Под Safe Mode

dds.txt

attach.txt

Здравейте,

Може ли да архивирате този файл c:usersxappdatalocaleguooxgmwy.exe и да го качите тук => http://file.bg/ за да го анализирам.

Мерси !

.

Здравейте,

Може ли да архивирате този файл c:usersxappdatalocaleguooxgmwy.exe и да го качите тук => http://file.bg/ за да го анализирам.

Мерси !

.

mod edit: премахнат опасен линк.

Така...файла е типичен Fake антивирус.

СТЪПКА 1

• Изтеглете Malwarebytes' Anti-Malware Free от тук
• Кликнете два пъти върху mbam-setup.exe, за да инсталирате програмата.
• Уверете се, че са поставени отметки на Update Malwarebytes' Anti-Malware и Launch Malwarebytes' Anti-Malware. След това кликнете на Finish.
• Ако има намерени обновявания, тя ще ги изтегли и инсталира.
• Стартирайте програмата и изберете "Perform Quick Scan", след това кликнете на Scan.
• Сканирането ще отнеме малко време, затова моля да бъдете търпеливи.
• Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата.
• Уверете се, че на всички редове има отметки, и кликнете на Remove Selected.
• Когато всичко бъде премахнато, в Notepad ще бъде отворен лог. Копирайте този лог и го публикувайте в следващия си коментар по темата.

Забележка: Ако MalwareBytes' Anti-Malware се затрудни в премахването на откритите вируси/заплахи, той ще поиска да рестартира компютъра Ви и по време на рестартирането да премахне проблемните вируси/заплахи. Ако бъдете попитани, потвърдете че желаете вашия компютър да бъде рестартиран.

СТЪПКА 2

Моля изтеглете последната версия на TDSSKiller оттук и я запазете на вашия декстоп.

• Стартирайте TDSSKiller.exe за да стартирате приложението. След това кликнете върху бутона Change parameters.

  

• Сложете отметки пред Verify Driver Digital Signature и Detect TDLFS file system и натиснете ОК.

  

• Натиснете бутона Start Scan.

  

• Ако подозрителен обект бъде засечен, действието по подразбиране ще бъде Skip, кликнете върху Continue.

  

• Ако зловредни обекти бъдат намерени, тогава от падащото меню ще имате три възможности.

  Бъдете сигурни, че избраното действие е Cure и натиснете върху Continue > Рестартирайте за да бъде завършена поправката.

  

  Забележка: Ако Cure бутона не е наличен от възможностите, тогава моля изберете Skip бутона, не избирайте Delete освен ако не сте инструктирани затова.

• Лог файл ще бъде създаден в свободната директория на дял C: . Потърсете за лог с името "TDSSKiller.[Version]_[Date]_[Time]_log.txt" и копирайте съдържанието му в следващия си пост.

СТЪПКА 3

Моля, изтеглете aswMBR и го запазете на вашия десктоп.

• Кликнете с двоен клин на мишката върху файла aswMBR.exe за да го стартирате.
• Изчакайте да изтегли дефинициите на avast!
• От падащото меню посочете дял C: както е на снимката:

• Изберете Scan бутона, за да започне проверката.
• Когато проверката завърши, натиснете бутона save log, запазете съдържанието на лог файла на десктопа и публикувайте съдържанието му в следващия си коментар.

СТЪПКА 4

Изтеглете OTL.exe и го запазете на десктопа.

• Стартирайте OTL (ако е необходимо, потвърдете през UAC).
• Направете следните настройки:
• Сложете отметка пред Scan All Users
• Под менюто File Age изберете 90 days
• Под менюто Standard Registry променете на ALL
• Сложете отметки пред LOP и Purity Check

Под с Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето):

