Мозилата забива

[Методиев 4]

[icotonev 8105]

ComboFix е изключително мощен инструмент, който трябва да се използва само от обучени консултанти. Той е предназначен от своя създател да се използва под ръководството и надзора на Malware експерт , а не за лично ползване. Използването на този инструмент, неправилно може да доведе до катастрофални проблеми с вашата операционна система...!
 
В този подраздел се спазват някои основни правила...Затова има създадена специална тема Системата ми е инфектирана - Какво да правя сега?

 

Поздрави и лек ден..!

[Методиев 4]

 

Тъй като съм новобранец /в борбата с вируси и троянци/, както личи от надписа над аватара, постъпих по този начин.

Mozilla Firefox започна да забива при смяна на елементарни страници, като DIR.BG, например. Бави се, върти нещо, не отговаря и застива. Спирам я с Task Manager. По едно време започнаха да се явяват съобщения за грешки със скриптовете. Рових се във форумите и някъде прочетох, че причината би могла да е Flash Player. Преинсталирах го и като че ли се оправи.

Днес, обаче, отново започна да застива и да не отговаря. Попаднах на този форум и , тъй като прочетох че проблема е решен, реших, че това е начина за реагиране.

Сега след като съм въртял ComboFix, започвам ли от начало с DDS?

Поздрави!

М.Методиев

Редактирано 5 декември 2013 от Методиев (преглед на промените)

[icotonev 8105]

Не,няма смисъл да правите сканиране с DDS..просто да знаете ако се наложи да ползвате услугите на екипа следващ път..!
Направете следните сканирания и аз утре ще огледам цялата информация която сте публикували..!
 
 
Моля, изтеглете и стартирайте програмата AdwCleaner(by Xplode):

• [*]Затворете всички стартирани програми и браузъри [*]Кликнете два пъти върху

adwcleaner.exe за да стартирате инструмента. [*]Натиснете OK, за да потвърдите, че всички стартирани програми ще бъдат затворени. [*]Маркирайте Clean [*]Вашият компютър ще се рестартира автоматично. Текстовия файл ще се отвори след рестарта. [*]Моля, да публикувате съдържанието на този лог в отговора си [*]Можете да намерите лога,който автоматично се запомня тук C:AdwCleaner[s0].txt

Моля, изтеглете Junkware Removal Tool (by Thisisu ) и запазете на вашия десктоп.

• [*]Спрете временно работата на защитните програми. [*]Стартирайте инструмента

JRT.exe [*]Ще се отвори ДОС прозорец. Натиснете което и да е копче от клавиатурата. [*]Затворете излишните приложения и всички браузъри и изчакайте проверката да завърши. [*]Ще се появи лог файл (който можете да намерите и ръчно на десктопа с името JRT.txt). [*]Моля копирайте съдържанието на лог файла в следващия си пост.

 
 
Следвайте инструкциятa за проверка с GooredFix:

• [*]Изтеглете

GooredFix, миръри: тук и тук. [*]Запазете го на десктопа. [*]Затворете всички браузъри и стартирайте GooredFix.exe. [*]Потвърдете с Yes, за да започне сканирането. [*]GooredFix ще провери за инфекции и след това ще се появи лог (GooredFix.txt). Копирайте (Copy) и поставете (Paste) резултатите от сканирането в следващия си коментар.

[Методиев 4]

Здравейте,

Сканирах с трите инструмента. Прилагам:

# AdwCleaner v3.014 - Report created 05/12/2013 at 17:34:43# Updated 01/12/2013 by Xplode# Operating System : Windows 7 Ultimate Service Pack 1 (32 bits)# Username : Metody Metodiev - METODY-PD# Running from : C:UsersMetody MetodievDesktopadwcleaner.exe# Option : Clean***** [ Services ] ********** [ Files / Folders ] *****Folder Deleted : C:Program Filesss helper***** [ Shortcuts ] ********** [ Registry ] *****Key Deleted : HKLMSOFTWAREGoogleChromeExtensionsgkjoindjjcmbdpbfppabdgflnkgbbcli[#] Key Deleted : HKLMSOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks{F63C6CA9-04E1-4BFC-8A80-F9165D99D572}[#] Key Deleted : HKLMSOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCachePlain{EEAA5BB5-77EB-4CF4-A8EA-3DF9F0D1ACD7}[#] Key Deleted : HKLMSOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks{EEAA5BB5-77EB-4CF4-A8EA-3DF9F0D1ACD7}[#] Key Deleted : HKLMSOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks{533AD0B8-A44A-4BB5-89D0-A9096F1DE6E6}Key Deleted : HKLMSOFTWAREMicrosoftTracingYourFile_RASAPI32Key Deleted : HKLMSOFTWAREMicrosoftTracingYourFile_RASMANCSKey Deleted : HKLMSOFTWAREMicrosoftTracingYourFileUpdater_RASAPI32Key Deleted : HKLMSOFTWAREMicrosoftTracingYourFileUpdater_RASMANCSKey Deleted : HKCUSoftwareGoforFilesKey Deleted : HKLMSoftwareGoforFilesKey Deleted : HKLMSoftwareUniblue***** [ Browsers ] *****- Internet Explorer v11.0.9600.16428- Mozilla Firefox v25.0.1 (bg)[ File : C:UsersMetody MetodievAppDataRoamingMozillaFirefoxProfiles794xfgg7.default-1378903933559prefs.js ]*************************AdwCleaner[R0].txt - [66623 octets] - [05/11/2013 16:34:09]AdwCleaner[R1].txt - [1916 octets] - [05/12/2013 17:33:56]AdwCleaner[s0].txt - [4380 octets] - [05/11/2013 16:36:12]AdwCleaner[s1].txt - [1910 octets] - [05/12/2013 17:34:43]########## EOF - C:AdwCleanerAdwCleaner[s1].txt - [1970 octets] ########## 

 

 

 

Junkware Removal Tool (JRT) by ThisisuVersion: 6.0.8 (11.05.2013:1)OS: Windows 7 Ultimate x86Ran by Metody Metodiev on ЇҐв 06.12.2013 at 10:15:47.56~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Services~~~ Registry Values~~~ Registry Keys~~~ Files~~~ Folders~~~ FireFoxEmptied folder: C:UsersMetody MetodievAppDataRoamingmozillafirefoxprofiles794xfgg7.default-1378903933559minidumps [17 files]~~~ Event Viewer Logs were cleared~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Scan was completed on ЇҐв 06.12.2013 at 10:18:07.09End of JRT log~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

 

 

 

GooredFix by jpshortstuff (03.07.10.1)Log created at 10:20 on 06/12/2013 (Metody Metodiev)Firefox version 25.0.1 (bg)========== GooredScan ==========(none)========== GooredLog ==========C:Program FilesMozilla Firefoxextensionssc_cert_delete@b-trust.org [10:21 16/11/2013]C:UsersMetody MetodievApplication DataMozillaFirefoxProfiles794xfgg7.default-1378903933559extensions(none)[HKEY_LOCAL_MACHINESoftwareMozillaFirefoxExtensions](none)-=E.O.F=-

[icotonev 8105]

Продължаваме..!

Изтеглете Security Check (автор: screen317) от тук

• [*]Кликнете два пъти върху

SecurityCheck.exe и следвайте инструкциите. [*]Когато програмата завърши работата си, ще се отвори един текстов документ: checkup.txt. [*]Копирайте съдържанието на checkup.txt с Копирай (Copy) и с Постави (Paste) го поставете в следващия си коментар.

 

 

Изтеглете Malwarebytes' Anti-Malware или от тук (не забравяйте да обновите програмата с нови дефиниции)
* Кликнете два пъти върху mbam-setup.exe, за да инсталирате програмата.
* Уверете се, че са поставени отметки на Update Malwarebytes' Anti-Malware и Launch Malwarebytes' Anti-Malware. След това кликнете на Finish.
* Ако има намерени обновявания, тя ще ги изтегли и инсталира.
* Стартирайте програмата и изберете "Perform Full Scan", след това кликнете на Scan.
* Сканирането ще отнеме малко време, затова моля да бъдете търпеливи.
* Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата
* Уверете се, че на всички редове има отметки, и кликнете на Remove Selected.
* Когато всичко бъде премахнато, в Notepad ще бъде отворен лог.
Копирайте този лог и го публикувайте в следващия си коментар по темата.
Забележка: Ако MalwareBytes' Anti-Malware се затрудни в премахването на откритите вируси/заплахи, той ще поиска да рестартира компютъра Ви и по време на рестартирането да премахне проблемните вируси/заплахи. Ако бъдете попитани, потвърдете че желаете вашия компютър да бъде рестартиран
 

