Премини към съдържанието
bavarec6

Хванах вирус от Facebook на служебния комп.HELP [РЕШЕН]

    Препоръчан отговор


    Отворих линк,поиска ми инстал на Флаш плеар и до там,антивирусната се скапа и не мърда. Не мога да влизам в Феиса а компа е служебен и ще има мрънканици много. Моля помогнете Инсталирах друга антивирусна но и тя не бачка

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    За каква Операционна Система говорим, за да знам кой скрипт да давам... :)

    Windows XP Professional

    Редактирано от bavarec6 (преглед на промените)

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Ок, мерси !

    • Изтеглете OTL.exe и го запазете на десктопа.
    • Стартирайте файла Публикувано изображение с двукратен клик на мишката.
    • Сложете отметка пред Scan All Users Публикувано изображение
    • Под менюто File Age => изберете 90 days
    • Под менюто Standard Registry => променете на ALL
    • Сложете отметки пред LOP и Purity Check
    • Под Публикувано изображение с Copy/ Paste въведете следната текстова информация:
    netsvcs
    msconfig
    %SYSTEMDRIVE%\*.*
    %USERPROFILE%\*.*
    %USERPROFILE%\Application Data\*.*
    %USERPROFILE%\Local Settings\Application Data\*.*
    %AllUsersProfile%\*.*
    %AllUsersProfile%\Application Data\*.*
    %USERPROFILE%\My Documents\*.*
    %CommonProgramFiles%\*.*
    %PROGRAMFILES%\*.*
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /90
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system32\Spool\prtprocs\w32x86\*.dll
    /md5start
    hlp.dat
    winlogon.exe
    wininit.exe
    userinit.exe
    explorer.exe
    volsnap.sys
    /md5stop
    
    • Натиснете маркираният в синьо бутон: Публикувано изображение.
    • Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt.
    • Публикувайте съдържанието на лог файловете в следващия си коментар.
    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Деинсталирайте остатъците от следните програми от Control Panel => Add or remove programs:

    Avira

    Eset

    Trojan Remover

    След това:

    Стартирайте отново OTL, копирайте (Copy) и поставете (Paste) скриптовия текст от текстовото поле по-долу под колонката Custom Scans/Fixes, като не забравяте да копирате скрипта 1 към 1, както и двете точки преди първия ред на скрипта.