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
"%WinDir%$NtUninstallKB*$." /30
C:Program FilesCommon FilesComObjects*.* /s
%SYSTEMDRIVE%*.*
%USERPROFILE%*.*
%USERPROFILE%AppData*.*
%USERPROFILE%AppDataLocal*.*
%USERPROFILE%AppDataRoaming*.*
%ProgramData%*.*
%CommonProgramFiles%*.*
%PROGRAMFILES%*.*
%systemroot%system32configsystemprofileAppDataLocal*.*
%windir%ServiceProfilesLocalServiceAppDataLocalTemp*.*
%windir%ServiceProfilesNetworkServiceAppDataLocalTemp*.*
%windir%temp*.*
%windir%system32*.
%Temp%smtmp1*.*
%Temp%smtmp2*.*
%Temp%smtmp3*.*
%Temp%smtmp4*.*
%systemroot%system32DBBK*.* /s
%systemroot%system32*.dll /lockedfiles
%systemroot%Tasks*.job /lockedfiles
%systemroot%system32drivers*.sys /90
%systemroot%system32drivers*.sys /lockedfiles
%systemroot%system32Spoolprtprocsw32x86*.dll
%systemroot%*. /rp /s
%systemroot%assemblytmp*.* /S /MD5
%systemroot%assemblytemp*.* /S /MD5
%systemroot%assemblyGAC_32*.* /S /MD5
%SystemRoot%assemblyGAC_MSIL*.* /S /MD5
HKEY_CURRENT_USERSoftwareClassesCLSID{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
>C:commands.txt echo list vol /raw /hide /c
/wait
>C:DiskReport.txt diskpart /s C:commands.txt /raw /hide /c
/wait
type c:diskreport.txt /c
/wait
erase c:commands.txt /hide /c
/wait
erase c:diskreport.txt /hide /c
/md5start
explorer.exe
lsass.exe
svchost.exe
wininit.exe
winlogon.exe
userinit.exe
atapi.sys
iaStor.sys
serial.sys
volsnap.sys
disk.sys
redbook.sys
i8042prt.sys
afd.sys
netbt.sys
csc.sys
tcpip.sys
dfsc.sys
hlp.dat
/md5stop

• Натиснете маркираният в синьо бутон: Run Scan.
• Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt. Прикачете тези два файла в следващия си коментар (погледнете опцията Прикачени файлове, когато публикувате мнение).

Това е лога от M-bam. Няма как да го запазя под Safe Mode и затова го копирам. След малко ще добавя и останалите резултати. Malwarebytes Anti-Malware (Trial) 1.61.0.1400 www.malwarebytes.org Database version: v2012.05.31.07 Windows Vista Service Pack 2 x86 NTFS (Safe Mode/Networking) Internet Explorer 7.0.6002.18005 x :: X-PC [administrator] Protection: Disabled 1.6.2012 г. 00:51 ч. mbam-log-2012-06-01 (00-51-27).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM Scan options disabled: P2P Objects scanned: 183074 Time elapsed: 3 minute(s), 19 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 1 HKCRCLSID{42aedc87-2188-41fd-b9a3-0c966feabec1}InprocServer32| (Trojan.Zaccess) -> Bad: (C:UsersxAppDataLocal{72bba384-4020-3737-9b91-c0aa265d1cfd}n.) Good: (%SystemRoot%system32shdocvw.dll) -> Quarantined and repaired successfully. Folders Detected: 0 (No malicious items detected) Files Detected: 9 C:UsersxAppDataLocalTempKMP_3.2.0.0.exe (PUP.ToolbarDownloader) -> Quarantined and deleted successfully. C:UsersxLocal Settingseguooxgmwy.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:UsersxLocal SettingsApplication Dataeguooxgmwy.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:UsersxLocal SettingsTemporary Internet FilesContent.IE5MMQ3CYCKsoft4[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:UsersxLocal SettingsTemporary Internet FilesContent.IE5TWV4YN5Nsoft3[1].exe (Rootkit.0Access) -> Quarantined and deleted successfully. C:WindowsInstaller{72bba384-4020-3737-9b91-c0aa265d1cfd}n (Trojan.Dropper.PE4) -> Quarantined and deleted successfully. C:WindowsInstaller{72bba384-4020-3737-9b91-c0aa265d1cfd}U00000001.@ (Trojan.Small) -> Quarantined and deleted successfully. C:WindowsInstaller{72bba384-4020-3737-9b91-c0aa265d1cfd}U80000000.@ (Trojan.Sirefef) -> Quarantined and deleted successfully. C:WindowsInstaller{72bba384-4020-3737-9b91-c0aa265d1cfd}U800000cb.@ (Rootkit.0Access) -> Quarantined and deleted successfully. (end)

