Премини към съдържанието

    Препоръчан отговор


    Ей хора , аз вчера същия сакатлък като автора на темата , на толкова много хора съм отворил очите как да се пазят в мрежата -какво да отварят-какво не и какви страници да избягват и сега аз се нахаках като последния аматьор на няккъв клип уж на YouTube само че адреса не беше www.youtube.com/няккъв си клип ами беше някво Ай Пи . Тва беше първия сигнал който игнорирах. Втория сигнал беше че ми иска да изтегля новия Adobe Flash Player за да гледам клипа. Пък да кажеш че не съм отварял YouTUbe от една година.-- не, може би от един час не го бях отварял. И този сигнал игнорирах . Изтеглих аз там тоя шит дето ми сасипа нервната система от вчера и ми изкарва съобщение долу в дясно на таскбара че е открит вирус и във зелено ми свети бутон Remove, което съобщение не беше като характерното за Аваста. И хоп като типичен лаик батко натиска да изчисти вируса и .......айде системата шът даун. Почна борбата . Пуснах един тест в биоса за стартирането на системата и след това ми зареди с малко зор. РАзрових се и прочетох за Malwarebytes, изтеглих го , сканирах и ми намери инфектирани файлове, които истрих. Преинсталирах антивирусната, щото беше заминала и нещата горе - долу влязоха вред. Сега обаче явно е останал няккъв скрипт някъде , защото отвреме-навреме Malwarebytes ми показва че блокира достъп от някво IP , което при проверка ми показва че е от New York . Друг остатъчен ефект е , че когато въведа в браузъра адреса http://facebook.com и ме препраща автоматично на http://www.facebook.com/xampp.

    Въпроса ми е как да спра атаките от тези IP-та и как да фиксирам проблема със http://www.facebook.com. (пробвах със различни браузъри -същата греда)

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Това е добре че си прехвърлил в нова тема , но за тия логове ......не мие много ясно ?!??!

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    За да не губим време, ето инструкция за работа с OTL:

    Изтеглете OTL.exe и го запазете на десктопа.

    • Стартирайте OTL (ако е необходимо, потвърдете през UAC).
    • Направете следните настройки:
    • Сложете отметка пред Scan All Users Публикувано изображение
    • Под менюто File Age => изберете 90 days
    • Под менюто Standard Registry => променете на ALL
    • Сложете отметки пред LOP и Purity Check
    Под Публикувано изображение с Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето):

    netsvcs
    msconfig
    drivers32 /all
    %SYSTEMDRIVE%\*.*
    %PROGRAMFILES%\*.*
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %PROGRAMFILES%\Internet Explorer\*.tmp
    %PROGRAMFILES%\Internet Explorer\*.dat
    %systemroot%\system32\Spool\prtprocs\w32x86\*.dll
    /md5start
    atapi.sys
    iaStor.sys
    explorer.exe
    svchost.exe
    userinit.exe
    hlp.dat
    winlogon.exe
    wininit.exe
    volsnap.sys
    /md5stop
    • Натиснете маркираният в синьо бутон: Run Scan.
    • Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt. Прикачете тези два файла в следващия си коментар (погледнете опцията "прикачени файлове", когато публикувате мнение).
    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Извинявай , първо тряаааше наистина да прочета правилата . Пуснах DDS да сканира и публикувам съдържанието на двата файла. Ше направя и това със OTL.

    Редактирано от TOP GUN (преглед на промените)

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Къде са логовете от OTL? Видяхте ли какво написах в коментар номер 4 от темата? Ако мислите да ми губите времето, няма да стане. Четете внимателно инструкциите, които ви се дават в тази тема. Ако не желаете да изпълнявате инструкциите - просто го напишете в следващия си коментар.

    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Най-малко искам да Ви губя времето. Ето логовете от ОТЛ.

    Сори, сега ше ги прикача !

    Сега като попрегледах и аз файловете(не че ше ми се изясни картината ) но забелязах че сайтовете с разширение .ru въобще не съм ги посещавал...поне не нарочно и сега като се опитах да ги отворя и на тях като на фейса ми добавя едно xampp към адреса и ме препраща на локалния ми сървър.

    OTL.Txt

    Extras.Txt

    Редактирано от TOP GUN (преглед на промените)

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Стартирайте отново OTL, копирайте (Copy) и поставете (Paste) скриптовия текст от текстовото поле по-долу под колонката Custom Scans/Fixes, като не забравяте да копирате скрипта 1 към 1, както и двете точки преди първия ред на скрипта.

