Премини към съдържанието

    Препоръчан отговор


    За разлика от другите теми, аз нямам никакви съмнения, че имам вирус или малуеър - както там се води в класификацията това, което съм лепнал. Отдавна не съм имал проблеми - дори да пипна нещо, само го махах успешно. От няколко дни обаче при включване на нов сайт или таб ми изскача един и същ сайт - greenlea.ru. На по-късен етап при зареждането му започна да зарежда bonjovi-fc.info и после да се редиректва на стария сайт. Понякога ми зарежда бет365 вместо руския. Не съм свалял нищо онези дни и нямам идея откъде е дошъл. Но след като излезе втория адрес, успях да го намеря в Интернет и да получа информация за него. Свалих една антивирусна, сканирах няколко пъти и нищо! Деинсталирах я напълно (включително и от регистрите) и пробвах с нова. Както Битдефендъра, така и СпайХънтър, МалуеърБайтс и МСЕ не помагат. Каквото и да сканира, ми заявява, че нямам вируси, а аз виждам как тази гад се появява регулярно и знам, че програмата ме лъже. ЦКлийнър си я имам отдавна, но и тя не го хваща, камо ли пък прословутия Уиндоус Дефендър, който само може да товари машината ми, а не и да помага. Пробвах да го махна лично, но имената в сайта не съответстват на файлове на компютъра ми - т.е. най-вероятно създателите му са сменили имената на файловете, които отговарят за вируса и вече не са тези към февруари тази година (оттогава е страницата в Интернет по темата). Надявам се да одобрят темата ми бързо и да ми помогнете! Преинсталацията на Уиндоус ще ми е доста сложна поради някои специфики на компютъра, затова предпочитам да намерим начин да открием и изтрием скапаната гадинка без да трябва да го правя. В краен случай съм навит и на решение, което е свързано с връщане на системата назад с определен брой дни, ако е нужно, въпреки че не знам как се прави. Някакви идеи?

    Редактирано от Д. М. Атанасов
    Неясно заглавие (преглед на промените)

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Прочетете, изпълнете инструкциите и изчакайте член на HJT да ви даде указания за по-нататъшни действия.

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Надявам се да не бъркам, но никъде не видях нова тема - само задай нов въпрос. Та ето го ФРСТ файла:

    Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:27-09-2015 01
    Ran by Maksim Antov (administrator) on MAKSIM (29-09-2015 18:11:38)
    Running from C:\Documents and Settings\Maksim Antov\My Documents\Downloads
    Loaded Profiles: Maksim Antov (Available Profiles: Maksim Antov)
    Platform: Microsoft Windows XP Professional Service Pack 3 (X86) Language: English (United States)
    Internet Explorer Version 8 (Default browser: Chrome)
    Boot Mode: Normal
    Tutorial for Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

    ==================== Processes (Whitelisted) =================

    (If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

    (Intel Corporation) C:\WINDOWS\system32\hkcmd.exe
    (Intel Corporation) C:\WINDOWS\system32\igfxpers.exe
    (Microsoft Corporation) C:\Program Files\Windows Desktop Search\WindowsSearch.exe
    (Microsoft Corporation) C:\WINDOWS\system32\taskmgr.exe
    (Google Inc.) C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    (Google Inc.) C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    (Google Inc.) C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    (Google Inc.) C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    (Google Inc.) C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    (Google Inc.) C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    (Google Inc.) C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\Application\chrome.exe


    ==================== Registry (Whitelisted) ===========================

    (If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

    HKLM\...\Run: [igfxhkcmd] => C:\WINDOWS\system32\hkcmd.exe [77824 2005-09-20] (Intel Corporation)
    HKLM\...\Run: [igfxpers] => C:\WINDOWS\system32\igfxpers.exe [114688 2005-09-20] (Intel Corporation)
    HKLM\...\Run: [SpyHunter Security Suite] => C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe [7136640 2015-09-28] (Enigma Software Group USA, LLC.)
    HKU\S-1-5-21-1202660629-764733703-1547161642-1003\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner.exe [6405912 2015-06-01] (Piriform Ltd)
    HKU\S-1-5-21-1202660629-764733703-1547161642-1003\...\MountPoints2: {03034bb6-e633-11e1-8f88-c153a16899ab} - D:\wubi.exe
    ShellExecuteHooks: Windows Desktop Search Namespace Manager - {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [304128 2009-05-25] (Microsoft Corporation)
    Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Windows Search.lnk [2012-08-14]
    ShortcutTarget: Windows Search.lnk -> C:\Program Files\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)