Редактирано 31 май 201214 г. от gothicrock (преглед на промените)

Мда...очакваше се...Чака ни доста работа. Имате си най-новата версия на ZeroAccess. Обновения енджин на MBAM се справя доста добре, но лошото при тази зараза е, че когато се почиства докато е активна следва нова реинфекция. Направете стъпките описани в темата и след това ще се наложи да използваме и тежката артилерия най-вероятно. Само, че ще стане утре, че ще лягам. Трябва да ставам рано за работа. Утре след 19.00 съм на линия и ще остана до късно докато не го почистим. Лека вечер!

.

TDSSKiller.2.7.36.0_01.06.2012_01.07.47_log.txt

aswMBR.txt

Extras.Txt

Редактирано 31 май 201214 г. от gothicrock (преглед на промените)

• Изтеглете BlitzBlank от emsisoft и го запазете на вашия десктоп.
• Стартирайте Blitzblank.exe.
• Натиснете OK на предупредителното съобщение
• Натиснете Script и с копи/пейст въведете следната информация.

  DeleteFolder:
  "C:UsersxAppDataLocal{72bba384-4020-3737-9b91-c0aa265d1cfd}"
  C:WindowsInstaller{72bba384-4020-3737-9b91-c0aa265d1cfd}
  

• Натиснете Execute Now. Компютъра ще се рестартира в опит за изтриване на файловете.
• Когато процедурата завърши ще се създаде лог файл в C: => Публикувайте го в следващия си коментар.

• Моля, изтеглете SystemLook и запазете програмата на десктопа.
• Кликнете два пъти върху SystemLook.exe, за да стартирате програмата.
• Копирайте съдържанието на следния код в текстовото поле на програмата

  :filefind
  {72bba384-4020-3737-9b91-c0aa265d1cfd}
  :folderfind
  {72bba384-4020-3737-9b91-c0aa265d1cfd}
  :regfind
  {72bba384-4020-3737-9b91-c0aa265d1cfd}
  

• Кликнете на бутона Look, за да започне сканирането.
• Когато сканирането завърши ще Ви се отвори Notepad с резултата от сканирането. Моля, публикувайте лог файла в следващия си коментар.

BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveDirectoryOnReboot: sourceDirectory = "??c:usersxappdatalocal{72bba384-4020-3737-9b91-c0aa265d1cfd}", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "??c:usersxappdatalocal{72bba384-4020-3737-9b91-c0aa265d1cfd}@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "??c:usersxappdatalocal{72bba384-4020-3737-9b91-c0aa265d1cfd}L", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "??c:usersxappdatalocal{72bba384-4020-3737-9b91-c0aa265d1cfd}U", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "??c:windowsinstaller{72bba384-4020-3737-9b91-c0aa265d1cfd}", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "??c:windowsinstaller{72bba384-4020-3737-9b91-c0aa265d1cfd}@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "??c:windowsinstaller{72bba384-4020-3737-9b91-c0aa265d1cfd}L", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "??c:windowsinstaller{72bba384-4020-3737-9b91-c0aa265d1cfd}U", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "??c:windowsinstaller{72bba384-4020-3737-9b91-c0aa265d1cfd}U00000001.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "??c:windowsinstaller{72bba384-4020-3737-9b91-c0aa265d1cfd}U80000000.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "??c:windowsinstaller{72bba384-4020-3737-9b91-c0aa265d1cfd}U800000cb.@", destinationFile = "(null)", replaceWithDummy = 0 ************************************************************ SystemLook 30.07.11 by jpshortstuff Log created at 11:10 on 01/06/2012 by x Administrator - Elevation successful ========== filefind ========== Searching for "{72bba384-4020-3737-9b91-c0aa265d1cfd}" No files found. ========== folderfind ========== Searching for "{72bba384-4020-3737-9b91-c0aa265d1cfd}" No folders found. ========== regfind ========== Searching for "{72bba384-4020-3737-9b91-c0aa265d1cfd}" No data found. -= EOF =-

Супер...резнахме му крилцата.