    :Processes
    killallprocesses
    :OTL
    SRV - File not found [Auto | Stopped] --  -- (svchost32)
    SRV - File not found [Auto | Stopped] --  -- (SSHNAS)
    SRV - File not found [Auto | Stopped] --  -- (ekrn)
    SRV - File not found [On_Demand | Stopped] --  -- (EhttpSrv)
    SRV - File not found [Auto | Stopped] --  -- (AntiVirService)
    SRV - File not found [Auto | Stopped] --  -- (AntiVirSchedulerService)
    SRV - [2011/07/24 21:25:06 | 000,340,992 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
    SRV - [2011/07/24 21:22:15 | 000,495,616 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
    SRV - [2011/07/24 21:07:06 | 000,247,296 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
    SRV - [2011/07/24 20:54:04 | 001,174,016 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
    DRV - [2010/08/04 10:50:36 | 000,140,752 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)
    DRV - [2010/08/03 12:28:36 | 000,095,896 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)
    DRV - [2010/07/29 12:31:26 | 000,115,008 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)
    DRV - [2009/07/28 16:33:56 | 000,055,656 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
    DRV - [2009/05/11 10:12:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
    DRV - [2009/03/30 10:33:07 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
    IE - HKU\S-1-5-21-1417001333-823518204-1801674531-1003\..\URLSearchHook:  - Reg Error: Key error. File not found
    FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
    O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} -  File not found
    O3 - HKLM\..\Toolbar: (no name) - {ef468e5b-5b30-4136-a833-7f2e3a31afdf} - No CLSID value found.
    O3 - HKU\S-1-5-21-1417001333-823518204-1801674531-1003\..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-1417001333-823518204-1801674531-1003\..\Toolbar\WebBrowser: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} -  File not found
    O4 - HKLM..\Run: [3699221.exe] C:\WINDOWS\TEMP\3699221.exe ()
    O4 - HKLM..\Run: [4861928.exe] C:\Documents and Settings\pc\Local Settings\Temp\4861928.exe ()
    O4 - HKLM..\Run: [79268710-loader2.exe] C:\WINDOWS\TEMP\79268710-loader2.exe ()
    O4 - HKLM..\Run: [8162503.exe] C:\WINDOWS\TEMP\8162503.exe ()
    O4 - HKLM..\Run: [838756.exe] C:\WINDOWS\TEMP\838756.exe ()
    O4 - HKLM..\Run: [avgnt]  File not found
    O4 - HKLM..\Run: [egui]  File not found
    O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe ()
    O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
    O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
    O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe ()
    O4 - HKLM..\Run: [tray_ico]  File not found
    O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-8-0\svchost.exe ()
    O4 - HKLM..\Run: [tray_ico1] C:\WINDOWS\update.tray-2-0\svchost.exe ()
    O4 - HKLM..\Run: [tray_ico2]  File not found
    O4 - HKLM..\Run: [tray_ico3]  File not found
    O4 - HKLM..\Run: [tray_ico4]  File not found
    O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()
    O4 - HKU\S-1-5-21-1417001333-823518204-1801674531-1003..\Run: [8DDYX0ZBPZ]  File not found
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSecurityTab = 1
    O7 - HKU\S-1-5-21-1417001333-823518204-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSecurityTab = 1
    O31 - SafeBoot: AlternateShell - services32.exe
    [2011/07/24 23:01:18 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0-lnk
    [2011/07/24 23:01:18 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0
    [2011/07/24 22:58:40 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Start Menu\Programs\ESET
    [2011/07/24 22:07:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Start Menu\Programs\Avira
    [2011/07/24 22:07:26 | 000,096,104 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
    [2011/07/24 22:07:26 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
    [2011/07/24 22:07:26 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
    [2011/07/24 22:07:26 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
    [2011/07/24 21:28:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
    [2011/07/24 21:28:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
    [2011/07/24 21:28:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
    [2011/07/24 21:25:11 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
    [2011/07/24 21:22:17 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
    [2011/07/24 21:06:34 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
    [2011/07/24 21:05:15 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
    [2011/07/24 21:05:06 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-8-0-lnk
    [2011/07/24 21:05:06 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-8-0
    [2011/07/22 01:32:29 | 000,000,000 | -H-D | C] -- C:\$AVG
    [2011/07/22 01:09:27 | 000,000,000 | ---D | C] -- C:\Documents and Settings\pc\Application Data\AVG10
    [2011/07/22 01:07:25 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\AVG10
    [2011/07/22 01:06:37 | 000,000,000 | ---D | C] -- C:\Program Files\AVG
    [2011/07/22 01:04:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\MFAData
    [2011/07/22 00:56:42 | 000,000,000 | ---D | C] -- C:\Program Files\Trojan Remover
    [2011/07/24 21:28:59 | 000,000,178 | ---- | M] () -- C:\WINDOWS\info1
    [2011/07/24 21:28:50 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
    [2011/07/24 21:28:50 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
    [2011/07/24 21:28:50 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
    [2011/07/24 21:28:49 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
    [2011/07/24 21:27:47 | 000,114,176 | ---- | M] () -- C:\WINDOWS\systemup.exe
    [2011/07/24 21:24:26 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
    [2011/07/24 21:23:07 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
    [2011/07/24 21:07:37 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
    [2011/07/24 21:07:06 | 000,247,296 | ---- | M] () -- C:\WINDOWS\sysdriver32_.exe
    [2011/07/24 21:07:06 | 000,247,296 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
    [2011/07/24 20:54:04 | 001,174,016 | ---- | M] () -- C:\WINDOWS\services32.exe
    [2011/07/17 03:24:20 | 004,636,907 | ---- | M] () -- C:\WINDOWS\geoiplist
    [2011/07/25 00:18:00 | 000,000,270 | -H-- | M] () -- C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
    [2011/07/24 23:58:00 | 000,000,240 | -H-- | M] () -- C:\WINDOWS\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
    @Alternate Data Stream - 102 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:CB0AACC9
    @Alternate Data Stream - 100 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:2B19EBF3
    dir /s /a "C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}" /c
    dir /s /a "C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}" /c
    dir /s /a "C:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}" /c
    dir /s /a "C:\Documents and Settings\All Users\Application Data\Common Files" /c
    :files
    C:\Documents and Settings\pc\Desktop\Flash-Player.exe
    :reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    "AntiVirusDisableNotify"=dword:00000000
    "FirewallDisableNotify"=dword:00000000
    "UpdatesDisableNotify"=dword:00000000
    "FirewallOverride"=dword:00000000
    "DisableThumbnailCache"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
    "EnableFirewall"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "C:\Documents and Settings\pc\Desktop\Flash-Player.exe" =-
    "C:\WINDOWS\update.1\svchost.exe" =-
    "C:\WINDOWS\update.tray-8-0\svchost.exe" =-
    "C:\WINDOWS\update.2\svchost.exe" =-
    "C:\WINDOWS\services32.exe" =-
    :commands
    [resethosts]
    [reboot]
    
    След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено: Run Fix

    Windows ще се рестартира и ще се създаде лог файл. Публикувайте съдържанието му с Copy/Paste в следващия си коментар.

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    А скрипта правилно ли го въведохте - започва с двете точки преди - Processes като всяка команда е на нов ред. Компютъра рестартира ли се след изпълнението на скрипта ?

    За да проверим дали се е получило повторете сканиратено от коментар номер 4, за да видя свежите лог фалове.

    http://www.kaldata.c...dpost&p=2037063

    Между другото има ли някакво подобрение с влизането във Facebook сега (това също може да послужи като някакъв индикатор за коректността на изпълнението на скрипта).

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Ами сега въобще не ми отваря самата страница на фейса.

    Да компа се рестартира но излезе прозорче което отброи 20 сек и тогава. Въведох всичко дословно.

    Не може да бъде установена връзка

    Firefox не може да установи връзка с www.facebook.com.

    Сайтът може да е временно недостъпен или твърде зает. Опитайте пак след малко.

    Ако не можете да заредите коя да е страница, проверете хардуера на компютъра.