    ==================== Internet (Whitelisted) ====================

    (If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

    Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
    Tcpip\Parameters: [DhcpNameServer] 31.148.219.51 204.155.30.103
    Tcpip\..\Interfaces\{28FDB25B-7F02-43E0-B126-BD35A4665180}: [DhcpNameServer] 185.82.216.99 8.8.8.8
    Tcpip\..\Interfaces\{526936C6-5B83-4F5B-A965-C25410EF3EF3}: [DhcpNameServer] 31.148.219.51 204.155.30.103

    Internet Explorer:
    ==================
    HKU\S-1-5-21-1202660629-764733703-1547161642-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKU\S-1-5-21-1202660629-764733703-1547161642-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab
    Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll [2014-04-08] (Skype Technologies)

    FireFox:
    ========
    FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-30] (Microsoft Corporation)
    FF Plugin: @videolan.org/vlc,version=2.0.8 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2014-07-23] (VideoLAN)
    FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll [2014-08-03] (Adobe Systems Inc.)
    FF Plugin HKU\S-1-5-21-1202660629-764733703-1547161642-1003: @tools.google.com/Google Update;version=3 -> C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-25] (Google Inc.)
    FF Plugin HKU\S-1-5-21-1202660629-764733703-1547161642-1003: @tools.google.com/Google Update;version=9 -> C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-25] (Google Inc.)
    FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2012-08-14]

    Chrome: 
    =======
    CHR HomePage: Default -> hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    CHR Plugin: (Shockwave Flash) - C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\Application\21.0.1180.77\PepperFlash\pepflashplayer.dll => No File
    CHR Plugin: (Shockwave Flash) - C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\Application\45.0.2454.101\gcswf32.dll => No File
    CHR Plugin: (Native Client) - C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\Application\45.0.2454.101\ppGoogleNaClPluginChrome.dll => No File
    CHR Plugin: (Chrome PDF Viewer) - C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\Application\45.0.2454.101\pdf.dll => No File
    CHR Plugin: (Microsoft® DRM) - C:\Program Files\Windows Media Player\npdrmv2.dll (Microsoft Corporation)
    CHR Plugin: (Microsoft® DRM) - C:\Program Files\Windows Media Player\npwmsdrm.dll (Microsoft Corporation)
    CHR Plugin: (Windows Media Player Plug-in Dynamic Link Library) - C:\Program Files\Windows Media Player\npdsplay.dll (Microsoft Corporation (written by Digital Renaissance Inc.))
    CHR Plugin: (Google Update) - C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File
    CHR Plugin: (Windows Presentation Foundation) - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
    CHR Profile: C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\User Data\Default
    CHR Extension: (Chrome Hotword Shared Module) - C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-12]
    CHR Extension: (Chrome Web Store Payments) - C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-30]
    CHR Profile: C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\User Data\Profile 1
    CHR Extension: (YouTube) - C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\User Data\Profile 1\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2012-09-14]
    CHR Extension: (Google Search) - C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\User Data\Profile 1\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2012-09-14]
    CHR Extension: (Gmail) - C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\User Data\Profile 1\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2012-09-14]
    StartMenuInternet: chrome.exe - C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

    ==================== Services (Whitelisted) ========================

    (If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

    S2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [22216 2014-03-11] (Microsoft Corporation)
    S3 NetSvc; C:\Program Files\Intel\NCS\Sync\NetSvc.exe [143360 2003-03-03] (Intel(R) Corporation) [File not signed]
    S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [771968 2015-09-28] (Enigma Software Group USA, LLC.)