Сега:

1. Изтеглете ComboFix от BleepingComputer

и го запазете (бутон Save -> Save as) ComboFix на вашия десктоп:

След приключване на изтеглянето на ComboFix, иконката на програмата би трябвало да изглежда така:

2. Затворете всички работещи приложения, отворени прозорци и програми работещи във фонов режим. Спрете временно защитата в реално време на антивирусната програма и на другите програми за сигурност, ако има такива.

3. Стартирайте с двоен клик Combofix.exe. Изберете YES, за да се съгласите с условията за използване на програмата. Важно: По време на работата на ComboFix не бива да се движи мишката и да се натискат клавиши от клавиатурата. Просто търпеливо оставете ComboFix да си свърши работата, без да използвате компютъра за други цели.

4. Ако получите предупреждение от UAC, съгласете се.

5 ComboFix ще спре временно Интернет връзката, но след като приключи работата на програмата тази връзка ще бъде възстановена автоматично. ComboFix ще сканира за проблеми и за заразени файлове, като това може да отнеме известно време. Моля да бъдете търпеливи. Ако има проблем с Интернет връзката след приключване на работата на Combofix, моля да прочетете това: Manually restoring the Internet connection section.

6 Когато работата на ComboFix приключи, ще се появи текстов документ (log) в Notepad:

Копирайте с (Copy) и поставете с (Paste) съдържанието на лога в следващия си коментар.

Забележка: Ако се появи следното съобщение при отварянето на различни програми след завършване на сканирането с Combofix - "illegal operation on a registry key that has been marked for deletion." просто рестартирайте компютъра още веднъж и то ще изчезне.

По време на сканирането не използвайте компютъра си !