    Ако компютърът или мрежата са зад защитна стена или прокси, проверете дали на Firefox е разрешен достъпът до Интернет.

    това ми изписва като поискам да вляза

    А иконките на антивирусните още ми стоят доло в дясно

    Ето и новите но сега е само това

    OTL.Txt

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Мисля, че не сте се справили със скрипта ми.... как точно го копирахте ?

    Трябва да изглежда горе-долу така:

    Публикувано изображение

    Моля, опитайте отново, ако не се получи ще пробваме с друг инструмент.

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Сега въобще не се появи никакъв фаил И моето копи изглеждаше така но..

    Редактирано от bavarec6 (преглед на промените)

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Ок...вадим тежката артилерия:

    1. Изтеглете ComboFix от BleepingComputer

    и го запазете (бутон Save -> Save as) ComboFix на вашия десктоп:

    Публикувано изображение

    След приключване на изтеглянето на ComboFix, иконката на програмата би трябвало да изглежда така:

    Публикувано изображение

    2. Затворете всички работещи приложения, отворени прозорци и програми работещи във фонов режим. Спрете временно защитата в реално време на антивирусната програма и на другите програми за сигурност, ако има такива. За целта може да прегледате информацията от този линк: How To Temporarily Disable Your Anti-virus, Firewall And Anti-malware Programs.

    3. Стартирайте с двоен клик Combofix.exe. Изберете YES, за да се съгласите с условията за използване на програмата. Важно: По време на работата на ComboFix не бива да се движи мишката и да се натискат клавиши от клавиатурата. Просто търпеливо оставете ComboFix да си свърши работата, без да използвате компютъра за други цели.

    4. ComboFix ще провери дали Windows Recovery Console e инсталиранa.

    *Ако Windows Recovery Console не е инсталирана, ще е необходимо да използвате YES за инсталация на Windows Recovery Console

    *Ако Windows Recovery Console е инсталирана, ComboFix ще продължи работата си.

    Публикувано изображение

    Забележка: Необходимо е да сте свързани към Интернет за да може Windows Recovery Console да се изтегли.

    След инсталация на Windows Recovery Console потвърдете с YES, за да продължите напред. Снимка:

    Публикувано изображение

    5. ComboFix ще спре временно Интернет връзката, но след като приключи работата на програмата тази връзка ще бъде възстановена автоматично. ComboFix ще сканира за проблеми и за заразени файлове, като това може да отнеме известно време. Моля да бъдете търпеливи. Ако има проблем с Интернет връзката след приключване на работата на Combofix, моля да прочетете това: Manually restoring the Internet connection section.

    Забележка: При проблеми с ComboFix копирайте с (Copy) и поставете с (Paste) съдържанието на C:\BUG.txt в следващия си коментар.

    6. Когато работата на ComboFix приключи, ще се появи текстов документ (log) в Notepad:

    Публикувано изображение

    Копирайте с (Copy) и поставете с (Paste) съдържанието на лога в следващия си коментар.

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    ComboFix 11-07-24.03 - pc 25/07/2011 2:05.1.1 - x86

    Microsoft Windows XP Professional 5.1.2600.3.1251.359.1033.18.1791.1410 [GMT 3:00]

    Running from: c:\documents and settings\pc\Desktop\ComboFix.exe

    AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

    .

    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    .

    .

    c:\docume~1\pc\LOCALS~1\Temp\4861928.exe

    c:\documents and settings\pc\Application Data\PriceGong

    c:\documents and settings\pc\Application Data\PriceGong\Data\1.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\a.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\b.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\c.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\d.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\e.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\f.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\g.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\h.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\i.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\J.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\k.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\l.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\m.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\mru.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\n.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\o.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\p.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\q.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\r.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\s.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\t.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\u.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\v.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\w.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\x.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\y.xml

    c:\documents and settings\pc\Application Data\PriceGong\Data\z.xml

    c:\documents and settings\pc\WINDOWS

    c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013

    c:\windows\btc_client_iplist.txt

    c:\windows\ddh_iplist.txt

    c:\windows\front_ip_list.txt

    c:\windows\iecheck_iplist.txt

    c:\windows\info1

    c:\windows\iplist.txt

    c:\windows\l1rezerv.exe

    c:\windows\loader2.exe_ok

    c:\windows\phoenix.rar

    c:\windows\proc_list1.log

    c:\windows\rpcminer.rar

    c:\windows\services32.exe

    c:\windows\sysdriver32_.exe

    c:\windows\system32\drivers\etc\HSTS~1

    c:\windows\system32\drivers\etc\hоsts

    c:\windows\system32\win.ini

    c:\windows\systemup.exe

    c:\windows\TEMP\3699221.exe

    c:\windows\TEMP\79268710-loader2.exe

    c:\windows\TEMP\8162503.exe

    c:\windows\ufa.rar

    c:\windows\update.1

    c:\windows\update.1\svchost.exe.vir

    c:\windows\update.2

    c:\windows\update.5.0

    c:\windows\update.tray-2-0\svchost.exe

    c:\windows\update.tray-8-0\svchost.exe

    c:\windows\winlog-dirs.txt

    c:\windows\winlog-ids.txt

    .

    .