    ===================== Drivers (Whitelisted) ==========================

    (If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

    R3 E1000; C:\WINDOWS\System32\DRIVERS\e1000325.sys [163840 2005-06-29] (Intel Corporation)
    S3 eapihdrv; C:\Documents and Settings\Maksim Antov\Local Settings\Temp\ehdrv.sys [135760 2015-09-26] (ESET)
    R3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [15920 2015-09-28] (Enigma Software Group USA, LLC.)
    S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2015-09-28] ()
    R0 MpFilter; C:\WINDOWS\System32\DRIVERS\MpFilter.sys [231960 2014-01-25] (Microsoft Corporation)
    S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X]
    S1 MpKslefd71396; \??\c:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{B036E4B3-DA4E-4144-8294-86610DDAA833}\MpKslefd71396.sys [X]
    U1 WS2IFSL; no ImagePath

    ==================== NetSvcs (Whitelisted) ===================

    (If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)


    ==================== One Month Created files and folders ========

    (If an entry is included in the fixlist, the file/folder will be moved.)

    2015-09-29 18:11 - 2015-09-29 18:11 - 00000000 ____D C:\FRST
    2015-09-28 19:48 - 2015-09-28 19:48 - 00000000 ____D C:\sh4ldr
    2015-09-28 19:48 - 2015-09-28 19:48 - 00000000 ____D C:\Documents and Settings\Maksim Antov\Start Menu\Programs\SpyHunter
    2015-09-28 19:48 - 2015-09-28 19:48 - 00000000 ____D C:\Documents and Settings\Maksim Antov\Application Data\Enigma Software Group
    2015-09-28 19:47 - 2015-09-28 19:47 - 00019984 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys
    2015-09-28 19:47 - 2015-09-28 19:47 - 00000000 ____D C:\Program Files\Enigma Software Group
    2015-09-28 15:36 - 2015-09-28 16:00 - 00000664 _____ C:\WINDOWS\system32\d3d9caps.dat
    2015-09-28 01:41 - 2015-09-28 16:29 - 00216550 _____ C:\Documents and Settings\LocalService\Local Settings\Application Data\WPFFontCache_v0400-System.dat
    2015-09-28 01:41 - 2015-09-28 01:41 - 00216550 _____ C:\Documents and Settings\LocalService\Local Settings\Application Data\WPFFontCache_v0400-S-1-5-21-1202660629-764733703-1547161642-1003-0.dat
    2015-09-28 00:39 - 2015-09-28 00:39 - 00000000 ____D C:\Documents and Settings\LocalService\Application Data\QuickScan
    2015-09-28 00:33 - 2015-09-28 00:33 - 00000000 ____H C:\WINDOWS\system32\Drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
    2015-09-28 00:33 - 2015-09-28 00:33 - 00000000 ____H C:\WINDOWS\system32\Drivers\Msft_Kernel_avchv_01009.Wdf
    2015-09-28 00:32 - 2015-09-28 00:32 - 00000000 __HDC C:\WINDOWS\$NtUninstallWdf01009$
    2015-09-28 00:32 - 2009-07-14 23:27 - 01461992 _____ (Microsoft Corporation) C:\WINDOWS\system32\WdfCoInstaller01009.dll
    2015-09-28 00:32 - 2008-11-07 18:55 - 00016928 ____N (Microsoft Corporation) C:\WINDOWS\system32\spmsgXP_2k3.dll
    2015-09-18 19:24 - 2015-09-18 19:24 - 00000158 _____ C:\Documents and Settings\Maksim Antov\My Documents\cc_20150918_192441.reg
    2015-09-05 18:55 - 2015-09-05 19:34 - 00000000 ____D C:\Documents and Settings\Maksim Antov\Application Data\Web Page Maker
    2015-09-05 18:55 - 2015-09-05 18:55 - 00000000 ____D C:\Program Files\Web Page Maker
    2015-09-05 18:55 - 2015-09-05 18:55 - 00000000 ____D C:\Documents and Settings\Maksim Antov\My Documents\Web Page Maker
    2015-09-05 18:55 - 2015-09-05 18:55 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Web Page Maker

    ==================== One Month Modified files and folders ========

    (If an entry is included in the fixlist, the file/folder will be moved.)

