! Изтеглих файла от линка! Стартирах заразената машина през OTLPEStd и стартирах файла - даде ми че не му достига памет и нищо не се получи! Рестартирах компа и през SAFE MODE го пуснах - тоз път нещо се получи но резултатът е като пусна компа достига до сл. съобщение Windows XP Setup cannot run under Safemode. Setup will restart now. Като дам ОК компа се растартира и пак до тук!

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Много съжалявам затова, че съм ви объркал. Пропуснах, че имате Windows XP, защото писах в други теми с Windows 7. Може да направите Repair Install, защото според мен това ще бъде далеч по-лесно и бързо, отколкото да се опитваме да оправим Windows. Ето информация: How to perform an in-place upgrade (reinstallation) of Windows XP.

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Пусках Repair от инсталационен диск на Windows XP - няма ефект! Мисля да се отказвам от борба с бубулечката! Най-важното свършихме - спасихме файловете на детето! Ще форматирам С-диска и ще инсталирам наново! Притиснява ме само, че нямам диск с драйверите на машината - това лаптоп Тошиба - модела е от преди горе - долу 2 години, но предполагам в сайта на производителя ще ги има! Много Ви благодаря за съдействието!

    Редактирано от ruci_bo (преглед на промените)
    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Не мисля, че ще има проблем с драйверите. Toshiba имат сериозно ниво за поддръжка. Ето линк за драйвери, в зависимост от модела: тук. В момента ви пиша от лаптоп Toshiba, модел отпреди година.

    Много ме е яд, че заради една глупава моя инструкция не успяхме да възстановим пораженията. За мен беше удоволствие да работим заедно по проблема. Справихте се перфектно.

    Маркирам проблемът не като решен, а като приключен. Пожелавам ви приятна вечер и успех!

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Ако може да предложа нещо за драйвърите: (надявам се колегата да няма нищо против): Можете да прочетете и тази тема: http://www.kaldata.com/forums/index.php?showtopic=180668

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Регистрирайте се или влезете в профила си за да коментирате

    Трябва да имате регистрация за да може да коментирате това

    Регистрирайте се

    Създайте нова регистрация в нашия форум. Лесно е!

    Нова регистрация

    Вход

    Имате регистрация? Влезте от тук.

    Вход


    ×

    Информация

    Този сайт използва бисквитки (cookies), за най-доброто потребителско изживяване. С използването му, вие приемате нашите Условия за ползване.