    ((((((((((((((((((((((((( Files Created from 2011-06-24 to 2011-07-24 )))))))))))))))))))))))))))))))

    .

    .

    2011-07-24 22:06 . 2011-07-24 22:06 -------- d-----w- C:\_OTL

    2011-07-24 20:01 . 2011-07-24 23:08 -------- d--h--w- c:\windows\update.tray-2-0

    2011-07-24 20:01 . 2011-07-24 20:01 -------- d--h--w- c:\windows\update.tray-2-0-lnk

    2011-07-24 19:07 . 2009-03-30 07:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

    2011-07-24 19:07 . 2009-02-13 09:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

    2011-07-24 19:07 . 2009-02-13 09:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

    2011-07-24 18:28 . 2011-07-24 18:28 -------- d-----w- c:\windows\rpcminer

    2011-07-24 18:28 . 2011-07-24 18:28 -------- d-----w- c:\windows\ufa

    2011-07-24 18:28 . 2011-07-24 18:28 -------- d-----w- c:\windows\phoenix

    2011-07-24 18:23 . 2011-07-24 18:28 246272 ----a-w- c:\windows\unrar.exe

    2011-07-24 18:06 . 2011-07-24 20:02 -------- d-----w- c:\windows\av_ico

    2011-07-24 18:05 . 2011-07-24 23:08 -------- d--h--w- c:\windows\update.tray-8-0

    2011-07-24 18:05 . 2011-07-24 19:09 -------- d--h--w- c:\windows\update.tray-8-0-lnk

    2011-07-21 22:32 . 2011-07-21 22:32 -------- d-----w- C:\$AVG

    2011-07-21 22:09 . 2011-07-21 22:09 -------- d-----w- c:\documents and settings\pc\Application Data\AVG10

    2011-07-21 22:08 . 2011-07-21 22:08 -------- d--h--w- c:\documents and settings\All Users\Application Data\Common Files

    2011-07-21 22:07 . 2011-07-23 19:41 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG10

    2011-07-21 22:06 . 2011-07-21 22:06 -------- d-----w- c:\program files\AVG

    2011-07-21 22:04 . 2011-07-23 19:39 -------- d-----w- c:\documents and settings\All Users\Application Data\MFAData

    2011-07-20 22:17 . 2011-07-20 22:17 -------- d-----w- c:\program files\Lonely Cat Games

    2011-07-20 17:15 . 2011-07-20 17:15 -------- d-----w- c:\program files\PC Connectivity Solution

    2011-07-20 17:15 . 2011-05-18 07:12 8192 ----a-w- c:\windows\system32\drivers\usbser_lowerfltj.sys

    2011-07-20 17:15 . 2011-05-18 07:12 8192 ----a-w- c:\windows\system32\drivers\usbser_lowerflt.sys

    2011-07-20 17:15 . 2011-05-18 07:12 23168 ----a-w- c:\windows\system32\drivers\ccdcmbo.sys

    2011-07-20 17:15 . 2011-05-18 07:13 123904 ----a-w- c:\windows\system32\ccdcmbwu.dll

    2011-07-20 17:15 . 2011-05-18 07:13 605696 ----a-w- c:\windows\system32\nmwcdcocls.dll

    2011-07-20 17:15 . 2011-05-18 07:12 18176 ----a-w- c:\windows\system32\drivers\ccdcmb.sys

    2011-07-20 17:15 . 2011-05-18 07:09 1461992 ----a-w- c:\windows\system32\wdfcoinstaller01009.dll

    2011-07-17 01:01 . 2011-07-17 01:01 -------- d-----w- c:\documents and settings\pc\Application Data\FileHunter

    2011-07-03 04:02 . 2011-07-03 04:02 -------- d-----w- c:\documents and settings\pc\Application Data\GRETECH

    .

    .

    .

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    2011-05-18 07:13 . 2010-05-15 18:50 75264 ----a-w- c:\windows\system32\nmwcdcls.dll

    2011-06-10 16:39 . 2011-06-10 16:13 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

    .

    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    .

    *Note* empty entries & legit default entries are not shown

    REGEDIT4

    .

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]

    2010-11-13 19:58 3913000 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll

    .

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

    "{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-13 3913000]

    .

    [HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

    .

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

    "{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-13 3913000]

    .

    [HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

    .

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IDM Shell Extension]

    @="{CDC95B92-E27C-4745-A8C5-64A52A78855D}"

    [HKEY_CLASSES_ROOT\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D}]

    2010-09-29 20:53 72336 ----a-w- c:\program files\Internet Download Manager\IDMShellExt.dll

    .

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

    .

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-20 8429568]

    "nwiz"="nwiz.exe" [2007-04-20 1626112]

    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-20 81920]

    "RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]

    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]

    .

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    .

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

    "RunNarrator"="Narrator.exe" [2008-04-14 53760]

    .

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

    "EnableSecureUIAPaths"= 0 (0x0)

    .

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

    "NoSecurityTab"= 1 (0x1)

    .

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

    "NoSecurityTab"= 1 (0x1)

    .

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

    @="Driver"

    .

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]

    @="Service"

    .

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

    2006-12-23 15:05 143360 ----a-w- c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe

    .

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

    2006-01-12 12:40 155648 ----a-w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

    .