    2015-09-29 18:12 - 2012-08-14 03:38 - 00000000 ____D C:\Documents and Settings\Maksim Antov\Local Settings\Temp
    2015-09-29 17:58 - 2012-08-14 21:59 - 00000436 ____H C:\WINDOWS\Tasks\User_Feed_Synchronization-{85B4CB76-4B05-42D2-B508-FD48CC3DAF85}.job
    2015-09-29 17:30 - 2012-08-14 03:32 - 01328769 _____ C:\WINDOWS\WindowsUpdate.log
    2015-09-29 16:59 - 2012-09-10 00:10 - 00025824 _____ C:\Documents and Settings\Maksim Antov\My Documents\exodus3000.txt
    2015-09-29 12:38 - 2012-08-14 03:37 - 00000000 ____D C:\Documents and Settings\NetworkService\Local Settings\Temp
    2015-09-29 12:27 - 1980-01-01 03:00 - 00002206 _____ C:\WINDOWS\system32\wpa.dbl
    2015-09-29 12:26 - 2012-08-14 03:37 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
    2015-09-29 01:30 - 2012-08-14 03:38 - 00000178 ___SH C:\Documents and Settings\Maksim Antov\ntuser.ini
    2015-09-29 01:30 - 2012-08-14 03:37 - 00032514 _____ C:\WINDOWS\SchedLgU.Txt
    2015-09-29 00:26 - 2012-09-08 17:11 - 00021042 _____ C:\Documents and Settings\Maksim Antov\My Documents\today.txt
    2015-09-28 22:37 - 2012-08-14 21:20 - 00000000 __SHD C:\Documents and Settings\Maksim Antov\UserData
    2015-09-28 20:33 - 2012-08-14 03:38 - 00001604 _____ C:\Documents and Settings\Maksim Antov\Start Menu\Programs\Remote Assistance.lnk
    2015-09-28 20:21 - 2012-09-29 03:06 - 00000000 ____D C:\Documents and Settings\Maksim Antov\My Documents\Bulgaria NT
    2015-09-28 20:17 - 2012-08-14 03:34 - 00001612 _____ C:\Documents and Settings\All Users\Start Menu\Set Program Access and Defaults.lnk
    2015-09-28 20:17 - 2012-08-14 03:34 - 00001604 _____ C:\Documents and Settings\Default User\Start Menu\Programs\Remote Assistance.lnk
    2015-09-28 12:54 - 2012-09-10 00:11 - 00060186 _____ C:\Documents and Settings\Maksim Antov\My Documents\hattrick.txt
    2015-09-27 01:00 - 2012-09-09 20:05 - 00015244 _____ C:\Documents and Settings\Maksim Antov\My Documents\sokkerpl.txt
    2015-09-26 14:46 - 2012-09-29 20:40 - 00000019 _____ C:\Documents and Settings\Maksim Antov\My Documents\options.ini
    2015-09-26 13:50 - 2014-08-12 17:56 - 00000000 ____D C:\Documents and Settings\Maksim Antov\My Documents\Setups
    2015-09-26 13:18 - 2012-08-15 00:42 - 00001006 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1202660629-764733703-1547161642-1003UA.job
    2015-09-26 13:18 - 2012-08-15 00:42 - 00000954 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1202660629-764733703-1547161642-1003Core.job
    2015-09-25 23:19 - 2012-08-15 00:43 - 00002334 _____ C:\Documents and Settings\Maksim Antov\Desktop\Google Chrome.lnk
    2015-09-25 21:51 - 2012-09-10 00:11 - 00008000 _____ C:\Documents and Settings\Maksim Antov\My Documents\managers2.txt
    2015-09-21 00:51 - 2015-02-10 17:42 - 00000000 ____D C:\Program Files\OpenOffice 4
    2015-09-18 16:30 - 2015-02-11 00:45 - 00025888 _____ C:\Documents and Settings\Maksim Antov\My Documents\hattrick-new.ods
    2015-09-12 11:58 - 2012-08-15 00:42 - 00000000 ____D C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\Google
    2015-09-12 11:55 - 2012-08-13 20:16 - 00000000 ____D C:\WINDOWS\Help
    2015-09-11 11:38 - 2012-09-29 19:41 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2015-09-11 11:19 - 2013-07-16 06:05 - 00000000 ____D C:\WINDOWS\system32\MRT
    2015-09-10 14:06 - 2012-08-14 03:38 - 00000000 ____D C:\Documents and Settings\Maksim Antov
    2015-09-06 11:20 - 2012-09-10 00:11 - 00006180 _____ C:\Documents and Settings\Maksim Antov\My Documents\HYdb.txt
    2015-09-06 11:19 - 2012-12-02 01:56 - 00053456 _____ C:\Documents and Settings\Maksim Antov\My Documents\zodia.txt
    2015-09-03 15:54 - 2012-12-30 20:19 - 00026658 _____ C:\Documents and Settings\Maksim Antov\My Documents\gokickoff.txt