    :otl
    IE - HKU\S-1-5-21-2856882943-1829230440-4072944015-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local\
    IE - HKU\S-1-5-21-2856882943-1829230440-4072944015-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=0&l=dir
    FF - prefs.js..browser.search.defaultengine: "Ask.com"
    FF - prefs.js..browser.search.order.1: "Ask.com"
    [2010.08.02 07:48:08 | 000,002,255 | ---- | M] () -- C:\Users\mimi\AppData\Roaming\Mozilla\Firefox\Profiles\lmmijetx.default\searchplugins\askcom.xml
    O31 - SafeBoot: AlternateShell - services32.exe
    O33 - MountPoints2\{e93425a8-9cc4-11df-b812-002186d2fc30}\Shell - "" = AutoRun
    O33 - MountPoints2\{e93425a8-9cc4-11df-b812-002186d2fc30}\Shell\AutoRun\command - "" = G:\Cossacks2Setup.exe
    @Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:25C06B7F
    @Alternate Data Stream - 100 bytes -> C:\ProgramData\TEMP:C60FAC5D
     
    :files
    C:\Windows\ufa
    C:\Windows\phoenix
    C:\Windows\update.5.0
    C:\Windows\update.2
    C:\Windows\av_ico
    C:\Windows\update.1
    C:\Windows\update.tray-7-0
    C:\Windows\tasks\AutoKMS.job
    C:\Windows\tasks\AutoKMSDaily.job
    C:\Windows\Tasks\AWC Startup.job
    C:\Windows\System32\drivers\etc\hosts.ics
    C:\Windows\info1
    C:\Windows\phoenix.rar
    C:\Windows\rpcminer.rar
    C:\Windows\unrar.exe
    C:\Windows\ufa.rar
    C:\Windows\geoiplist.rar
    C:\Windows\loader2.exe_ok
    C:\Windows\geoiplist
    C:\Windows\AutoKMS.ini
    C:\Windows\AutoKMS.exe
    recycler /alldrives
    ipconfig /flushdns /c
     
    :reg
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "FirewallOverride"=dword:00000000
    "DisableThumbnailCache"=dword:00000000
     
    :commands
    [purity]
    [resethosts]
    [emptytemp]
    [emptyflash]
    [Reboot]
    
    След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено: Run Fix

    Windows ще се рестартира и ще се създаде лог файл. Публикувайте съдържанието му с Copy/Paste в следващия си коментар.

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Nologo , страшен си . Вече влизам във фейса.

    ето съдържанието на новия файл.

    All processes killed

    ========== OTL ==========

    HKU\S-1-5-21-2856882943-1829230440-4072944015-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!

    HKU\S-1-5-21-2856882943-1829230440-4072944015-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!

    Prefs.js: "Ask.com" removed from browser.search.defaultengine

    Prefs.js: "Ask.com" removed from browser.search.order.1

    C:\Users\mimi\AppData\Roaming\Mozilla\Firefox\Profiles\lmmijetx.default\searchplugins\askcom.xml moved successfully.

    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\\AlternateShell deleted successfully.

    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e93425a8-9cc4-11df-b812-002186d2fc30}\ deleted successfully.

    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e93425a8-9cc4-11df-b812-002186d2fc30}\ not found.

    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e93425a8-9cc4-11df-b812-002186d2fc30}\ not found.

    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e93425a8-9cc4-11df-b812-002186d2fc30}\ not found.

    File G:\Cossacks2Setup.exe not found.

    ADS C:\ProgramData\TEMP:25C06B7F deleted successfully.

    ADS C:\ProgramData\TEMP:C60FAC5D deleted successfully.

    ========== FILES ==========

    C:\Windows\ufa folder moved successfully.

    C:\Windows\phoenix\kernels\poclbm folder moved successfully.

    C:\Windows\phoenix\kernels\phatk folder moved successfully.

    C:\Windows\phoenix\kernels folder moved successfully.

    C:\Windows\phoenix folder moved successfully.

    C:\Windows\update.5.0 folder moved successfully.

    C:\Windows\update.2 folder moved successfully.

    C:\Windows\av_ico folder moved successfully.

    C:\Windows\update.1 folder moved successfully.

    C:\Windows\update.tray-7-0 folder moved successfully.

    C:\Windows\tasks\AutoKMS.job moved successfully.

