РЕШЕН Няколко вируса Backdoor.Bot

[VipKokata]

Здравейте В на чичо компютъра има няколко вируса които се казват Backdoor.Bot. 

[hUstle]

Необходима информация

• [*]Създайте своя собствена тема в подфорума

Премахване на зловреден софтуер - HiJackThis логове, използвайки бутона Нова Тема. [*]По възможност в заглавието на темата, напишете името на зловредния софтуер, с който смятате, че вашата система е компрометирана. В случай, че са няколко, избройте ги. [*]Детайлно обяснете какъв е вашият проблем, какво се случва със системата ви. [*]Уточнете дали разполагате с компакт диск за вашата операционна система. [*]Като за начало са необходими следните лог файлове, които ще предоставят важна информация, необходима за установяване на вашия проблем:

[*]Моля изтеглете Farbar Recovery Scan Tool (според версията на Windows изберете 32 битовата или 64 битовата версия) и го запазете на десктопа. [*]Стартирайте файла FRST.exe (или FRST64.exe) [*]Програмата ще се стартира. Натиснете YES за да се съгласите с лицензионното споразумение.

• [*]Натиснете бутона

. [*]Изчакайте търпеливо проверката да приключи. [*]Ще се създадат два лог файла с името - FRST.txt и Addition.txt на десктопа. [*]Копирайте съдържанието на файла FRST.txt в следващия си пост. Прикачете Addition.txt в коментар си (погледнете опцията Прикачване на файлове, когато публикувате мнение).

6. Публикувайте вашата тема.
7. Търпеливо изчакайте, докато някой от екипа на HJT Тeam съдейства за разрешаването на вашия проблем.

Правила по време на работа

• [*]В този раздел се оказва помощ и съдействие само на потребители, които разполагат с администраторски права за акаунта. Това е така, защото нашата работа включва множество инструменти, които имат нужда от администраторски привилегии, за да извършат своята дейност. [*]Почистването на системата ви от зловреден софтуер може да отнеме известно време, затова моля да бъдете търпеливи. [*]Спазвайте инструкциите по-горе в същата подредба, в която са написани. Ако имате проблем, спрете докъдето сте стигнали и съобщете за това в темата си. [*]Следвайте инструкциите само на членове на екипа на

HJT Тeam, защото от нас можете да получите правилните насоки и идеи за решението на вашия проблем. [*]Придържайте се към инструкциите ни, докато не ви бъде съобщено, че системата ви е чиста. Това, че симптомите са изчезнали не означава, че проблемът е решен. [*]Стъпките, които получавате от нас са индивидуални за случая над когото се работи. Всеки случай разглеждаме индивидуално, затова за всеки нов случай, е необходимо да се създаде нова тема в подфорума Премахване на зловреден софтуер - HiJackThis логове, за да бъде разгледан самостоятелно. [*]Ако има нещо неясно, не бързайте. Просто задайте въпроса си във вашата тема, за да го изясним. [*]Не инсталирайте никакъв хардуер или софтуер, както и не правете каквито и да било промени, свързани с вашия компютър. В случай, че волно или неволно това се случи, съобщете в темата си. [*]Дръжте ни в течение за каквито и да било промени, които възникват в процеса на работа. Ние искаме да бъдем информирани как протича целият процес. [*]Ако изминат 72 часа без да сте получили отговор от нас, моля изпратете лично съобщение на човека, който ви помага или се свържете с някой друг член на HJT Тeam.

[VipKokata]

Да знам, логовете ги поставих, но форума е доста бъгав и не показа целите логове. Сега ги прекачих

[B-boy/StyLe/]

Здравейте и Честита Баба Марта!!

 

Извиняваме се за закъснението, но в момента сме само двама, които помагаме активно и имаме лични ангажименти, сега празници и т.н.

 

Деинсталирайте следното приложение от Control Panel-a:

 

Ask Toolbar Updater

 

Изтеглете следния файл и го запазете в папката от която стартирахте FRST.exe.

Стартирайте FRST.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата.

 

Поздрави!