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

    2008-05-30 12:54 21718312 ----a-r- c:\program files\Skype\Phone\Skype.exe

    .

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

    2007-06-15 08:45 1826816 ------r- c:\windows\SkyTel.exe

    .

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]

    "FirewallOverride"=dword:00000001

    "DisableThumbnailCache"=dword:00000001

    .

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

    "EnableFirewall"= 0 (0x0)

    .

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

    "%windir%\\system32\\sessmgr.exe"=

    "c:\\Program Files\\K-Lite Codec Pack\\Filters\\ac3config.exe"=

    "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

    "c:\\Program Files\\uTorrent\\uTorrent.exe"=

    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    .

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

    "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

    .

    R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [08/01/2010 02:10 691696]

    R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [29/07/2010 12:31 115008]

    R1 IDMTDI;IDMTDI;c:\windows\system32\drivers\idmtdi.sys [29/09/2010 21:56 78328]

    R3 SNXPCARD;SNXPCARD;c:\windows\system32\drivers\snxpcard.sys [07/10/2008 15:42 23040]

    R3 SNXPSERX;SNXPSERX;c:\windows\system32\drivers\snxpserx.sys [07/10/2008 15:42 56320]

    .

    Contents of the 'Scheduled Tasks' folder

    .

    .

    ------- Supplementary Scan -------

    .

    uStart Page = hxxp://google.bg/

    uInternet Settings,ProxyOverride = *.local

    IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201

    IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204

    IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203

    IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202

    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    IE: Free YouTube to Mp3 Converter - c:\documents and settings\pc\Application Data\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

    IE: Свали видео съдържанието на FLV с IDM - c:\program files\Internet Download Manager\IEGetVL.htm

    IE: Свали видеото с Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm

    IE: Свали всички линкове с IDM - c:\program files\Internet Download Manager\IEGetAll.htm

    IE: Свали всички с Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm

    IE: Свали избраните с Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm

    IE: Свали с Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm

    IE: Свали с IDM - c:\program files\Internet Download Manager\IEExt.htm

    TCP: DhcpNameServer = 192.168.0.1

    FF - ProfilePath - c:\documents and settings\pc\Application Data\Mozilla\Firefox\Profiles\gquct4pd.default\

    FF - prefs.js: browser.search.selectedEngine - Google

    FF - prefs.js: browser.startup.homepage - hxxp://www.google.bg/

    FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=b4d50ef4000000000000001e90f4a742&tlver=1.4.19.19&instlRef=sst&affID=17160&q=

    .

    - - - - ORPHANS REMOVED - - - -

    .

    Toolbar-{ef468e5b-5b30-4136-a833-7f2e3a31afdf} - (no file)

    WebBrowser-{EF468E5B-5B30-4136-A833-7F2E3A31AFDF} - (no file)

    HKLM-Run-wxpdrv - c:\windows\services32.exe

    HKLM-Run-tray_ico - (no file)

    HKLM-Run-tray_ico1 - c:\windows\update.tray-2-0\svchost.exe

    HKLM-Run-tray_ico2 - (no file)

    HKLM-Run-tray_ico3 - (no file)

    HKLM-Run-tray_ico4 - (no file)

    HKLM-Run-sysdriver32.exe - c:\windows\sysdriver32.exe

    HKLM-Run-sysdriver32_.exe - c:\windows\sysdriver32_.exe

    HKLM-Run-l1rezerv.exe - c:\windows\l1rezerv.exe

    HKLM-Run-systemup - c:\windows\systemup.exe

    HKLM-Run-avgnt - c:\program files\Avira\AntiVir Desktop\avgnt.exe

    HKLM-Run-tray_ico0 - c:\windows\update.tray-8-0\svchost.exe

    SafeBoot-WudfPf

    SafeBoot-WudfRd

    MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe

    AddRemove-AVI ReComp - e:\desi-bmw\AVI ReComp\uninst.exe

    AddRemove-FX - Video Converter - c:\progra~1\FOXTAB~1\Uninstall\Uninstall.exe

    AddRemove-O Driver V6.000 Setup - c:\program files\Multi-IO Adapter\PCI_MultiIO_Driver\uninst.exe Software\Multi-IO Adapter\PCI_MultiIO_Driver\Setup

    AddRemove-Pacific Warriors - e:\desi-bmw\igri\pw\Uninst.isu

    AddRemove-Spider Video Downloader_is1 - c:\program files\Spider Video Downloader\unins000.exe

    AddRemove-VLC media player - c:\program files\VideoLAN\VLC\uninstall.exe

    AddRemove-vloader - c:\program files\vloader\uninstall.exe

    AddRemove-vloader-bg - c:\program files\vloader-bg\Uninstall.exe

    .

    .

    .

    **************************************************************************

    .

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2011-07-25 02:09

    Windows 5.1.2600 Service Pack 3 NTFS

    .

    scanning hidden processes ...

    .

    scanning hidden autostart entries ...

    .

    scanning hidden files ...

    .

    scan completed successfully

    hidden files: 0

    .

    **************************************************************************

    .

    --------------------- LOCKED REGISTRY KEYS ---------------------

    .