    C:\Windows\tasks\AutoKMSDaily.job moved successfully.

    C:\Windows\Tasks\AWC Startup.job moved successfully.

    C:\Windows\System32\drivers\etc\hosts.ics moved successfully.

    C:\Windows\info1 moved successfully.

    C:\Windows\phoenix.rar moved successfully.

    C:\Windows\rpcminer.rar moved successfully.

    C:\Windows\unrar.exe moved successfully.

    C:\Windows\ufa.rar moved successfully.

    C:\Windows\geoiplist.rar moved successfully.

    C:\Windows\loader2.exe_ok moved successfully.

    C:\Windows\geoiplist moved successfully.

    C:\Windows\AutoKMS.ini moved successfully.

    C:\Windows\AutoKMS.exe moved successfully.

    recycler not found in C:\

    D:\RECYCLER\S-1-5-21-299502267-152049171-1417001333-1003\Dd564 folder moved successfully.

    D:\RECYCLER\S-1-5-21-299502267-152049171-1417001333-1003 folder moved successfully.

    D:\RECYCLER folder moved successfully.

    < ipconfig /flushdns /c >

    Windows IP Configuration

    Successfully flushed the DNS Resolver Cache.

    C:\Users\mimi\Desktop\cmd.bat deleted successfully.

    C:\Users\mimi\Desktop\cmd.txt deleted successfully.

    ========== REGISTRY ==========

    HKEY_LOCAL_MACHINE\software\microsoft\security center\\"FirewallOverride"|dword:00000000 /E : value set successfully!

    HKEY_LOCAL_MACHINE\software\microsoft\security center\\"DisableThumbnailCache"|dword:00000000 /E : value set successfully!

    ========== COMMANDS ==========

    C:\Windows\System32\drivers\etc\Hosts moved successfully.

    HOSTS file reset successfully

    [EMPTYTEMP]

    User: All Users

    User: Default

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Default User

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 0 bytes

    User: mimi

    ->Temp folder emptied: 3703163 bytes

    ->Temporary Internet Files folder emptied: 2366350 bytes

    ->Java cache emptied: 3740594 bytes

    ->FireFox cache emptied: 98766653 bytes

    ->Google Chrome cache emptied: 10832136 bytes

    ->Flash cache emptied: 456 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes

    %systemroot% .tmp files removed: 0 bytes

    %systemroot%\System32 .tmp files removed: 0 bytes

    %systemroot%\System32\drivers .tmp files removed: 0 bytes

    Windows Temp folder emptied: 9754260 bytes

    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

    RecycleBin emptied: 162212081 bytes

    Total Files Cleaned = 278,00 mb

    [EMPTYFLASH]

    User: All Users

    User: Default

    User: Default User

    User: mimi

    ->Flash cache emptied: 0 bytes

    User: Public

    Total Flash Files Cleaned = 0,00 mb

    OTL by OldTimer - Version 3.2.26.1 log created on 07242011_161356

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...

    Гледам обаче , че Malwarebytes ми блокира все още някви постоянни атаки от някво IP през порт 27278 и маскирани като utorrent.exe

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Още не сме свършили. Следва:

    • Обновете Malwarebytes' Anti-Malware. Стартирайте програмата и изберете Perform Quick Scan, след това кликнете на Scan.
    • Сканирането ще отнеме малко време, затова моля бъдете търпеливи.
    • Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата.
    • Уверете се, че на всички редове има отметки, и кликнете Remove Selected.
    • Когато всичко бъде премахнато, логът ще бъде отворен в Notepad. Копирайте лога и го публикувайте в следващия си коментар в темата.
    Забележка: Ако MalwareBytes' Anti-Malware се затрудни в премахването на откритите вируси/заплахи, той ще поиска да рестартира компютъра и по време на рестартирането да премахне проблемните вируси/заплахи. Ако бъдете попитани, потвърдете че желаете вашия компютър да бъде рестартиран.
    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Направете една проверка с Kaspersky Virus Removal Tool 2011

    След като стартирате инструмента, отидете до Settings (Иконата, която прилича на звездичка) сложете отметка пред My Computer.

    Публикувано изображение

    От опциите за почистване изберете Disinfect => но не избирайте delete if disinfection fails.

    Публикувано изображение

    Върнете се до Automatic Scan и натиснете Start Scanning.

    Публикувано изображение

    Ако по време на сканирането ви попита за дадено действие изберете skip.