    ==================== Files in the root of some directories =======

    2015-05-16 19:21 - 2015-05-16 19:21 - 6420480 _____ () C:\Program Files\GUT3F2.tmp
    2015-07-27 15:54 - 2015-07-27 15:54 - 0000218 _____ () C:\Documents and Settings\Maksim Antov\Local Settings\Application Data\recently-used.xbel

    Some files in TEMP:
    ====================
    C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-6c31e892.exe
    C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-99716d2d.exe
    C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-bd79ae76.exe
    C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-d82c029.exe
    C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-dbd28262.exe
    C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-fb8e326d.exe


    ==================== Bamital & volsnap =================

    (There is no automatic fix for files that do not pass verification.)

    C:\WINDOWS\explorer.exe => File is digitally signed
    C:\WINDOWS\system32\winlogon.exe => File is digitally signed
    C:\WINDOWS\system32\svchost.exe => File is digitally signed
    C:\WINDOWS\system32\services.exe => File is digitally signed
    C:\WINDOWS\system32\User32.dll => File is digitally signed
    C:\WINDOWS\system32\userinit.exe => File is digitally signed
    C:\WINDOWS\system32\rpcss.dll => File is digitally signed
    C:\WINDOWS\system32\dnsapi.dll => File is digitally signed
    C:\WINDOWS\system32\Drivers\volsnap.sys => File is digitally signed

    ==================== End of FRST.txt ============================

    Прикачих отдолу и Addition файла.

    Addition_29-09-2015_18-13-26.txt

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Здравейте!

    Моля, изтеглете Malwarebytes Anti-Malware 2.1.8.1057 и я запазете на вашия десктоп.

     

    • Стартирайте файла mbam-setup-2.1.8.1057.exe и следвайте указанията за да инсталирате програмата.
    • След като инсталацията приключи се уверете че сте сложили отметка пред:
    • Launch Malwarebytes Anti-Malware
    • Отметката активираща пробния 14 дневен период също е маркиран по-подразбиране. Ако не желаете да тествате защитата в реално време на програмата през следващите 14 дни тогава премахнете отметката.
    • Натиснете бутона Finish.
    • Отидете до табът Settings > Detection and Protection > и под категорията Detection Options включете опцията "Scan for rootkits".
    • Отидете до табът Scan, сложете радио-бутона пред Threat Scan и след това натиснете бутона Scan Now >> . Ако е намерена актуализация тогава натиснете бутона Update Now.
    • Ще започне проверка за зловреден софтуер.
    • При някои инфекции можете да видите съобщението:
    • "Could not load DDA driver"
    • Натиснете "Yes" на това съобщение за да позволите драйвера да се зареди след рестарт.
    • Разрешете на компютъра да се рестартира и след това продължете с останалите инструкции.
    • След като проверката приключи натиснете бутона Apply Actions.
    • Изчакайте да се появи прозореца подканващ ви да рестартирате и след това натиснете бутона Yes.
    • След рестарта, когато се появи десктопа MBAM ще се зареди още веднъж.
    • Отидете то табът History > Application Logs.
    • Отворете рапорта с последната дата и час и натиснете бутона "Copy to Clipboard"
    • Сега вече поставете съдържанието на лог файла с клавишната комбинация Ctrl + V и го публикувайте в следващия си коментар.