[VipKokata]

Честита и на Вас Няма проблем когато имате време ми пишете Малко се обърках и първо изпълних Fixlist със FRST и след това се сетих да деинсталирам Ask Toolbar Updater, но ми изписа това "Нямате достатъчен допуск, за да деинсталирате Ask Toolbar Updater. Обърнете се към системния ви администратор".Лог от Fixlog :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 01-03-2014

Ran by румпи at 2014-03-01 18:24:30 Run:1

Running from C:UsersрумпиDesktop

Boot Mode: Normal

 

==============================================

 

Content of fixlist:

*****************

start

Folder: C:ProgramData{$1284-9213-2940-1289$}

end

 

*****************

 

 

========================= Folder: C:ProgramData{$1284-9213-2940-1289$} ========================

 

 

====== End of Folder: ======

 

 

==== End of Fixlog ====

[B-boy/StyLe/]

Логовете изглеждат наред...папката в която обикновено има зловредни неща при вас е празна според последния лог. Имате ли някакви симптоми...при нова проверка с MBAM има ли нови засечени неща...май MBAM се е справила сама този път...Но да направим още малко проверки за всеки случай:

 

СТЪПКА 1

 

 

• [*]

Изтеглете и стартирайтe AdwCleaner.exe.

[*]Натиснете бутона Scan. [*]AdwCleaner ще започне да проверява компютъра, както преди. [*]След като проверката приключи...този път натиснете бутона Clean тъй като няма неща които да не са за триене от лога. [*]Натиснете OK на диалоговия прозорец, който ще се появи подканвайки Ви да затворите всички активни приложения. [*]Натиснете OK отново за да позволите наAdwCleaner да рестартира компютъра и да довърши почистващия процес. [*]След рестарта ще се появи автоматично лог файл с името (AdwCleaner[s0].txt). [*]Прикачете съдържанието му в следващия си коментар [*]Копие на лог файла можеш да намериш и в папката C:AdwCleaner.

 

 

 

СТЪПКА 2

 

 

Моля изтеглете Junkware Removal Tool на вашия десктоп.

• [*]Спрете временно работата на защитните програми. [*]Стартирайте инструмента

JRT.exe [*]Ще се отвори ДОС прозорец. Натиснете което и да е копче от клавиатурата. [*]Затворете излишните приложения и всички браузъри и изчакайте проверката да завърши. [*]Ще се появи лог файл (който можете да намерите и ръчно на десктопа с името JRT.txt). [*]Моля копирайте съдържанието на лог файла в следващия си пост.

 

 

 

СТЪПКА 3

 

 

1.Изтеглете Hitman Pro.

 

• [*]За

32-битова система - . [*]За 64-битова система -

2.Стартирайте програмата.
3.След като сте стартирали програмата като кликнете върху иконата и натиснете бутона „Напред“ като се съгласите с лицензионното споразумение (EULA).
4.Сложете отметка пред "Не, искам да завърша еднократно сканиране на компютъра".

5.Натиснете бутона „Напред“.

6.Програмата ще започне да сканира. Времето за сканиране е около 2 минути.

7.След завършване на сканирането от списъка с намерените неща (ако има такива) изберете Apply to all => Ignore.

8.Натиснете "Next" и след това натиснете "Изнеси резултата в XML file" и запазете лог файла на десктопа.

9.Архивирайте файла и го прикачете в следващия си коментар или копирайте съдържанието му в следващия си коментар.

 

Забележка: Ако няма падащо меню, където да изберете ignore както на снимката:

 

 

тогава просто затворете програмата след края на проверката (без да премахвате нищо)...след това отворете C:ProgramdataHitmanProLogs, отворете и публикувайте съдържанието на лог файла в следващия си коментар.

 

 

Поздрави!

[VipKokata]

По-късно ще изпълня стъпките, защото не съм на компютъра.Sent from my Foxsky T33 using Taptalk PROПроблем ли, e че ще използвам Teamviewer ?Sent from my Foxsky T33 using Taptalk PRO

[B-boy/StyLe/]

Ами не мисля, че ще е проблем, но adwcleaner и jrt често изискват рестарт...после ако паролата не е постоянна (по-подразбиране се сменя) ще имате ли достъп до системата за да вземете логовете...или сте направили паролата перманентна?