    След като приключи проверката изберете Report, Иконата която прилича на листче, => Detected Threats изберете SAVE и запазете документа на десктопа.

    Публикувано изображение

    Копирайте съдържанието на лога в следващия си коментар. Затворете инструмента - това ще го деинсталира автоматично.

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове
    nologo, пак греда брат ! Пуснах Касперски да сканира (доста време) обаче той изкара един репорт 149 МБ, аз за първи път виждам толкова голям текстов файл и нотпада въобще неиска да го отвори. Както и да е намери ми някои според него вредни файла , които изтрих. Само че вчера компа се угаси набързо щото батерията е заминала и като го пуснах пак ми поиска да направя рипеър на стартъп процеса. Пуснах го и ме попита да възстанови ли настройките на уина. И като му дадох и то ми ги възстанови тия настройки чрез рестор пойнт. Така че фейса пак същата история препращаме на локалния ми сървър ......

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Това не е толкова страшно. Ще трябва да се повтори инструкцията от коментар 4 в темата. Очаквам логове от OTL.

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Стартирайте отново OTL, копирайте (Copy) и поставете (Paste) скриптовия текст от текстовото поле по-долу под колонката Custom Scans/Fixes, като не забравяте да копирате скрипта 1 към 1, както и двете точки преди първия ред на скрипта.

    :otl
    O31 - SafeBoot: AlternateShell - services32.exe
    O32 - AutoRun File - [2009.06.11 00:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
    O33 - MountPoints2\{e93425a8-9cc4-11df-b812-002186d2fc30}\Shell - "" = AutoRun
    O33 - MountPoints2\{e93425a8-9cc4-11df-b812-002186d2fc30}\Shell\AutoRun\command - "" = G:\Cossacks2Setup.exe
    [2011.07.25 00:05:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab
    [2011.07.23 20:39:20 | 000,000,000 | ---D | C] -- C:\Windows\ufa
    [2011.07.23 20:39:20 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
    [2011.07.23 18:21:48 | 000,000,000 | ---D | C] -- C:\Windows\av_ico
    [2011.07.26 20:51:07 | 000,000,198 | ---- | M] () -- C:\Windows\tasks\AutoKMS.job
    [2011.07.26 20:51:05 | 000,000,202 | ---- | M] () -- C:\Windows\tasks\AutoKMSDaily.job
    [2011.07.26 20:50:44 | 000,078,848 | ---- | M] () -- C:\Windows\KMSEmulator.exe
    [2011.07.26 20:50:40 | 000,000,368 | ---- | M] () -- C:\Windows\tasks\AWC Startup.job
    [2011.07.26 20:50:35 | 000,000,374 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts.ics
    [2011.07.23 20:40:45 | 000,000,180 | ---- | M] () -- C:\Windows\info1
    [2011.07.23 20:39:19 | 005,589,370 | ---- | M] () -- C:\Windows\phoenix.rar
    [2011.07.23 20:39:19 | 001,075,284 | ---- | M] () -- C:\Windows\rpcminer.rar
    [2011.07.23 20:39:19 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
    [2011.07.23 20:39:19 | 000,182,617 | ---- | M] () -- C:\Windows\ufa.rar
    [2011.07.23 20:36:22 | 000,203,160 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
    [2011.07.23 20:36:22 | 000,000,734 | ---- | M] () -- C:\Windows\System32\drivers\etc\hоsts
    [2011.07.23 18:37:22 | 000,904,792 | ---- | M] () -- C:\Windows\geoiplist.rar
    [2011.07.23 18:34:06 | 000,000,000 | ---- | M] () -- C:\Windows\loader2.exe_ok
    [2011.07.17 03:24:20 | 004,636,907 | ---- | M] () -- C:\Windows\geoiplist
    [2011.07.23 23:14:19 | 000,078,848 | ---- | C] () -- C:\Windows\KMSEmulator.exe
    [2011.07.23 18:33:36 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok
    [2011.05.15 10:03:12 | 000,000,184 | ---- | C] () -- C:\Windows\AutoKMS.ini
    [2011.05.15 10:03:11 | 000,647,168 | ---- | C] () -- C:\Windows\AutoKMS.exe
    :files
    recycler /alldrives
    ipconfig /flushdns /c
    :reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    "FirewallOverride" = 0
    "DisableThumbnailCache" = 0
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
    "EnableFirewall" = 1
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
    "EnableFirewall" = 1
    :commands
    [purity]
    [resethosts]
    [emptytemp]
    [emptyflash]
    [clearallrestorepoints]
    [Reboot]
    
    След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено: Run Fix

    Windows ще се рестартира и ще се създаде лог файл. Публикувайте съдържанието му с Copy/Paste в следващия си коментар.

