Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Архивирана тема

Темата е твърде стара и е архивирана. Не можете да добавяте нови отговори в нея, но винаги можете да публикувате нова тема, в която да продължи дискусията. Регистрирайте се или влезте във вашия профил за да публикувате нова тема.

Чавдар

Съмнение за зловреден софтуер -Win32/Injector.BCOY

Препоръчан отговор


Здравейте - в Фейсбук получих от приятел на лично съобщение да отворя един файл.След като го изтеглих се замислих над адреса(приятеля го нямаше на линия да го питам лично) го оставих на декстопа без да го отварям.След може би час време влезнах в Фейса и вече всичко беше - каша.Пуснах сканиране с Антивируса и ми откри /Win32/Injector.BCOY/ -сложи го под карантина, но се съмнявам че вече имам проблем защото Фейса си е същата каша,а и почва да позабива компа.Сканирах с ФРСТ и слагам файловете.

FRST.txt

Addition.txt

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте..! :)

 

 

Публикувано изображение

  • [*]Отворете
следния сайт и изтеглете RKill.exe и ги запазете на вашия десктоп. [*]Стартирате програмата с двоен клик върху файла и изчакайте търпеливо. [*]След приключване на проверката ще се генерира лог файл с извършените процедури. [*]Прикачете лог файла в следващия си пост.

 

 

Публикувано изображениеМоля, изтеглете и стартирайте програмата AdwCleaner(by Xplode):

  • [*]Затворете всички стартирани програми и браузъри [*]Кликнете два пъти върху
adwcleaner.exe за да стартирате инструмента. [*]Натиснете OK, за да потвърдите, че всички стартирани програми ще бъдат затворени. [*]Маркирайте Clean [*]Вашият компютър ще се рестартира автоматично. Текстовия файл ще се отвори след рестарта. [*]Моля, да публикувате съдържанието на този лог в отговора си [*]Можете да намерите лога,който автоматично се запомня тук C:AdwCleaner[s0].txt

 

 

Публикувано изображение Моля, изтеглете Junkware Removal Tool (by Thisisu ) и запазете на вашия десктоп.

  • [*]Спрете временно работата на защитните програми. [*]Стартирайте инструмента
JRT.exe [*]Ще се отвори ДОС прозорец. Натиснете което и да е копче от клавиатурата. [*]Затворете излишните приложения и всички браузъри и изчакайте проверката да завърши. [*]Ще се появи лог файл (който можете да намерите и ръчно на десктопа с името JRT.txt). [*]Моля копирайте съдържанието на лог файла в следващия си пост.

Публикувано изображение

 

 

Публикувано изображение  Моля, изтеглете Malwarebytes Anti -Malware и го запомнете на вашия работен плот .
  Кликнете два пъти върху mbam-setup-consumer-2.0.0.1000.exe и следвайте инструкциите, за да инсталирате програмата .
  В краяна инсатлацията  , трябва да има отметка на следното :

  • [*]Launch Malwarebytes Anti-Malware (Стартиране на Malwarebytes Anti -Malware) [*]14-дневен пробен период  е предварително избран . Можете да премахнете отметката от това, ако желаете, това няма да се ограничи възможностите за сканиране и премахване на програмата.

Щракнете върху Finish.

  • [*]В секцията
Settings = > Detection and Protection => Detection Options, се поставя отметка в квадратчето 'Scan for rootkits'. [*]В главния прозорец на програмата , щракнете върху 'Update Now' [*]След актуализацията завърши, кликнете на бутона " 'Scan Now  " . [*]Ако има налична актуализация , щракнете върху бутона Update Now button . [*]Ще стартира Threat Scan. [*]Когато сканирането приключи, ако има някакви открити зарази , щракнете върху Apply Actions за да се позволи на Mbam да почисти засеченото. . [*]В повечето случаи , ще се изиска рестартиране [*]   След рестарта ,стартирайте Mbam още веднъж. [*]   Кликнете на History tab > Application Logs . [*]   Кликнете два пъти върху реда , който показва датата и часа на сканирането . [*]   Кликнете върху " Copy да Clipboard " [*]   Поставете  съдържанието на клипборда в следващия си  отговор.  