ComboFix 12-06-01.01 - x 06.2012 г. 11:40:57.1.2 - x86 NETWORK Microsoft® Windows Vista™ Ultimate 6.0.6002.2.1251.359.1033.18.2037.1330 [GMT 3:00] Running from: c:usersxDesktopComboFix.exe AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7} SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A} SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Created a new restore point . . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:windowssystem32avisynth.dll c:windowssystem32devil.dll c:windowssystem32driversetchosts.ics . Infected copy of c:windowssystem32services.exe was found and disinfected Restored copy from - c:windowswinsxsx86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56services.exe . . ((((((((((((((((((((((((( Files Created from 2012-05-01 to 2012-06-01 ))))))))))))))))))))))))))))))) . . 2012-05-31 20:58 . 2012-05-31 20:58 -------- d-----w- c:usersxAppDataRoamingMalwarebytes 2012-05-31 20:58 . 2012-05-31 20:58 -------- d-----w- c:programdataMalwarebytes 2012-05-31 20:58 . 2012-05-31 20:58 -------- d-----w- c:program filesMalwarebytes' Anti-Malware 2012-05-31 20:58 . 2012-04-04 12:56 22344 ----a-w- c:windowssystem32driversmbam.sys . . . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-06-01 00:14 . 2009-08-19 09:49 16608 ----a-w- c:windowsgdrv.sys 2011-07-25 19:32 . 2011-07-24 07:05 142296 ----a-w- c:program filesmozilla firefoxcomponentsbrowsercomps.dll . . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 . [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun] "Sidebar"="c:program filesWindows Sidebarsidebar.exe" [2009-04-11 1233920] "ehTray.exe"="c:windowsehomeehTray.exe" [2008-01-21 125952] "WMPNSCFG"="c:program filesWindows Media PlayerWMPNSCFG.exe" [2008-01-21 202240] . [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "IgfxTray"="c:windowssystem32igfxtray.exe" [2008-12-10 141848] "HotKeysCmds"="c:windowssystem32hkcmd.exe" [2008-12-10 173592] "Persistence"="c:windowssystem32igfxpers.exe" [2008-12-10 150552] "RtHDVCpl"="c:program filesRealtekAudioHDARtHDVCpl.exe" [2009-01-13 6711840] "Adobe Reader Speed Launcher"="c:program filesAdobeReader 9.0ReaderReader_sl.exe" [2008-06-11 34672] "avgnt"="c:program filesAviraAntiVir Desktopavgnt.exe" [2009-03-02 209153] "RemoteControl"="c:program filesCyberLinkPowerDVDPDVDServ.exe" [2004-11-02 32768] "Malwarebytes' Anti-Malware"="c:program filesMalwarebytes' Anti-Malwarembamgui.exe" [2012-04-04 462408] . [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce] "Malwarebytes Anti-Malware (cleanup)"="c:programdataMalwarebytesMalwarebytes' Anti-Malwarecleanup.dll" [2012-04-04 1082440] . c:programdataMicrosoftWindowsStart MenuProgramsStartup TL-WN321G Wireless Utility.lnk - c:program filesTP-LINKTL-WN321GCOMMONTWCU.exe [2010-7-12 1785856] . [HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem] "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32] "aux"=wdmaud.drv . [HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvcS-1-5-21-1677720601-2099193318-1647533438-1000] "EnableNotificationsRef"=dword:00000003 . --- Other Services/Drivers In Memory --- . *NewlyCreated* - WS2IFSL . Contents of the 'Scheduled Tasks' folder . 2012-05-31 c:windowsTasksUser_Feed_Synchronization-{1FA8787F-C31C-429F-A283-CD61231ADB3F}.job - c:windowssystem32msfeedssync.exe [2008-01-21 02:23] . . ------- Supplementary Scan ------- . uStart Page = about:blank IE: E&xport to Microsoft Excel - c:progra~1MICROS~2Office12EXCEL.EXE/3000 IE: Google Sidewiki... - c:program filesGoogleGoogle ToolbarComponentGoogleToolbarDynamic_mui_en_70C5B381380DB17F.dll/cmsidewiki.html TCP: DhcpNameServer = 192.168.1.1 FF - ProfilePath - c:usersxAppDataRoamingMozillaFirefoxProfilesuc7cz78i.default FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms} FF - prefs.js: browser.startup.homepage - about:home FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q= . - - - - ORPHANS REMOVED - - - - . URLSearchHooks-{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - (no file) WebBrowser-{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - (no file) WebBrowser-{30F9B915-B755-4826-820B-08FBA6BD249D} - (no file) . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2012-06-01 11:46 Windows 6.0.6002 Service Pack 2 NTFS . scanning hidden processes ... . scanning hidden autostart entries ... . scanning hidden files ... . scan completed successfully hidden files: 0 . ************************************************************************** . --------------------- LOCKED REGISTRY KEYS --------------------- . [HKEY_USERSS-1-5-21-1677720601-2099193318-1647533438-1000SoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.*-Nс‚W[u^бя#WОWZ†аe] @Class="Shell" . [HKEY_USERSS-1-5-21-1677720601-2099193318-1647533438-1000SoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.*-Nс‚W[u^бя#WОWZ†аeOpenWithList] @Class="Shell" . ------------------------ Other Running Processes ------------------------ . c:windowshelppane.exe . ************************************************************************** . Completion time: 2012-06-01 11:48:16 - machine was rebooted ComboFix-quarantined-files.txt 2012-06-01 08:48 . Pre-Run: 10 666 725 376 bytes free Post-Run: 10 919 038 976 bytes free . - - End Of File - - 96CA983491C0A053594A22D340331837

Изглежда наред. Combofix мисля, че е изтрил неправилно два файла.

Проверете на VirusTotal следните два файла:

c:\qoobox\quarantine\c\windows\system32\avisynth.dll.vir

c:\qoobox\quarantine\c\windows\system32\devil.dll.vir

и публикувайте резултатите.