    В следващия си коментар в тази тема, включете следните лог файлове:

     

    • Лог файл от Malwarebytes Anti-Malware
    • Нов лог файл от FRST
    Редактирано от Maniac (преглед на промените)
    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Ще отбележа и, че в Ц се появи някаква непозната ми папка на име sh4ldr, която се води модифицирана последно в понеделник. Не знам дали има връзка с вируса, но определено нямам спомени да сям я създавал или да съм работил с нещо, което да я създаде по споменатото време.

    Логът на МБайтс:

    Malwarebytes Anti-Malware
    www.malwarebytes.org

    Scan Date: 9/30/2015
    Scan Time: 4:41:16 PM
    Logfile: 
    Administrator: Yes

    Version: 2.1.8.1057
    Malware Database: v2015.06.03.03
    Rootkit Database: v2015.06.02.01
    License: Free
    Malware Protection: Disabled
    Malicious Website Protection: Disabled
    Self-protection: Disabled

    OS: Windows XP Service Pack 3
    CPU: x86
    File System: NTFS
    User: Maksim Antov

    Scan Type: Threat Scan
    Result: Completed
    Objects Scanned: 303789
    Time Elapsed: 1 hr, 24 min, 10 sec

    Memory: Enabled
    Startup: Enabled
    Filesystem: Enabled
    Archives: Enabled
    Rootkits: Enabled
    Heuristics: Enabled
    PUP: Enabled
    PUM: Enabled

    Processes: 0
    (No malicious items detected)

    Modules: 0
    (No malicious items detected)

    Registry Keys: 0
    (No malicious items detected)

    Registry Values: 0
    (No malicious items detected)

    Registry Data: 1
    PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Good: (0), Bad: (1),Replaced,[1a35d4e2622881b5138031fd26e01ae6]

    Folders: 0
    (No malicious items detected)

    Files: 0
    (No malicious items detected)

    Physical Sectors: 0
    (No malicious items detected)


    (end)

    Логът на ФРСТ го прикачвам, за да не стане твърде дълго.

    FRST_30-09-2015_19-19-04.txt


    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Изтеглете fixlist.txt и го запазете в папката от която стартирахте FRST.exe.
    Стартирайте FRST.exe и натиснете бутона Fix веднъж!
    След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.
     
    Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

    fixlist.txt

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Приключих и с това! Понеже темата стана доста дълга, прикачвам лог файла към отговора си и чакам евентуални бъдещи инструкции.

    Fixlog_01-10-2015_12-36-03.txt

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Честно казано, не съм сигурен. Познанията ми за компютрите са по-ограничени от вашите, но по-добри от някои, които само кликат без никаква мисъл. В случая обаче не съм сигурен какво точно се разбира под ползване на ДНС от Гугъл. Дори след проверка в търсачките още не съм наясно има ли проблем и какъв е. Някъде из резултатите четох, че Хром ползвал ДНС вместо ХТМЛ и това го правело по-бърз или нещо от сорта. Ако не е нагло, ще ми обясните ли защо това е важно? Поне да науча нещо ново.

    Иначе хубостникът още се отваря... :(

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

     

    Стъпка 1

    Моля изтеглете icon1351185104.pngJunkware Removal Tool на вашия десктоп.

    • Спрете временно работата на защитните програми.
    • Стартирайте инструмента JRT.exe
    • Ще се отвори ДОС прозорец. Натиснете което и да е копче от клавиатурата.
    • Затворете излишните приложения и всички браузъри и изчакайте проверката да завърши.
    • Ще се появи лог файл (който можете да намерите и ръчно на десктопа с името JRT.txt).
    • Моля копирайте съдържанието на лог файла в следващия си пост.