 

 

Публикувано изображение Изтеглете Security Check (автор: screen317) от тук

  • [*]Кликнете два пъти върху
SecurityCheck.exe и следвайте инструкциите. [*]Когато програмата завърши работата си, ще се отвори един текстов документ: checkup.txt. [*]Копирайте съдържанието на checkup.txt с Копирай (Copy) и с Постави (Paste) го поставете в следващия си коментар.

 

 

За финал,подгответе свежи дневници с програмата Farbar Recovery Scan Tool..!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Започвам с РКилл - прикачен :) . Точка 2 - АдвКлеанер ->

# AdwCleaner v3.203 - Report created 26/04/2014 at 22:28:23

# Updated 26/04/2014 by Xplode

# Operating System : Microsoft Windows XP Service Pack 3 (32 bits)

# Username : Yupi - 0075043875E64A9

# Running from : C:Documents and SettingsYupiDesktopadwcleaner.exe

# Option : Clean

***** [ Services ] *****

 

***** [ Files / Folders ] *****

 

Folder Deleted : C:Documents and SettingsYupiApplication [email protected]dsremoval.net

Folder Deleted : C:Documents and SettingsYupiLocal SettingsApplication DataGoogleChromeUser DataDefaultExtensionsgkcefkcdkepgkpbgncjchhbjgoanleod

File Deleted : C:Documents and SettingsYupiApplication DataMozillaFirefoxProfilesiirl0q25.defaultsearchpluginsbingp.xml

File Deleted : C:Documents and SettingsYupiApplication DataMozillaFirefoxProfilesiirl0q25.defaultuser.js

File Deleted : C:WINDOWSTasksDriver Booster Update.job

 

***** [ Shortcuts ] *****

 

***** [ Registry ] *****

Key Deleted : HKCUSoftwareSoftonic

***** [ Browsers ] *****

- Internet Explorer v8.0.6001.18702

 

- Mozilla Firefox v28.0 (bg)

 

[ File : C:Documents and SettingsYupiApplication DataMozillaFirefoxProfilesiirl0q25.defaultprefs.js ]

 

[ File : C:Documents and SettingsAdministratorApplication DataMozillaFirefoxProfilesg13mlpck.defaultprefs.js ]

 

*************************

 

AdwCleaner[R0].txt - [1561 octets] - [26/04/2014 22:26:14]

AdwCleaner[s0].txt - [1494 octets] - [26/04/2014 22:28:23]

########## EOF - C:AdwCleanerAdwCleaner[s0].txt - [1554 octets] ##########

 

 

минавам на 3 точка Junkware Removal Tool ->

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 6.1.4 (04.06.2014:1)

OS: Microsoft Windows XP x86

Ran by Yupi on 26.04.2014 Ј. at 22:42:37,37

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

~~~ Services

 

 

~~~ Registry Values

 

 

~~~ Registry Keys

 

 

~~~ Files

 