    [HKEY_USERS\S-1-5-21-1417001333-823518204-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{83096151-5BD8-1B3B-C883-C9CB32004732}*]

    @Allowed: (Read) (RestrictedCode)

    @Allowed: (Read) (RestrictedCode)

    "jaefmbjabccgniekabcg"=hex:6b,61,6f,6f,64,67,6d,64,65,63,62,6e,62,6c,61,6c,67,

    62,63,65,6c,63,00,01

    "iakfkcdlnkbpgmaggb"=hex:6b,61,6e,6f,6e,65,69,66,62,63,6c,63,64,63,6b,6d,6c,63,

    6a,61,61,62,00,01

    "haafahdmbecjckka"=hex:6f,62,67,6b,63,6c,64,66,69,61,6b,67,6d,70,67,6d,6d,66,

    6c,66,64,61,68,6c,62,69,6b,69,65,68,6b,64,66,67,66,67,6c,6a,62,63,68,67,65,\

    "haafahdmkdkobhcj"=hex:61,61,00,6b

    .

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{554740eb-b9e3-459f-a182-e5c48105a22d}]

    @Denied: (Full) (Everyone)

    "Model"=dword:00000110

    "Therad"=dword:00000001

    "MData"=hex(0):73,d5,cf,b8,a4,07,89,80,31,e4,35,6b,2a,ca,fe,43,b6,1f,81,1f,5a,

    1b,4d,36,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,\

    .

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]

    @Denied: (Full) (Everyone)

    "scansk"=hex(0):ef,32,9d,f7,f3,00,0b,1e,03,fe,c9,c7,ec,b9,26,2a,6a,c3,e8,71,63,

    84,cd,85,12,73,a2,cb,f4,c8,0d,08,63,16,cd,d5,41,95,0d,ab,00,00,00,00,00,00,\

    .

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]

    @Denied: (Full) (Everyone)

    "scansk"=hex(0):98,f8,f3,40,ed,48,60,d9,eb,50,a8,31,fd,2b,d9,6a,f4,12,f9,dc,f5,

    06,dc,17,3b,8b,5f,18,50,08,fe,cb,b9,46,42,00,bb,35,00,c2,00,00,00,00,00,00,\

    .

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{d19a3e01-8b27-49f5-a90e-e83d6c657a81}]

    @Denied: (Full) (Everyone)

    "Model"=dword:00000110

    "Therad"=dword:00000016

    .

    Completion time: 2011-07-25 02:10:41

    ComboFix-quarantined-files.txt 2011-07-24 23:10

    .

    Pre-Run: 20 226 011 136 bytes free

    Post-Run: 20 810 420 224 bytes free

    .

    WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe

    [boot loader]

    timeout=2

    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

    [operating systems]

    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

    UnsupportedDebug="do not select this" /debug

    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=AlwaysOff /fastdetect

    .

    - - End Of File - - B2798C3026AB0D5362F19BF76A3EF614

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Деинсталирахте ли от Control Panel => ADD or Remove Programs => следните програми:

    Avira

    ESET

    Trojan Remover

    *. Отворете notepad.exe и с copy/paste въведете следната информация:

    KILLALL::
    Driver::
    ehdrv
    Folder::
    c:\windows\update.tray-2-0
    c:\windows\update.tray-2-0-lnk
    c:\windows\rpcminer
    c:\windows\ufa
    c:\windows\phoenix
    c:\windows\av_ico
    c:\windows\update.tray-8-0
    c:\windows\update.tray-8-0-lnk
    C:\$AVG
    c:\documents and settings\pc\Application Data\AVG10
    c:\documents and settings\All Users\Application Data\AVG10
    c:\program files\AVG
    c:\documents and settings\All Users\Application Data\MFAData
    c:\program files\ConduitEngine
    File::
    c:\windows\system32\drivers\avipbb.sys
    c:\windows\system32\drivers\avgntmgr.sys
    c:\windows\system32\drivers\avgntdd.sys
    c:\windows\unrar.exe
    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
    [-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
    [-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoSecurityTab"=dword:00000000
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoSecurityTab"=dword:00000000
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "FirewallOverride"=dword:00000000
    "DisableThumbnailCache"=dword:00000000
    RegNull::
    [HKEY_USERS\S-1-5-21-1417001333-823518204-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{83096151-5BD8-1B3B-C883-C9CB32004732}*]
    RegLock::
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{554740eb-b9e3-459f-a182-e5c48105a22d}]
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{d19a3e01-8b27-49f5-a90e-e83d6c657a81}]
    

    Запазете файла с име CFScript и го провлачете и пуснете в Combofix (както е показано на картинката отдолу).

    Публикувано изображение

    *. По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !

    *. Когато Combofix приключи ще създаде лог файла. Моля, публикувайте този файл в следващия си пост.

    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Само да отбележа,че вече имам достъп до Фейса, да продължа ли тази стъпка???????? Но в контрол панела ги няма тези програми а във Старт меню алл програмс ги има като папки но не се стартират или трият????

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Ще се наложи да изпълним още един скрипт...