SHA256: 1d214e20ea6feea336e370c3d4b5b4dc0483db396219e56d740de45dff32cf95 File name: avisynth.dll.vir Detection ratio: 0 / 42 Analysis date: 2012-06-01 09:55:26 UTC ( 1 minute ago ) 0 0 More details Antivirus Result Update AhnLab-V3 - 20120531 AntiVir - 20120601 Antiy-AVL - 20120601 Avast - 20120601 AVG - 20120601 BitDefender - 20120601 ByteHero - 20120531 CAT-QuickHeal - 20120601 ClamAV - 20120531 Commtouch - 20120601 Comodo - 20120601 DrWeb - 20120601 Emsisoft - 20120601 eSafe - 20120530 F-Prot - 20120531 F-Secure - 20120601 Fortinet - 20120601 GData - 20120601 Ikarus - 20120601 Jiangmin - 20120601 K7AntiVirus - 20120531 Kaspersky - 20120601 McAfee - 20120601 McAfee-GW-Edition - 20120601 Microsoft - 20120601 NOD32 - 20120601 Norman - 20120601 nProtect - 20120601 Panda - 20120531 PCTools - 20120601 Rising - 20120601 Sophos - 20120601 SUPERAntiSpyware - 20120601 Symantec - 20120601 TheHacker - 20120531 TotalDefense - 20120601 TrendMicro - 20120601 TrendMicro-HouseCall - 20120601 VBA32 - 20120531 VIPRE - 20120601 ViRobot - 20120601 VirusBuster - 20120531 *********************************************************** SHA256: 38aed5589e8da0a3b123e754b0c839818627f4fd178df31b556cbb304caefc28 File name: devil.dll.vir Detection ratio: 0 / 42 Analysis date: 2012-06-01 09:48:03 UTC ( 1 minute ago ) 0 0 More details Antivirus Result Update AhnLab-V3 - 20120531 AntiVir - 20120601 Antiy-AVL - 20120601 Avast - 20120601 AVG - 20120601 BitDefender - 20120601 ByteHero - 20120531 CAT-QuickHeal - 20120601 ClamAV - 20120531 Commtouch - 20120601 Comodo - 20120601 DrWeb - 20120601 Emsisoft - 20120601 eSafe - 20120530 F-Prot - 20120531 F-Secure - 20120601 Fortinet - 20120601 GData - 20120601 Ikarus - 20120601 Jiangmin - 20120601 K7AntiVirus - 20120531 Kaspersky - 20120601 McAfee - 20120601 McAfee-GW-Edition - 20120601 Microsoft - 20120601 NOD32 - 20120601 Norman - 20120601 nProtect - 20120601 Panda - 20120531 PCTools - 20120601 Rising - 20120601 Sophos - 20120601 SUPERAntiSpyware - 20120601 Symantec - 20120601 TheHacker - 20120531 TotalDefense - 20120601 TrendMicro - 20120601 TrendMicro-HouseCall - 20120601 VBA32 - 20120531 VIPRE - 20120601 ViRobot - 20120601 VirusBuster - 20120531

Редактирано 1 юни 201214 г. от gothicrock (преглед на промените)

Явно файловете са легитимни:

За да ги възстановите направете следното:

• Отворете notepad и с copy/paste въведете следната информация:

  Dequarantine::
  c:qooboxquarantinecwindowssystem32avisynth.dll.vir
  c:qooboxquarantinecwindowssystem32devil.dll.vir
  Quit::

• Запазете файла с име CFScript и го провлачете и пуснете в Combofix (както е показано на картинката отдолу).

  

• По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !
• Публикувайте лог файла - DeQuarantine.txt, който ще се създаде след рестарта на компютъра в следващия си пост.

c:qooboxquarantinecwindowssystem32avisynth.dll.vir -> c:windowssystem32avisynth.dll ( 313344 bytes ) c:qooboxquarantinecwindowssystem32devil.dll.vir -> c:windowssystem32devil.dll ( 719872 bytes )

Сега остана:

Повторете проверката с MBAM като първо обновите дефинициите.

Премахнете намерените неща и публикувайте лог файла.

1.Изтеглете Hitman Pro.

• За 32-битова система -

2.Стартирайте програмата.

3.След като сте стартирали програмата като кликнете върху иконата и натиснете бутона „Напред“ като се съгласите с лицензионното споразумение (EULA).

4.Сложете отметка пред "Не, искам да завърша еднократно сканиране на компютъра".

5.Натиснете бутона „Напред“.

6.Програмата ще започне да сканира. Времето за сканиране е около 2 минути.

7.След завършване на сканирането от списъка с намерените неща (ако има такива) изберете Apply to all => Ignore.

8.Натиснете "Next" и след това натиснете "Изнеси резултата в XML file".

9.Архивирайте файла и го прикачете в следващия си коментар.