 
Изтеглете програмата: ESET Online Scanner

• [*]Стартирайте esetsmartinstaller_enu.exe [*]Сложете отметка на

YES, I accept the Terms of Use и изберете Start:

• [*]
  

• [*]Скенерът ще започне да изтегля компонентите, които са му необходими:
  

• [*]
  

Уверете се, че е премахната отметката от:

• [*]

Remove found threats

Уверете се че са маркирани следните позиции:

• [*]

Scan Archives

Кликнете върху Advanced Settings и маркирайте следните опции:

• [*]

Scan for potentially unwanted applications [*]Scan for potentially unsafe applications [*]Enable Anti-Stealth Technology

Накрая изберете Start
Скенерът ще започне да изтегля последните дефиниции и ще започне сканиране на вашия компютър.
Моля, бъдете търпеливи, тъй като това може да отнеме известно време.

• [*]След, като сканирането завърши кликнете на

List of found threats. [*]Щракнете върху Export, и запишете файла на вашия работен плот с  име  ESETScan. Копирайте съдържанието на този доклад, в следващия си отговор. [*]Изберете бутона Back. [*]Изберете бутона Finish.

[Методиев 4]

Здравейте,

След продължително сканиране, ето резултатите:

 

 Results of screen317's Security Check version 0.99.77 Windows 7 Service Pack 1 x86 (UAC is enabled) Internet Explorer 11  ``````````````Antivirus/Firewall Check:`````````````` Windows Firewall Enabled!  Microsoft Security Essentials  Antivirus up to date!  `````````Anti-malware/Other Utilities Check:````````` Java 7 Update 45 Adobe Flash Player  11.9.900.152 Mozilla Firefox (25.0.1)````````Process Check: objlist.exe by Laurent```````` Microsoft Security Essentials MSMpEng.exe Microsoft Security Essentials msseces.exe`````````````````System Health check````````````````` Total Fragmentation on Drive C: 6%````````````````````End of Log`````````````````````` 

 

 

Malwarebytes Anti-Malware 1.75.0.1300www.malwarebytes.orgDatabase version: v2013.12.07.03Windows 7 Service Pack 1 x86 NTFSInternet Explorer 11.0.9600.16428Metody Metodiev :: METODY-PD [administrator]7.12.2013 12:12:41 ч.mbam-log-2013-12-07 (12-12-41).txtScan type: Full scan (C:|D:|E:|F:|G:|K:|)Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUMScan options disabled: P2PObjects scanned: 516636Time elapsed: 2 hour(s), 43 minute(s), 5 second(s)Memory Processes Detected: 0(No malicious items detected)Memory Modules Detected: 0(No malicious items detected)Registry Keys Detected: 0(No malicious items detected)Registry Values Detected: 0(No malicious items detected)Registry Data Items Detected: 0(No malicious items detected)Folders Detected: 0(No malicious items detected)Files Detected: 8D:TEMP INSTALLRARWinRAR 3.92 x64 x86 [inetcentral]Keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.D:TEMP INSTALLSketch UpGoogle_SketchUp_Pro_2013_v13.0.3689_ _Patch_-_FileListGoogle_SketchUp_Pro_2013_v13.0.3689_ _Patch_-_FileListPatchPatch.exe (CrackTool.Agent) -> Quarantined and deleted successfully.D:TEMP INSTALLCORELCorelDRAW.Graphics.Suitev13.0 ENCorelDRAW.Graphics.Suite.X3.v13.0.Incl.Keygen-SSGkeygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.D:TEMP INSTALLInDesignAdobe InDesign CS6 v8.0.1 Final + Crack + UpdateAdobe InDesign CS6 v8.0.1Crackamtlib.dll (PUP.RiskwareTool.CK) -> Quarantined and deleted successfully.D:TEMP INSTALLViewCompanion Pro 7.10.0.645 Incl PatchPatchviewcompanion.pro.7.10.0.645-patch.exe (PUP.Riskware.Patcher) -> Quarantined and deleted successfully.D:TEMP INSTALLAuto CADAUTODESK 2013 PRODUCTS UNIVERSAL KEYGEN WIN MAC x86 x64 - XFORCExfadsk2013Crack-Winxf-adsk2013_x32.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.D:TEMP INSTALLAVIA.Scan2CAD.PRO.V8.2e-ENGiNEENGiNEScan2CAD V8.2E-Crk.exe (Backdoor.Bot) -> Quarantined and deleted successfully.E:1ARCHITECT3  LIBRARIESAdd-Ons 2CadimageToolscadimage.tools.12.x.universal.patch.by.x.z.t.exe (PUP.Hacktool.Patcher) -> Quarantined and deleted successfully.(end) 