 

~~~ Folders

 

Successfully deleted: [Folder] "C:Documents and SettingsAll Usersapplication databoost_interprocess"

 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 26.04.2014 Ј. at 22:49:40,82

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Следващото чудо  Malwarebytes Anti -Malware ->

 

Malwarebytes Anti-Malware

www.malwarebytes.org

Scan Date: 26.4.2014 г.

Scan Time: 23:55:34

Logfile: mbam.txt

Administrator: Yes

 

Version: 2.00.1.1004

Malware Database: v2014.04.26.04

Rootkit Database: v2014.03.27.01

License: Free

Malware Protection: Disabled

Malicious Website Protection: Disabled

Chameleon: Disabled

 

OS: Windows XP Service Pack 3

CPU: x86

File System: NTFS

User: Yupi

Scan Type: Threat Scan

Result: Completed

Objects Scanned: 288110

Time Elapsed: 56 min, 28 sec

 

Memory: Enabled

Startup: Enabled

Filesystem: Enabled

Archives: Enabled

Rootkits: Enabled

Deep Rootkit Scan: Enabled

Shuriken: Enabled

PUP: Enabled

PUM: Enabled

 

Processes: 0

(No malicious items detected)

Modules: 0

(No malicious items detected)

 

Registry Keys: 0

(No malicious items detected)

Registry Values: 3

Trojan.Downloader, HKUS-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN|msnsc, C:WINDOWSsystem32msnsc.exe, Quarantined, [9a66de22ae5256aad52c807ac9398779]

Trojan.Downloader, HKUS-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN|msnsc, C:WINDOWSsystem32msnsc.exe, Quarantined, [9070fc0404fc42be669b34c617eb9967]

Trojan.Downloader, HKUS-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN|msnsc, C:WINDOWSsystem32msnsc.exe, Quarantined, [fe0254ac56aaf20efa07e614bd45b34d]

 

Registry Data: 0

(No malicious items detected)

Folders: 0

(No malicious items detected)

 

Files: 1

PUP.Optional.Spigot.A, C:Documents and SettingsYupiMy DocumentsDownloadsFreeHideIP-3.9.0.2.Setup.exe, Quarantined, [48b828d86d93fb05366f0f11d52c38c8],

Physical Sectors: 0

(No malicious items detected)

 

(end)

 

и последното Security Check ->

Results of screen317's Security Check version 0.99.82 

Windows XP Service Pack 3 x86

Internet Explorer 8 

``````````````Antivirus/Firewall Check:``````````````

Windows Firewall Enabled! 

ESET NOD32 Antivirus 4.0

Antivirus up to date! 

`````````Anti-malware/Other Utilities Check:`````````

  Adobe Flash Player  12.0.0.77 Flash Player out of Date!

Adobe Reader 7 Adobe Reader out of Date!

Mozilla Firefox (28.0)