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Пуснах го два пъти. Не се оправя а и не ми създава такъв лог файл . Горе - долу с какво име го прави ?

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Уфф, бяхме почистили всичко и след скенера на Касперски - пак наново. Следва тежката артилерия:

    1. Изтеглете ComboFix от BleepingComputer

    и го запазете (бутон Save -> Save as) ComboFix на вашия десктоп:

    Публикувано изображение

    След приключване на изтеглянето на ComboFix, иконката на програмата би трябвало да изглежда така:

    Публикувано изображение

    2. Затворете всички работещи приложения, отворени прозорци и програми работещи във фонов режим. Спрете временно защитата в реално време на антивирусната програма и на другите програми за сигурност, ако има такива. За целта може да прегледате информацията от този линк: How To Temporarily Disable Your Anti-virus, Firewall And Anti-malware Programs.

    3. Стартирайте с двоен клик Combofix.exe. Изберете YES, за да се съгласите с условията за използване на програмата. Важно: По време на работата на ComboFix не бива да се движи мишката и да се натискат клавиши от клавиатурата. Просто търпеливо оставете ComboFix да си свърши работата, без да използвате компютъра за други цели.

    4. ComboFix ще провери дали Windows Recovery Console e инсталиранa.

    *Ако Windows Recovery Console не е инсталирана, ще е необходимо да използвате YES за инсталация на Windows Recovery Console

    *Ако Windows Recovery Console е инсталирана, ComboFix ще продължи работата си.

    Публикувано изображение

    Забележка: Необходимо е да сте свързани към Интернет за да може Windows Recovery Console да се изтегли.

    След инсталация на Windows Recovery Console потвърдете с YES, за да продължите напред. Снимка:

    Публикувано изображение

    5. ComboFix ще спре временно Интернет връзката, но след като приключи работата на програмата тази връзка ще бъде възстановена автоматично. ComboFix ще сканира за проблеми и за заразени файлове, като това може да отнеме известно време. Моля да бъдете търпеливи. Ако има проблем с Интернет връзката след приключване на работата на Combofix, моля да прочетете това: Manually restoring the Internet connection section.

    Забележка: При проблеми с ComboFix копирайте с (Copy) и поставете с (Paste) съдържанието на C:\BUG.txt в следващия си коментар.

    6. Когато работата на ComboFix приключи, ще се появи текстов документ (log) в Notepad:

    Публикувано изображение

    Копирайте с (Copy) и поставете с (Paste) съдържанието на лога в следващия си коментар.