[VipKokata]

Извинете за забавянето, но чичо беше по болници в София и нямах достъп до компютъра. MBAM нищо не намери, и затова няма да дам лог. Лог от AdwCleaner :

 

# AdwCleaner v3.020 - Report created 09/03/2014 at 19:41:19

# Updated 27/02/2014 by Xplode

# Operating System : Windows 7 Ultimate Service Pack 1 (32 bits)

# Username : румпи - RUMPI-PC

# Running from : C:Usersрумпиadwcleaner.exe

# Option : Clean

 

***** [ Services ] *****

 

 

***** [ Files / Folders ] *****

 

Folder Deleted : C:ProgramDataAlawarWrapper

Folder Deleted : C:Program FilesDAEMON Tools Toolbar

Folder Deleted : C:UsersрумпиAppDataLocalLowToolbar4

File Deleted : C:UsersрумпиAppDataRoamingMozillaFirefoxProfilesv71qqp7o.defaultsearchpluginssearch-safer.xml

 

***** [ Shortcuts ] *****

 

 

***** [ Registry ] *****

 

Key Deleted : HKLMSOFTWAREClassesAppIDGenericAskToolbar.DLL

Key Deleted : HKLMSOFTWAREClassesAppIDTbCommonUtils.DLL

Key Deleted : HKLMSOFTWAREClassesAppIDTbHelper.EXE

Key Deleted : HKLMSOFTWAREClassesTbCommonUtils.CommonUtils

Key Deleted : HKLMSOFTWAREClassesTbCommonUtils.CommonUtils.1

Key Deleted : HKLMSOFTWAREClassesTbHelper.TbDownloadManager

Key Deleted : HKLMSOFTWAREClassesTbHelper.TbDownloadManager.1

Key Deleted : HKLMSOFTWAREClassesTbHelper.TbPropertyManager

Key Deleted : HKLMSOFTWAREClassesTbHelper.TbPropertyManager.1

Key Deleted : HKLMSOFTWAREClassesTbHelper.TbRequest

Key Deleted : HKLMSOFTWAREClassesTbHelper.TbRequest.1

Key Deleted : HKLMSOFTWAREClassesTbHelper.TbTask

Key Deleted : HKLMSOFTWAREClassesTbHelper.TbTask.1

Key Deleted : HKLMSOFTWAREClassesTbHelper.ToolbarHelper

Key Deleted : HKLMSOFTWAREClassesTbHelper.ToolbarHelper.1

Key Deleted : HKLMSOFTWAREClassesToolbar3.ContextMenuNotifier

Key Deleted : HKLMSOFTWAREClassesToolbar3.ContextMenuNotifier.1

Key Deleted : HKLMSOFTWAREClassesToolbar3.CustomInternetSecurityImpl

Key Deleted : HKLMSOFTWAREClassesToolbar3.CustomInternetSecurityImpl.1

Key Deleted : HKLMSOFTWAREClassesToolbar3.SearchProviderManager

Key Deleted : HKLMSOFTWAREClassesToolbar3.SearchProviderManager.1

Key Deleted : HKLMSOFTWAREMicrosoftTracingapnstub_RASAPI32

Key Deleted : HKLMSOFTWAREMicrosoftTracingapnstub_RASMANCS

Key Deleted : HKLMSOFTWAREMicrosoftTracingaskpartnercobrandingtool_rasapi32

Key Deleted : HKLMSOFTWAREMicrosoftTracingaskpartnercobrandingtool_rasmancs

Key Deleted : HKLMSOFTWAREMicrosoftTracingAskSLib_RASAPI32

Key Deleted : HKLMSOFTWAREMicrosoftTracingAskSLib_RASMANCS

Key Deleted : HKLMSOFTWAREMicrosoftTracingTaskScheduler_RASAPI32

Key Deleted : HKLMSOFTWAREMicrosoftTracingTaskScheduler_RASMANCS

Key Deleted : HKLMSOFTWAREClassesAppID{4CE516A7-F7AC-4628-B411-8F886DC5733E}

Key Deleted : HKLMSOFTWAREClassesAppID{628F3201-34D0-49C0-BB9A-82A26AEFB291}

Key Deleted : HKLMSOFTWAREClassesAppID{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Key Deleted : HKLMSOFTWAREClassesInterface{01221FCC-4BFB-461C-B08C-F6D2DF309921}