1) Изтеглете: ESET Online Scanner

2) Стартирайте esetsmartinstaller_enu.exe

3) Сложете отметка на YES, I accept the Terms of Use и изберете Start

4) Скенерът ще започне да изтегля компонентите, които са му необходими.

5) Уверете се, че има отметки на следните редове, включително и тези от менюто Advanced Settings:

• Remove found threats
• Scan archives
• Scan for potentially unwanted applications
• Scan for potentially unsafe applications
• Enable Anti-Stealth technology

И накрая изберете Start

6) Скенерът ще започне да изтегля последните дефиниции.

7) След, като сканирането завърши изберете Finish.

8) Отидете в:

C:Program FilesESETESET Online Scanner

Отворете файла log.txt , копирайте съдържанието му и го поставете в следващия си пост.

И да проверим за повредени услуги:

Моля изтеглете Farbar Service Scanner и я стартирайте.

• Сложете всички отметки
• Натиснете бутона "Scan".
• Ще се създаде лог файл с името (FSS.txt) в папката откъдето стартирате инструмента.
• Копирайте съдържанието на лог файла в следващия си пост.

.

MBAM-log.txt

HitmanPro-log.zip

ESET-log.txt

FSS.txt

Логовете излгеждат наред.

Имаме обаче работа по услугите...някои са изтрити от регистрите.

MpsSvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.

bfe Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.

Преди това обаче имам въпрос...още ли продължавате да сканирате под Safe Mode и ако да защо?

Не можете ли вече да заредите в Нормален режим. Ако можете ще се наложи да повторим повечето проверки от нормален режим.

Това е от лога на MBAM:

Windows Vista Service Pack 2 x86 NTFS (Safe Mode/Networking)

Мога да влеза в нормален режим, но нещо Security Center не работи много добре - изчлючен е FIrewell, но не съм го пипал. Щом трябва, ще работя в нормален режим.

Редактирано 1 юни 201214 г. от gothicrock (преглед на промените)

Е нали съм писал, че има проблеми с услугите на Windows Firewall и Security Center-a. Ще ги оправим и тях. Повторете проверките ако може в нормален режим (поне за MBAM, ESET, HitmanPro, TDSSKiller). След това ще оправим и услугите.

Готово.

ESET-log.txt

HitmanPro-log.zip

MBAM.txt

TDSSKiller.2.7.36.0_01.06.2012_23.23.14_log.txt

Всичко изглежда наред, но има проблеми с лога на HitmanPro...май е повреден или непълен.

Ако не е намерил нищо и той (а само бисквитки) значи няма нужда от нова проверка.

Да се опитаме да оправим услугите:

• Изтеглете PsExec и разархивирайте архива на десктопа.
• Копирайте файла psexec.exe в свободната директория на дял C:
• Изтеглете SWreg.exe и го копирайте в C:Windows
• В старт менюто в полето за търсене напишете CMD.exe => кликнете с десен бутон върху файла CMD.exe => натиснете Run as administrator.
• Въведете командата cd c: и натиснете Enter
• Въведете командата psexec -s swreg.exe ACL "HKLMSYSTEMCurrentControlSetEnumRoot" /GE:F и натиснете Enter
• Сега вече сме готови за следващата стъпка...Изтеглете MpsSvc.reg и BFE.reg и ги запазете на десктопа.
• Стартирайте файла един по един с двукратен клик и изберете YES на диалоговия прозорец и за двата файла.
• Рестартирайте системата.
• След това изтеглете този файл RestoreBfe.exe и го запазете на десктопа.
• Стартирайте файла...ще се появи надпис "Done! Please check if BFE service is running now"
• Рестартирайте отново и направете нова проверка с FSS.

С HitmanPro сканирах два пъти, защото ми спря токът за малко, точно преди да направя лога - първият път беше засекла една бисквитка, ако не греша.

FSS.txt

Редактирано 1 юни 201214 г. от gothicrock (преглед на промените)

Стартирахте ли BFE.reg и RestoreBfe.exe ?

Стартирахте ли BFE.reg и RestoreBfe.exe ?

Да.

PS: MBAM и ESET Online са ми инсталирани в Programs - да ги оставя ли още?

Редактирано 1 юни 201214 г. от gothicrock (преглед на промените)