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Всичко върви по план и май проблемацията е фиксирана !!! Ето и съдържанието на лог-а! ComboFix 11-07-27.02 - mimi 27/07/2011 22:25:56.1.2 - x86 Microsoft Windows 7 Ultimate 6.1.7600.0.1251.359.1033.18.3001.1921 [GMT 3:00] Running from: c:\users\mimi\Desktop\ComboFix.exe AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C} SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681} SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Created a new restore point . . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\windows\btc_client_iplist.txt c:\windows\ddh_iplist.txt c:\windows\front_ip_list.txt c:\windows\geoiplist c:\windows\geoiplist.rar c:\windows\iecheck_iplist.txt c:\windows\info1 c:\windows\iplist.txt c:\windows\iun6002.exe c:\windows\loader2.exe_ok c:\windows\phoenix.rar c:\windows\rpcminer.rar c:\windows\system32\drivers\etc\HSTS~1 c:\windows\system32\drivers\etc\hѕsts c:\windows\system32\SCLabel.ocx c:\windows\ufa.rar c:\windows\winlog-dirs.txt c:\windows\winlog-ids.txt . . ((((((((((((((((((((((((( Files Created from 2011-06-27 to 2011-07-27 ))))))))))))))))))))))))))))))) . . 2011-07-27 19:24 . 2011-07-27 19:24 -------- d-----w- C:\32788R22FWJFW 2011-07-24 21:05 . 2011-07-24 21:05 -------- d-----w- c:\programdata\Kaspersky Lab 2011-07-24 13:13 . 2011-07-24 13:13 -------- d-----w- C:\_OTL 2011-07-24 10:03 . 2011-07-24 10:03 0 ---ha-w- c:\users\mimi\AppData\Local\BITD2FC.tmp 2011-07-24 08:26 . 2011-07-24 08:26 -------- d-----w- c:\windows\Sun 2011-07-24 07:17 . 2011-07-24 07:17 -------- d-----w- C:\antivir 2011-07-23 20:14 . 2011-07-27 18:18 78848 ----a-w- c:\windows\KMSEmulator.exe 2011-07-23 19:41 . 2011-07-23 19:41 -------- d-sh--w- c:\windows\ftpcache 2011-07-23 18:14 . 2011-07-04 11:36 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys 2011-07-23 18:14 . 2011-07-23 18:14 -------- d-----w- c:\programdata\Alwil Software 2011-07-23 18:14 . 2011-07-23 18:14 -------- d-----w- c:\program files\AVAST Software 2011-07-23 17:51 . 2011-07-23 17:51 -------- d-----w- c:\users\mimi\AppData\Roaming\Malwarebytes 2011-07-23 17:51 . 2011-07-23 17:51 -------- d-----w- c:\programdata\Malwarebytes 2011-07-23 17:51 . 2011-07-06 16:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2011-07-23 17:51 . 2011-07-23 17:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2011-07-23 17:51 . 2011-07-06 16:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-07-23 17:39 . 2011-07-25 15:28 -------- d-----w- c:\windows\ufa 2011-07-23 17:39 . 2011-07-25 15:28 -------- d-----w- c:\windows\phoenix 2011-07-23 15:39 . 2011-07-23 15:39 -------- d-----w- c:\programdata\Spybot - Search & Destroy 2011-07-23 15:37 . 2011-07-23 17:39 246272 ----a-w- c:\windows\unrar.exe 2011-07-23 15:21 . 2011-07-25 15:28 -------- d-----w- c:\windows\av_ico 2011-07-15 21:08 . 2011-07-15 21:08 -------- d-----w- c:\users\mimi\Library 2011-07-15 21:08 . 2011-07-15 21:08 -------- d-----w- c:\users\mimi\AppData\Roaming\com.adobe.ExMan 2011-07-15 16:13 . 2011-07-15 16:13 10240 ----a-r- c:\users\mimi\AppData\Roaming\Microsoft\Installer\{BAC3B914-9A96-4097-A5C7-7BF0CAD679D3}\IconBAC3B9141.exe 2011-07-15 16:13 . 2011-07-15 16:13 10240 ----a-r- c:\users\mimi\AppData\Roaming\Microsoft\Installer\{BAC3B914-9A96-4097-A5C7-7BF0CAD679D3}\IconBAC3B914.exe 2011-07-15 16:10 . 2011-07-15 16:13 -------- d-----w- c:\program files\Transport Giant . . . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-07-04 11:43 . 2010-12-16 06:00 40112 ----a-w- c:\windows\avastSS.scr 2011-07-04 11:43 . 2010-12-16 06:00 199304 ----a-w- c:\windows\system32\aswBoot.exe 2011-07-04 11:36 . 2010-12-16 06:01 309848 ----a-w- c:\windows\system32\drivers\aswSP.sys 2011-07-04 11:35 . 2010-12-16 06:01 43608 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2011-07-04 11:32 . 2010-12-16 06:01 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2011-07-04 11:32 . 2010-12-16 06:00 54104 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys 2011-07-04 11:32 . 2010-12-16 06:01 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys 2011-05-15 07:03 . 2011-05-15 07:03 647168 ----a-w- c:\windows\AutoKMS.exe . . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast] @="{472083B0-C522-11CF-8763-00608CC02F24}" [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}] 2011-07-04 11:43 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2011-04-21 399736] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-08-02 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-08-02 174104] "Persistence"="c:\windows\system32\igfxpers.exe" [2009-08-02 151064] "Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584] "avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-07-04 3493720] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableLUA"= 0 (0x0) "EnableSecureUIAPaths"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "wave1"=wdmaud.drv . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" -autorun "Sidebar"=c:\program files\Windows Sidebar\sidebar.exe /autoRun "ATnotes"=c:\programdata\Microsoft\Windows\Start Menu\Programs\ATnotes\ATnotes.lnk . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" "BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" /DelayServices "Windows Mobile-based device management"=%windir%\WindowsMobile\wmdc.exe "hpqSRMon"=c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe "HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe "ctfmon"=CTFMON.EXE "6731444.exe"="c:\windows\Temp\6731444.exe" "SoundMAX"=c:\program files\Analog Devices\SoundMAX\soundmax.exe /tray . [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 "DisableThumbnailCache"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 . R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-01 136176] R3 gupdatem;Google Update Service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-01 136176] R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-07-06 41272] R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2010-01-21 30963576] R3 netw5v32;Intel® Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168] R3 WatAdminSvc;Windows Activation Technologies Service;c:\windows\system32\Wat\WatAdminSvc.exe [2010-08-02 1343400] S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-07-31 691696] S1 aswSnx;aswSnx; [x] S1 aswSP;aswSP; [x] S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128] S2 Apache2.2;Apache2.2;d:\xampp\apache\bin\apache.exe [2007-09-20 17408] S2 aswFsBlk;aswFsBlk; [x] S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-07-04 54104] S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2010-07-16 26168] S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640] S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [2010-11-19 1483072] S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-07-06 22712] S3 NETw5s32;Intel® Wireless WiFi Link 5000 Series Adapter Driver for Windows 7 - 32 Bit;c:\windows\system32\DRIVERS\NETw5s32.sys [2010-01-13 6755840] S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000] S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [2010-10-07 10064] S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336] S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296] . . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] WindowsMobile REG_MULTI_SZ wcescomm rapimgr LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Contents of the 'Scheduled Tasks' folder . 2011-07-27 c:\windows\Tasks\AutoKMS.job - c:\windows\AutoKMS.exe [2011-05-15 07:03] . 2011-07-27 c:\windows\Tasks\AutoKMSDaily.job - c:\windows\AutoKMS.exe [2011-05-15 07:03] . 2011-07-27 c:\windows\Tasks\AWC Startup.job - c:\program files\IObit\Advanced SystemCare 3\AWC.exe [2010-07-31 13:53] . 2011-07-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-08-01 16:27] . 2011-07-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-08-01 16:27] . . ------- Supplementary Scan ------- . uStart Page = hxxp://www.ask.com/?o=0&l=dir uDefault_Search_URL = hxxp://www.google.com/ie uInternet Settings,ProxyOverride = *.local uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Add to Evernote 4.0 - c:\program files\Evernote\Evernote\EvernoteIE.dll/204 IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000 IE: Se&nd to OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105 IE: {{A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://c:\program files\Evernote\Evernote\EvernoteIE.dll/204 TCP: DhcpNameServer = 93.155.131.1 93.155.130.14 FF - ProfilePath - c:\users\mimi\AppData\Roaming\Mozilla\Firefox\Profiles\lmmijetx.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://www.google.bg/ FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=bg&q= FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Xmarks: foxmarks@kei.com - %profile%\extensions\foxmarks@kei.com FF - Ext: StumbleUpon: {AE93811A-5C9A-4d34-8462-F7B864FC4696} - %profile%\extensions\{AE93811A-5C9A-4d34-8462-F7B864FC4696} FF - Ext: Web Developer: {c45c406e-ab73-11d8-be73-000a95be3b12} - %profile%\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12} FF - Ext: View Source Chart: {68836a21-fc7d-4ea1-a065-7efabd99d414} - %profile%\extensions\{68836a21-fc7d-4ea1-a065-7efabd99d414} FF - Ext: Firebug: firebug@software.joehewitt.com - %profile%\extensions\firebug@software.joehewitt.com FF - Ext: Web2PDF converter: {e8f509f0-b677-11de-8a39-0800200c9a66} - %profile%\extensions\{e8f509f0-b677-11de-8a39-0800200c9a66} FF - Ext: ColorfulTabs: {0545b830-f0aa-4d7e-8820-50a4629a56fe} - %profile%\extensions\{0545b830-f0aa-4d7e-8820-50a4629a56fe} FF - Ext: Read It Later: isreaditlater@ideashower.com - %profile%\extensions\isreaditlater@ideashower.com FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781} FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} FF - Ext: avast! WebRep: wrc@avast.com - c:\program files\AVAST Software\Avast\WebRep\FF . . ------- File Associations ------- . .txt= . - - - - ORPHANS REMOVED - - - - . WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) . . . --------------------- LOCKED REGISTRY KEYS --------------------- . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 "MSCurrentCountry"=dword:000000b5 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Completion time: 2011-07-27 22:33:48 ComboFix-quarantined-files.txt 2011-07-27 19:33 . Pre-Run: 28 658 323 456 bytes free Post-Run: 28 587 298 816 bytes free . - - End Of File - - 1F391769607B26173043F44C7026D403