Key Deleted : HKLMSOFTWAREClassesInterface{452AE416-9A97-44CA-93DA-D0F15C36254F}

Key Deleted : HKLMSOFTWAREClassesInterface{45CDA4F7-594C-49A0-AAD1-8224517FE979}

Key Deleted : HKLMSOFTWAREClassesInterface{81E852CC-1FD5-4004-8761-79A48B975E29}

Key Deleted : HKLMSOFTWAREClassesInterface{B2CA345D-ADB8-4F5D-AC64-4AB34322F659}

Key Deleted : HKLMSOFTWAREClassesInterface{B9F43021-60D4-42A6-A065-9BA37F38AC47}

Key Deleted : HKLMSOFTWAREClassesInterface{BF921DD3-732A-4A11-933B-A5EA49F2FD2C}

Key Deleted : HKLMSOFTWAREClassesInterface{D83B296A-2FA6-425B-8AE8-A1F33D99FBD6}

Key Deleted : HKLMSOFTWAREClassesTypeLib{B87F8B63-7274-43FD-87FA-09D3B7496148}

Key Deleted : HKLMSOFTWAREClassesTypeLib{C4BAE205-5E02-4E32-876E-F34B4E2D000C}

Key Deleted : HKLMSOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{628F3201-34D0-49C0-BB9A-82A26AEFB291}

Key Deleted : HKCUSoftwareAPN PIP

Key Deleted : HKCUSoftwareChatZum Toolbar

Key Deleted : HKCUSoftwareYahooPartnerToolbar

Key Deleted : HKLMSoftwareChatZum Toolbar

Key Deleted : HKLMSoftwaredt softdaemon tools toolbar

Key Deleted : HKLMSoftwarePIP

Key Deleted : HKCUSoftwareMicrosoftWindowsCurrentVersionUninstall{79A765E1-C399-405B-85AF-466F52E918B0}

 

***** [ Browsers ] *****

 

- Internet Explorer v11.0.9600.16518

 

 

- Mozilla Firefox v27.0.1 (bg)

 

[ File : C:UsersрумпиAppDataRoamingMozillaFirefoxProfilesv71qqp7o.defaultprefs.js ]

 

Line Deleted : user_pref("browser.newtab.url", "search.chatzum.com");

Line Deleted : user_pref("id_chatzum_installed_version", "1.0.19");

Line Deleted : user_pref("id_chatzum_menu.search_button2_SuggestSearchFO5.command", "cmd_autoSuggestSearch_3");

Line Deleted : user_pref("id_chatzum_menu.search_button_SuggestSearchFO5.command", "cmd_autoSuggestSearch_3");

Line Deleted : user_pref("id_chatzum_menu.search_button_SuggestSearchFO5.image", "chrome%3A//id_chatzum/content/504.png");

Line Deleted : user_pref("id_chatzum_tabpage", "hxxp%3A//search.chatzum.com/");

Line Deleted : user_pref("keyword.URL", "hxxp://utils.chatzum.com/?url=");

 

- Google Chrome v33.0.1750.146

 

[ File : C:UsersрумпиAppDataLocalGoogleChromeUser DataDefaultpreferences ]

 

 

*************************

 

AdwCleaner[R0].txt - [5180 octets] - [09/03/2014 19:38:41]

AdwCleaner[s0].txt - [5229 octets] - [09/03/2014 19:41:19]

 

########## EOF - C:AdwCleanerAdwCleaner[s0].txt - [5289 octets] ##########

Лог от JRT :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 6.1.2 (02.20.2014:1)

OS: Windows 7 Ultimate x86

Ran by аг¬ЇЁ on ­Ґ¤ 09.03.2014 Ј. at 19:51:03,86

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

 

 

~~~ Services

 

 

 

~~~ Registry Values

 

 

 

~~~ Registry Keys

 

 

 

~~~ Files

 

Successfully deleted: [File] "C:UsersPublicDesktopplay more great games!.url"

 

 