````````Process Check: objlist.exe by Laurent````````

ESET NOD32 Antivirus egui.exe 

ESET NOD32 Antivirus ekrn.exe 

Malwarebytes Anti-Malware mbam.exe 

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:: 6%

````````````````````End of Log``````````````````````

 

Накрая прикачвам 2та дневника които направих след всичко това.

Мисля си че се оправи,но така и не разбрах какво направих.Ще чакам отговор дали да трия програмите които свалих,ако всичко е ок. :)

Rkill.txt

FRST1.txt

Addition1.txt

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Публикувано изображение Изтеглете прикачения файл и го запазете там, където сте свалили FRST.exe => fixlist.txt
Стартирайте отново FRST.exe и натиснете бутона Fix веднъж и изчакайте.
Ще се създаде нов лог файла FixLog.txt. Прикачете съдържанието му в следващия си коментар.

 

 

Публикувано изображение Моля, изтеглете Malwarebytes' StartUpLite и да го запишете на вашия Desktop

  • [*]Кликнете два пъти върху
StartUpLite.exe да стартирате програмата. [*]След като програмата приключи своята работа, ще се покажат всички ненужно стартирани записи.

Публикувано изображение

  • [*]Изберете опция, която бихте искали да се изпълни, а след това изберете
Continue.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Готово -> прикачен и пускам рестарт.

 

И един малко странен факт, защо след като на 08.04 спряха подръжката на "ХР" продължава да ми ъпдейтва.

Fixlog.txt


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

1.Деинсталирайте и старите версии на Adobe Flash Player....вижте тази статия : Uninstall Flash Player
2. Затворете всички стартирани приложения, включително  Internet Explorer или други браузъри, както и приложения (като AOL Instant Messenger, Yahoo Messenger, MSN Messenger).
3. Кликнете два пъти върху файла, който сте изтеглили, за да деинсталирате Flash.
4. Ако е деинсталиран успешно, отидете на този сайт: Downloads . Инсталирайте Adobe Flash Player , и изберете Приемам и инсталиратне сега. Това ще инсталира най-новата версия на Flash за вашия браузър (обърнете внимание: Flash плъгини за IE и Firefox, трябва да бъдат монтирани отделно).

Забележка: Препоръчвам ви да махнете незадължителните отметки и да избегнете да  инсталирате (Free McAfee Security Scan или Free Toolbar Google).
 
 

1.Също така Adobe Reader не е актуална а по-старите версии съдържат уязвимости. Моля, изтеглете най-новата версия от тук

  • [*]Моля, махнете отметката от McAfee Security Scan Plus освен ако не го искате.

2.Важно е да се отстранят по-стари версии на Adobe Reader, тъй като това не става автоматично и стари версии все още  остават уязвими.

3.Деинсталирайте старите версии по стандартния начин,след което инсталирайте най-новата версия.

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Готово - качвам  FRST файл.

 

Не беше нужно..!Кажете ми как се държи системата ви след процедурите..? Някакви нередности забелязвате ли..?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Няма проблем - по добре е от преди инфекцията. Благодаря. :)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Супер..! :)

 

Финални проверки и приключваме:

 

1.Изтеглете Hitman Pro.

  • [*]За
32-битова система - Публикувано изображение. [*]За 64-битова система - Публикувано изображение

2.Стартирайте програмата.
3.След като сте стартирали програмата като кликнете върху иконата Публикувано изображение и натиснете бутона „Напред“ като се съгласите с лицензионното споразумение (EULA).
4.Сложете отметка пред "Не, искам да завърша еднократно сканиране на компютъра".
5.Натиснете бутона „Напред“.
6.Програмата ще започне да сканира. Времето за сканиране е около 2 минути.
7.След завършване на сканирането от списъка с намерените неща (ако има такива) изберете Apply to all => Ignore.
8.Натиснете "Next" и след това натиснете "Изнеси резултата в XML file" и запазете лог файла на десктопа.
9.Архивирайте файла и го прикачете в следващия си коментар или копирайте съдържанието му в следващия си коментар.
Забележка: Ако няма падащо меню, където да изберете ignore както на снимката
:
Публикувано изображение

...тогава просто затворете програмата след края на проверката (без да премахвате нищо)...след това отворете C:ProgramdataHitmanProLogs, отворете и публикувайте съдържанието на лог файла в следващия си коментар.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Направих сканиране,но нещо немога да намеря "C:ProgramdataHitmanProLogs". След края отдолу ми изписа да сейвна лог файла - поставям го ->