ESETScan

 

C:Program FilesSimpleFilesuninstall.exe  a variant of Win32/ExpressDownloader.H applicationC:Program FilesSoftware CompanionsViewCompanion Proviewcompanion.pro.7.10.0.645-patch.exe  a variant of Win32/HackTool.Patcher.AD applicationC:ProgramDataCodecUpdateruntime.dll  Win32/GenUpdater applicationC:QooboxQuarantineCUsersMetody MetodievAppDataLocalGoogleChromeUser DataDefaultExtensionsdiholodogijjpgjjejobccifejmaagaa151fa6aeb49dca2.01075607.js.vir  Win32/Adware.MultiPlug.H applicationC:QooboxQuarantineCUsersMetody MetodievAppDataLocalGoogleChromeUser DataDefaultExtensionsnfiheaamkbmcpbafdgmmpmikkkfhpdoj1.6WS.js.vir  Win32/Adware.MultiPlug.H applicationC:UsersAll UsersCodecUpdateruntime.dll  Win32/GenUpdater applicationC:UsersMetody MetodievAppDataLocalLowSunJavaDeploymentcache6.0365de00a4-4539147c  a variant of Java/Exploit.CVE-2013-2460.I trojanC:UsersMetody MetodievAppDataLocalLowSunJavaDeploymentcache6.0365de00a4-4e106047  a variant of Java/Exploit.CVE-2013-2460.I trojanD:TEMP INSTALLadobe_pagemaker.exe  Win32/Toggle.H applicationD:TEMP INSTALLPLTViewerSetup.exe  Win32/Toolbar.Babylon applicationD:TEMP INSTALLRegistryRegistryFix 2.0 + keygenRegistryFix 2.0 + keygenregistryfix.exe  a variant of Win32/Adware.ErrorClean applicationD:TEMP INSTALLUninstalerPerfect Uninstaller v6.3.3.8 + PortablePerfect Uninstaller v6.3.3.8 Portable.exe  a variant of Win32/PerfectUninstaller applicationD:TEMP INSTALLUninstalerPerfect Uninstaller v6.3.3.8 + PortablePerfect Uninstaller v6.3.3.8PerfectUninstaller_Setup.exe  a variant of Win32/PerfectUninstaller applicationD:TEMP INSTALLUninstalerPerfect Uninstaller v6.3.3.8 + PortableZamunda.netPerfect UninstallerVirtualMODIFIED@PROGRAMFILES@Perfect UninstallerPU.exe  a variant of Win32/PerfectUninstaller application 

 

Много буболечки и повечето от програми, които съм свалял от тук там. Явно не е това начина.

Поздрави!

М.Методиев

Редактирано 8 декември 2013 от Методиев (преглед на промените)

[icotonev 8105]

Копирайте текста в карето на notepad и го запазвате с име CFScript.txt на десктопа си:

 

KILLALL::ClearJavaCache::File::C:Program FilesSimpleFilesuninstall.exeC:ProgramDataCodecUpdateruntime.dllC:UsersAll UsersCodecUpdateruntime.dll Folder::C:UsersMetody MetodievAppDataLocalLowSunJavaDeploymentcache6.0365de00a4-4539147c C:UsersMetody MetodievAppDataLocalLowSunJavaDeploymentcache6.0365de00a4-4e106047

 

 

 

След съхранението преместете  CFScript.txt на иконата на ComboFix.exe

Генерирания рапорт копирайте  и го поставете в следващия си коментар...!

[Методиев 4]

Копирайте текста в карето на notepad и го запазвате с име CFScript.txt на десктопа си:

 

KILLALL::ClearJavaCache::File::C:Program FilesSimpleFilesuninstall.exeC:ProgramDataCodecUpdateruntime.dllC:UsersAll UsersCodecUpdateruntime.dll Folder::C:UsersMetody MetodievAppDataLocalLowSunJavaDeploymentcache6.0365de00a4-4539147c C:UsersMetody MetodievAppDataLocalLowSunJavaDeploymentcache6.0365de00a4-4e106047

 

 

 

След съхранението преместете  CFScript.txt на иконата на ComboFix.exe

Генерирания рапорт копирайте  и го поставете в следващия си коментар...!