 

~~~ Folders

 

 

 

~~~ FireFox

 

Emptied folder: C:Usersаг¬ЇЁAppDataRoamingmozillafirefoxprofilesv71qqp7o.defaultminidumps [81 files]

 

 

 

~~~ Event Viewer Logs were cleared

 

 

 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on ­Ґ¤ 09.03.2014 Ј. at 19:58:03,08

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

HitmanPro 3.7.9.212www.hitmanpro.com    Computer name . . . . : RUMPI-PC   Windows . . . . . . . : 6.1.1.7601.X86/2   User name . . . . . . : rumpi-PCрумпи   UAC . . . . . . . . . : Enabled   License . . . . . . . : Free    Scan date . . . . . . : 2014-03-09 20:04:27   Scan mode . . . . . . : Normal   Scan duration . . . . : 5m 1s   Disk access mode  . . : Direct disk access (SRB)   Cloud . . . . . . . . : Internet   Reboot  . . . . . . . : No    Threats . . . . . . . : 0   Traces  . . . . . . . : 6    Objects scanned . . . : 2 642 299   Files scanned . . . . : 465 623   Remnants scanned  . . : 1 494 413 files / 682 263 keys Miniport ____________________________________________________________________    Primary      DriverObject . . . : 85A85BA0      DriverName . . . . : Driveratapi      DriverPath . . . . : SystemRootsystem32driversatapi.sys      StartIo  . . . . . : 00000000 +0      IRP_MJ_SCSI  . . . : 84D831F8 +0   Solution      DriverObject . . . : 85A85BA0      DriverName . . . . : Driveratapi      DriverPath . . . . : SystemRootsystem32driversatapi.sys      StartIo  . . . . . : 00000000 +0      IRP_MJ_SCSI  . . . : 888C444E SystemRootsystem32driversataport.SYS+25678 Suspicious files ____________________________________________________________    C:UsersрумпиAppDataLocalPunkBusterUNCOpbpbcl.dll      Size . . . . . . . : 833 236 bytes      Age  . . . . . . . : 789.2 days (2012-01-10 15:11:19)      Entropy  . . . . . : 7.6      SHA-256  . . . . . : 224E58B68FE38C7B9DE702D8E970158B3DB6B0CAE3429B4903DAFC68AE60C83C      Fuzzy  . . . . . . : 29.0         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.         Authors name is missing in version info. This is not common to most programs.         Version control is missing. This file is probably created by an individual. This is not typical for most programs.         Program contains PE structure anomalies. This is not typical for most programs.  Cookies _____________________________________________________________________    C:UsersрумпиAppDataRoamingMicrosoftWindowsCookies3Z70C0KD.txt   C:UsersрумпиAppDataRoamingMicrosoftWindowsCookies52PKV7HN.txt   C:UsersрумпиAppDataRoamingMicrosoftWindowsCookiesIG64K681.txt   C:UsersрумпиAppDataRoamingMicrosoftWindowsCookiesUCHXFR15.txt   C:UsersрумпиAppDataRoamingMicrosoftWindowsCookiesX8BKDAL8.txt  

 

 

[B-boy/StyLe/]

Няма проблеми относно забавянето...и дано всичко е наред с чичо ви!

Логовете са чисти и затова мисля да се ориентираме към приключване:

 

Проверете и за други стари приложения с помощта на PatchMyPC

 

За да премахнем използваните от нас инструменти направете следното:

 

Изтеглете OTC.exe и го стартирайте. Натиснете бутона CleanUp!.
Рестартирайте компютъра, ако ви попита!

Изтеглете Delfix.exe и го стартирайте. Сложете отметка пред Remove disinfection tools (трябва да има такава по-подразбиране, но все пак да си кажа) => натиснете бутона Run

Инструмента ще се самоизтрие след като приключи своята задача!

 

Ако има инструменти, папки или логове от използваните от нас неща и те не са се изтрили при горе-споменатите процедури, ги изтрийте ръчно.

 

Ако нямате повече въпроси и проблеми, ще маркирам случая като РЕШЕН.

 

Поздрави!

[VipKokata]

Всичко изпълних и всичко се почисти автоматично Благодаря за помощта