    *. Отворете notepad.exe и с copy/paste въведете следната информация:

    KILLALL::
    File::
    c:\windows\sysdriver32.exe
    c:\windows\sysdriver32_.exe
    c:\windows\l1rezerv.exe
    c:\windows\systemup.exe
    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "sysdriver32.exe"=-
    "sysdriver32_.exe"=-
    "l1rezerv.exe"=-
    "systemup"=-
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 1
    

    Запазете файла с име CFScript и го провлачете и пуснете в Combofix (както е показано на картинката отдолу).

    Публикувано изображение

    *. По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !

    *. Когато Combofix приключи ще създаде лог файла. Моля, публикувайте този файл в следващия си пост.

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Така е много по-добре...имаме още работа по машината...но ще продължим утре.

    Изтеглете и инсталирайте Avira AntiVir Personal 10.0.0.650 за да избегнете ре-инфекция.

    След това направете следните две проверки:

    • Изтеглете Malwarebytes' Anti-Malware оттук и я инсталирайте.
    • Стартирайте Malwarebytes' Anti-Malware и отидете на UPDATE и натиснете Check for updates.
    • След това се върнете на Scanner изберете Perform QUICK Scan, след това кликнете на Scan.
    • Сканирането ще отнеме малко време, затова моля бъдете търпеливи.
    • Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата.
    • Уверете се, че на всички редове има отметки, и кликнете Remove Selected.
    • Когато всичко бъде премахнато, логът ще бъде отворен в Notepad. Копирайте лога и го публикувайте в следващия си коментар в темата.

    Забележка: Ако MalwareBytes' Anti-Malware се затрудни в премахването на откритите вируси/заплахи, той ще поиска да рестартира компютъра и по време на рестартирането да премахне проблемните вируси/заплахи. Ако бъдете попитани, потвърдете че желаете вашия компютър да бъде рестартиран.

    Моля, изтеглете aswMBR и го запазете на вашия десктоп.

    • Кликнете с двоен клин на мишката върху файла aswMBR.exe за да го стартирате.
    • Изчакайте да изтегли дефинициите на avast!
    • От падащото меню посочете дял C:\ както е на снимката:
    Публикувано изображение
    • Изберете Scan бутона, за да започне проверката.
    • Когато проверката завърши, натиснете бутона save log, запазете съдържанието на лог файла на десктопа и публикувайте съдържанието му в следващия си коментар.

    После кажете как е състоянието на машината.

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Ето и последните резултати :cool: Обаче антивирусната засича доста вирусчета. Някакви препоръки?

    mbam-log-2011-07-25 (04-22-02).txt

    aswMBR.txt

    Редактирано от bavarec6 (преглед на промените)

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Коя антивирусна засича доста файлчета ? Avira ли ? И ако да в коя папка намира заразените файлове ?

    Avast! е засякъл само този файл, който се намира в карантинната папка на OTL:

    File: C:\_OTL\MovedFiles\07252011_010638\C_WINDOWS\update.5.0\svchost.exe **INFECTED** Win32:Delf-QBF [Trj]

    Тази папка ще се изтрие след като деинсталираме OTL накрая.

    Направете следните настройки на Avira => вижте този коментар След това направете ПЪЛНА проверка на системата си (Complete System Scan) и публикувайте лог файла като приключи сканирането.