 

Като че ли ComboFix заби и нищо не прави

[Методиев 4]

[icotonev 8105]

Тези проксита:

 

 

uInternet Settings,ProxyOverride = 127.0.0.1:9421;<local>uInternet Settings,ProxyServer = localhost:8080

 

..познати ли ви са..? Освен това вие ли сте добавили тези записи в Trusted Zone :

 

 

Trusted Zone: b-trust.orgwwwTrusted Zone: google.bgwwwTrusted Zone: microsoft.comdownload.wind...eTrusted Zone: microsoft.comupdate

[Методиев 4]

Тези проксита:

 

 

..познати ли ви са..? Освен това вие ли сте добавили тези записи в Trusted Zone :

 

"Проксита" на мен нищо не ми говори. В настройките на интернет, ако това е там,  бъркат само момчетата на провайдъра.

В Trusted Zone, може би съм добавил записа за електронен подпис, ако ми го е искало. А, сетих се. Имах проблем с е-factura във връзка с Java и от там ми поискаха рарешение да влязат в РС-то, за да оправят проблема. Влизаха и бърникаха. Това е, което знам. Не съм много навътре в нещата.

[icotonev 8105]

..и още един въпрос..Мозилата как се държи след процедурите до тук..а състоянието на цялата система...???

[Методиев 4]

..и още един въпрос..Мозилата как се държи след процедурите до тук..а състоянието на цялата система...???

След процедурите продължи да се влачи и забива безобразно. Вчера я преинсталирах /без да махам старата - върху нея/ и като че ли се оправи - до края на деня. Днес, обаче, отново прави същото. Излиза съобщение, че някакъв скрипт или е зает, или не знам какво, и застива. Сега отговарям през IE.

Системата, като цяло, няма фрапиращи забавяния. Бави се, когато отварям ArchiCAD и AutoCAD, но те са тежки програми и смятам, че е нормално.

Редактирано 10 декември 2013 от Методиев (преглед на промените)

[welcome2 186]

Лятото на компа на баща ми с XP pro свежа инсталация се появи същия проблем . Като накрая се оказа ,че NETframework 4 мисля беше в конфликт с добавката на мозила за флаш плеъра и мозилата или добавката товареше постоянно на 100 % процесора . След деинсталиране на NETframework всичко се оправи .

[icotonev 8105]

Копирайте съдържанието на тази стааница:

 

 

about:plugins

 

...имам съмнения че проблемът идва от някое разширение или приставка.

 

Активни зарази не се виждат във системата ви..!

[icotonev 8105]

Деинсталирайте ComboFix така:

• [*]Натиснете Start ==> Run ==> въведете командата

Combofix /Uninstall ==> OK

• [*]
  

• [*]Моля, следвайте инструкциите, за да деинсталирате ComboFix. Ще получите съобщение, в което се казва ComboFix е деинсталиран успешно.
  

 

Изтеглете Delfix.exe и го стартирайте. Сложете отметка пред Remove disinfection tools => натиснете бутона Run Инструмента ще се самоизтрие след като приключи своята задача!

 

Деинсталирайте adwcleaner.exe

• [*]Моля, затворете всички отворени програми и интернет браузъри. [*]Кликнете два пъти върху

adwcleaner.exe за да стартирате инструмента. [*]Кликнете върху Uninstall . [*]Щракнете върху Yes за да деинсталирате Adwcleaner

 

 

Деинсталирайте ESET Online Scaner.

• [*]

Start => Run, въведете control appwiz.cpl в полето.След това натиснете ENTER. [*]Изберете ESET Online Scanner от списъка с приложения, а след това маркирайте Remove. Aко бъдете подканени рестартирайте компютъра си.

 

  Препоръчвам програмата Malwarebytes' Anti-Malware  да остане на вашия компютър и периодично да сканирате системата си с нея (поне един -два пъти в седмицата),като не забравяйте да обновите дефинициите и преди всяко сканиране..!

 

[Методиев 4]

A script on this page may be busy, or it may have stopped responding. You can stop the script now, or you can continue to see if the script will complete.

Script: http://connect.facebook.net/bg_BG/all.js#xfbml=1&appId=122741737276:126

 

 

Този скрипт нещо пречи. Аз не влизам във Фейсбук. Синът ми вероятно е жъкал. Как и къде да го премахна?

Редактирано 10 декември 2013 от Методиев (преглед на промените)