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Отворете notepad.exe и с copy/paste въведете следната информация:

    kilall::
    folder::
    c:\windows\ufa
    c:\windows\av_ico
    c:\windows\phoenix
    c:\programdata\Alwil Software
    file::
    c:\windows\unrar.exe
    c:\windows\Temp\6731444.exe
    registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "6731444.exe"= -
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "FirewallOverride"=dword:00000000
    "DisableThumbnailCache"=dword:00000000
    dds::
    uInternet Settings,ProxyOverride = *.local
    

    Запазете файла с име CFScript и го провлачете и пуснете в Combofix (както е показано на картинката отдолу).

    Публикувано изображение

    *. По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !

    *. Когато Combofix приключи ще създаде лог файла. Моля, публикувайте този файл в следващия си пост.

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Следва:

    Стъпка 1

    Стартирайте OTL още веднъж и натиснете бутона CleanUp.

    Публикувано изображение

    При дeинсталацията на OTL ще бъдат почистени инструменти и файлове, които използвахме в темата. Ще последва рестарт на Windows. Може да изтриете останалите програми и логове, които използвахме в темата.

    Стъпка 2

    Изтрийте всички точки за възстановяване (Restore Points). Справка: тук. Обърнете внимание на To delete all restore points

    Стъпка 3

    • Обновете Malwarebytes Anti-Malware. Стартирайте програмата и изберете Perform Quick Scan, след това кликнете на Scan.
    • Сканирането ще отнеме малко време, затова моля бъдете търпеливи.
    • Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата.
    • Уверете се, че на всички редове има отметки, и кликнете Remove Selected.
    • Когато всичко бъде премахнато, логът ще бъде отворен в Notepad. Копирайте лога и го публикувайте в следващия си коментар в темата.
    Забележка: Ако MalwareBytes Anti-Malware се затрудни в премахването на откритите вируси/заплахи, той ще поиска да рестартира компютъра и по време на рестартирането да премахне проблемните вируси/заплахи. Ако бъдете попитани, потвърдете че желаете вашия компютър да бъде рестартиран.

    Стъпка 4

    Най-накрая проверете дали работи антивирусната програма (Avast). Ако не е активна (би трябвало да не е), преинсталирайте я отново, ето два варианта:

    • Отидете в контролния панел (Control Panel) - Programs - Uninstall a program - маркирайте avast и Uninstall.
    • Може да използвате aswClear, ето инструкция
    Изтеглете програмата от официалния сайт: тук и изберете avast free. После я инсталирайте и пишете да има проблем. Направете сканиране с avast и пишете за резултатите.

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Тези файлове ли трябва да кача? Благодаря предварително ! :)

    Редактирано от Tonio91 (преглед на промените)

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Правила на форум: Премахване на зловреден софтуер - HiJackThis логове

    1. Моля да изпълните стриктно инструкциите от следната тема: Системата ми е инфектирана - Какво да правя сега?

    2. Не пишете в чужда тема, а само във вашата.

    3. Не инсталирайте ComboFix без предварително дадени инструкции от HJT Team.

    4. Само членовете на HJT Team са отговорни за даване на инструкции за работа със специализирани инструменти за отстраняване на зловреден код, както и за работа с логовете, създадени от тези инструменти.

    5. Всички коментари и съвети за работа със специализирани инструменти за отстраняване на зловреден код, както и за инсталация или преинсталация на операционна система, които не са дадени от членовете на HJT Team се изтриват без предупреждение.

    6. Групата HJT Team не носи нито пряка, нито косвена отговорност за загуба на данни, причинена в процеса на почистване на зловредния код.

    Защо не спазвате правилата на подраздела..!Създайте си ваша нова тема..!Не пишете в чужда..!

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Регистрирайте се или влезете в профила си за да коментирате

    Трябва да имате регистрация за да може да коментирате това

    Регистрирайте се

    Създайте нова регистрация в нашия форум. Лесно е!

    Нова регистрация

    Вход

    Имате регистрация? Влезте от тук.

    Вход


    ×

    Информация

    Този сайт използва бисквитки (cookies), за най-доброто потребителско изживяване. С използването му, вие приемате нашите Условия за ползване.