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Avira AntiVir Personal Report file date: 25 Юли 2011 г. 22:10 Scanning for 1562564 virus strains and unwanted programs. Licensee : Avira AntiVir Personal - FREE Antivirus Serial number : 0000149996-ADJIE-0000001 Platform : Windows XP Windows version : (Service Pack 3) [5.1.2600] Boot mode : Normally booted Username : SYSTEM Computer name : LOBI-BAR Version information: BUILD.DAT : 9.0.0.407 17961 Bytes 29.7.2009 г. 10:34:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.7.2009 г. 11:36:14 AVSCAN.DLL : 9.0.3.0 40705 Bytes 27.2.2009 г. 08:58:24 LUKE.DLL : 9.0.3.2 209665 Bytes 20.2.2009 г. 09:35:49 LUKERES.DLL : 9.0.2.0 12033 Bytes 27.2.2009 г. 08:58:52 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 г. 10:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.6.2009 г. 07:21:42 ANTIVIR2.VDF : 7.1.4.253 1779200 Bytes 19.7.2009 г. 20:08:01 ANTIVIR3.VDF : 7.1.5.19 139776 Bytes 23.7.2009 г. 05:36:13 Engineversion : 8.2.0.228 AEVDF.DLL : 8.1.1.1 106868 Bytes 28.7.2009 г. 11:31:50 AESCRIPT.DLL : 8.1.2.18 442746 Bytes 23.7.2009 г. 07:59:39 AESCN.DLL : 8.1.2.4 127348 Bytes 23.7.2009 г. 07:59:39 AERDL.DLL : 8.1.2.4 430452 Bytes 23.7.2009 г. 07:59:39 AEPACK.DLL : 8.1.3.18 401783 Bytes 28.7.2009 г. 11:31:50 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.7.2009 г. 07:59:39 AEHEUR.DLL : 8.1.0.143 1864055 Bytes 23.7.2009 г. 07:59:39 AEHELP.DLL : 8.1.5.3 233846 Bytes 23.7.2009 г. 07:59:39 AEGEN.DLL : 8.1.1.50 352629 Bytes 23.7.2009 г. 07:59:39 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 г. 12:32:40 AECORE.DLL : 8.1.7.6 184694 Bytes 23.7.2009 г. 07:59:39 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 г. 12:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 г. 06:47:59 AVPREF.DLL : 9.0.0.1 43777 Bytes 05.12.2008 г. 08:32:15 AVREP.DLL : 8.0.0.3 155905 Bytes 20.1.2009 г. 12:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 05.12.2008 г. 08:32:09 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.3.2009 г. 13:05:41 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.1.2009 г. 08:37:08 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.1.2009 г. 13:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.2.2009 г. 06:21:33 NETNT.DLL : 9.0.0.0 11521 Bytes 05.12.2008 г. 08:32:10 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.5.2009 г. 13:39:58 RCTEXT.DLL : 9.0.37.0 86785 Bytes 17.4.2009 г. 08:19:48 Configuration settings for the scan: Jobname.............................: Complete system scan Configuration file..................: c:\program files\avira\antivir desktop\sysscan.avp Logging.............................: low Primary action......................: delete Secondary action....................: ignore Scan master boot sector.............: on Scan boot sector....................: on Boot sectors........................: C:, E:, Process scan........................: on Scan registry.......................: on Search for rootkits.................: on Integrity checking of system files..: off Scan all files......................: All files Scan archives.......................: on Recursion depth.....................: 20 Smart extensions....................: on Macro heuristic.....................: on File heuristic......................: medium Deviating risk categories...........: +APPL,+GAME,+JOKE,+PCK,+SPR, Start of the scan: 25 Юли 2011 г. 22:10 Starting search for hidden objects. '46244' objects were checked, '0' hidden objects were found. The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'msdtc.exe' - '1' Module(s) have been scanned Scan process 'dllhost.exe' - '1' Module(s) have been scanned Scan process 'wuauclt.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'iPodService.exe' - '1' Module(s) have been scanned Scan process 'winvnc4.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned Scan process 'LSSrvc.exe' - '1' Module(s) have been scanned Scan process 'ekrn.exe' - '1' Module(s) have been scanned Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'egui.exe' - '1' Module(s) have been scanned Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned Scan process 'rundll32.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 34 processes with 34 modules were scanned Starting master boot sector scan: Master boot sector HD0 [iNFO] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [iNFO] No virus was found! Boot sector 'E:\' [iNFO] No virus was found! Starting to scan executable files (registry). The registry was scanned ( '55' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! [NOTE] This file is a Windows system file. [NOTE] This file cannot be opened for scanning. C:\Qoobox\Quarantine\C\WINDOWS\sysdriver32.exe.vir [DETECTION] Is the TR/ATRAPS.Gen Trojan [NOTE] A backup was created as '4ea0c260.qua' ( QUARANTINE ) [NOTE] The file was deleted! C:\Qoobox\Quarantine\C\WINDOWS\sysdriver32_.exe.vir [DETECTION] Is the TR/ATRAPS.Gen Trojan [NOTE] A backup was created as '4ffc8891.qua' ( QUARANTINE ) [NOTE] The file was deleted! C:\System Volume Information\_restore{A78683E4-FBA3-49D4-AFCE-B4B031F4E233}\RP617\A0076312.exe [0] Archive type: NSIS --> ProgramFilesDir/Exe.reg [WARNING] No further files can be extracted from this archive. The archive will be closed [WARNING] No further files can be extracted from this archive. The archive will be closed C:\System Volume Information\_restore{A78683E4-FBA3-49D4-AFCE-B4B031F4E233}\RP623\A0077629.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan [NOTE] A backup was created as '4e5dc259.qua' ( QUARANTINE ) [NOTE] The file was deleted! C:\WINDOWS\system32\drivers\sptd.sys [WARNING] The file could not be opened! C:\WINDOWS\system32\Tools\Restart.exe [DETECTION] Contains recognition pattern of the SPR/Tool.Reboot.J program [NOTE] A backup was created as '4ea0c443.qua' ( QUARANTINE ) [NOTE] The file was deleted! Begin scan in 'E:\' End of the scan: 25 Юли 2011 г. 22:31 Used time: 21:03 Minute(s) The scan has been done completely. 6446 Scanned directories 166852 Files were scanned 4 Viruses and/or unwanted programs were found 0 Files were classified as suspicious 4 files were deleted 0 Viruses and unwanted programs were repaired 4 Files were moved to quarantine 0 Files were renamed 2 Files cannot be scanned 166846 Files not concerned 861 Archives were scanned 4 Warnings 5 Notes 46244 Objects were scanned with rootkit scan 0 Hidden objects were found Ами и двете и Авира и Нода хванах бандити но не обърнах внимание в кои фаилове. Разбира се първо инсталирах едната и сканирах след което я деинсталирах и пробвах с другата

    Редактирано от bavarec6 (преглед на промените)

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Регистрирайте се или влезете в профила си за да коментирате

    Трябва да имате регистрация за да може да коментирате това

    Регистрирайте се

    Създайте нова регистрация в нашия форум. Лесно е!

    Нова регистрация

    Вход

    Имате регистрация? Влезте от тук.

    Вход


    ×

    Информация

    Този сайт използва бисквитки (cookies), за най-доброто потребителско изживяване. С използването му, вие приемате нашите Условия за ползване.