HitmanPro 3.7.9.216www.hitmanpro.com    Computer name . . . . : 0075043875E64A9   Windows . . . . . . . : 5.1.3.2600.X86/1   User name . . . . . . : 0075043875E64A9Yupi   License . . . . . . . : Trial (30 days left)   Scan date . . . . . . : 2014-04-27 21:19:34   Scan mode . . . . . . : Normal   Scan duration . . . . : 13m 52s   Disk access mode  . . : Direct disk access (SRB)   Cloud . . . . . . . . : Internet   Reboot  . . . . . . . : No    Threats . . . . . . . : 1   Traces  . . . . . . . : 5   Objects scanned . . . : 543430   Files scanned . . . . : 17033   Remnants scanned  . . : 81667 files / 444730 keysMiniport ____________________________________________________________________   Primary	  DriverObject . . . : 86D199A0	  DriverName . . . . : Driveratapi	  DriverPath . . . . : atapi.sys	  StartIo  . . . . . : F7211864 atapi.sys+30820	  IRP_MJ_SCSI  . . . : F7213B40 atapi.sys+39744   Solution	  DriverObject . . . : 86D199A0	  DriverName . . . . : Driveratapi	  DriverPath . . . . : atapi.sys	  StartIo  . . . . . : F7211864 atapi.sys+30820	  IRP_MJ_SCSI  . . . : F7210852 atapi.sys+26706 Malware _____________________________________________________________________    C:System Volume Information_restore{E4E3FD5B-9577-459F-80B0-E00C500348EE}RP1122A0358622.exe -> Quarantined	  Size . . . . . . . : 1330861 bytes	  Age  . . . . . . . : 1.0 days (2014-04-26 22:24:46)	  Entropy  . . . . . : 8.0	  SHA-256  . . . . . : 42F6D277CFB923156D7803E31468D8F44C60AB38889413BD522633BD608D41E7	  Version  . . . . . : 3.2.0.3    > Bitdefender  . . . : Trojan.Generic.11236335	  Fuzzy  . . . . . . : 113.0 Suspicious files ____________________________________________________________    C:WINDOWSDatecsFlex2K.exe	  Size . . . . . . . : 151552 bytes	  Age  . . . . . . . : 460.4 days (2013-01-22 12:51:23)	  Entropy  . . . . . : 7.9	  SHA-256  . . . . . : E090365CB15BC2ED95ADFBEF20B44A9829B2F6610BA54CA6145D0BDC2BD0AD27	  Parent Name  . . . : C:WINDOWSExplorer.EXE	  Running processes  : 464	  Fuzzy  . . . . . . : 31.0		 Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.		 Uses the Startup folder in the Start Menu to run each time the user logs on.		 Program is running but currently exposes no human-computer interface (GUI).		 The Entry Point of this file lies in a resource section. This is an indication of malware infection.		 Authors name is missing in version info. This is not common to most programs.		 Version control is missing. This file is probably created by an individual. This is not typical for most programs.		 Program starts automatically without user intervention.		 Program contains PE structure anomalies. This is not typical for most programs.		 The file is in use by one or more active processes.	  Startup		 C:Documents and SettingsAll UsersStart MenuProgramsStartupFlexType 2K.lnk	  References		 C:Documents and SettingsYupiStart MenuProgramsDatecs ApplicationsFlexType 2K.lnk 

 

Постави ми под карантина "exe" файл(от Sistem Volume Information_restore) като троянец,но незнам не можах да се справя с игнорето нямаше го.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Създайте си нова точка на възстановяване и почистете всички стари точки ...:

 

https://forums.malwarebytes.org/index.php?showtopic=116680

 

Това е от мен...! :)

 

Изтеглете следния файл и го запазете в папката от която стартирахте FRST.exe.
Стартирайте FRST.exe и натиснете бутона Fix веднъж!
След като приключи публикувайте лог файла - fixlog.txt, който ще се създаде след работата. Той трябва да изтрие карантинната папка на инструмента разположена в C:FRSTQuarantine.

 

Изтеглете Delfix.exe и го стартирайте. Сложете отметка пред Remove disinfection tools и след това натиснете бутона Run
Инструмента ще се самоизтрие след като приключи своята задача!

 

Ако има инструменти, папки или логове от използваните от нас неща и те не са се изтрили при горе-споменатите процедури, ги изтрийте ръчно.

 

Ако няма друго,маркиран случая за РЕШЕН. Лека вечер и безопасен интернет ви пожелавам..! :)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 27-04-2014Ran by Yupi at 2014-04-28 19:46:19 Run:3Running from C:Documents and SettingsYupiDesktopBoot Mode: Normal==============================================Content of fixlist:*****************startDeleteQuarantine:end*****************C:FRSTQuarantine => Removed successfully.==== End of Fixlog ====

# DelFix v10.7 - Logfile created 28/04/2014 at 20:05:52# Updated 27/04/2014 by Xplode# Username : Yupi - 0075043875E64A9# Operating System : Microsoft Windows XP Service Pack 3 (32 bits)~ Removing disinfection tools ...Deleted : C:FRSTDeleted : C:AdwCleanerDeleted : C:log.txtDeleted : C:Documents and SettingsYupiDesktopAdwCleaner[s0].txtDeleted : C:Documents and SettingsYupiDesktopFixlog.txtDeleted : C:Documents and SettingsYupiDesktopFRST.exeDeleted : C:Documents and SettingsYupiDesktopJRT.exeDeleted : C:Documents and SettingsYupiDesktoprkill.comDeleted : C:Documents and SettingsYupiDesktopSecurityCheck.exeDeleted : HKLMSOFTWAREAdwCleaner########## - EOF - ##########

 

 

Благодаря за отделеното време и помощта ;) .

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

×
×
  • Добави ново...