    Стъпка 2

    • Изтеглете и стартирайте 6sv1DN9.jpgAdwCleaner.exe.
    • Натиснете бутона Scan.
    • AdwCleaner ще започне да проверява компютъра.
    • След като проверката приключи натиснете бутона Clean.
    • Програмата ще затвори всички излишни процеси и след почистването ще иска да рестартира машината. Съгласете се.
    • Ще се появи автоматично лог файл с името (AdwCleaner[S0].txt) в C:\Adwcleaner
    • Публикувайте съдържанието му в следващия си коментар.

    Стъпка 3

    icon_zps423a0d9f.jpgМоля изтеглете ZHPCleaner и я запазете на вашия десктоп.

    • Стартирайте ZHPCleaner с десен клик върху файла и изберете от контекстното меню "Run as administrator"
    • Кликнете върху Ashampoo_Snap_20140819_13h09m50s_001__zp за да се съгласите с лицензионното споразумение.
    • Изберете бутона y3pI4LR.png.
    • Браузърите ще бъдат затворени автоматично.
    • Ще се отвори лог файл след приключването на проверката.
    • Публикувайте лог файла в следващия си коментар.

    В следващия си коментар в тази тема, включете следните лог файлове:

    Лог файл от Junkware Removal Tool
    Лог файл от AdwCleaner
    Лог файл от ZHPCleaner

    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Бележки: 

    1. Файлът на АдвКлийнър се появи с име AdwCleaner[S1], а не с S0 в скобите - вероятно частта в скобите е на рандъм принцип. Другият файл е с С1 в скобите и реших, че този е вашия поради еднаквата буква в скобите.

    2. Не можах да използвам опцията "Run as administrator" (както и да вляза от контекстовото меню и моя личен акаунт на машината) при стартиране на ZHPCleaner (излезе ми съобщение за грешка), затова го стартирах с кликане върху файла и без нея. Надявам се да не е голям проблем!

    3. Лог файла на последната програма не се отвори сам, та се наложи да го търся. Все пак го имам, защото не е трудно да се намери при желание!

    Прилагам логовете като прикачени файлове и чакам по-нататъшни инструкции! 

    JRT.txt

    AdwCleaner[S1].txt

    ZHPCleaner.txt

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Чудесно!

    • Сега стартирайте ZHPCleaner с десен клик върху файла и изберете от контекстното меню "Run as administrator"
    • Кликнете върху Ashampoo_Snap_20140819_13h09m50s_001__zp за да се съгласите с лицензионното споразумение.
    • Направете нова проверка и след като приключи натиснете бутона slm23Pe.png
    • Браузърите ще бъдат затворени автоматично.
    • Ще се отвори лог файл след приключването на проверката.
    • Публикувайте лог файла в следващия си коментар.

    Рестартирайте компютъра си и ми пишете дали има промяна.

    • Харесва ми 3

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Да, промени се... сайта, който се зарежда в изскачащия прозорец с нов! Вече не е видеопортала greenlea.ru, а нещо на име musicboxlive.byinmind.com, което ме кара да свалям някаква програма (дори не четох какво ме лъже, че е). Действие, което трябва да съм луд, за да предприема. Сега какво?

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове


    1. Моля изтеглете и стартирайте изпълнимия файл от линка отдолу:
      ESET OnlineScan
    2. Сложете отметката предesetAcceptTerms.png
    3. Натиснете бутона esetStart.png.
    4. Сложете отметката пред Enable detection of potentially unwanted applications.
    5. Сега кликнете на Advanced Settings и се уверете, че опцията Remove found threats не е маркирана, а следните са маркирани:

    6. Scan for potentially unsafe applications
    7. Enable Anti-Stealth Technology
    8. Изберете сега бутона Change и изберете само Operating memory и дял C:\
    9. Scan archives


    fhSji42.png


    [*]ESET ще започне да сваля и инсталира актуализации за вирусните дефиниции и след това ще започне да сканира компютъра. Бъдете търпеливи, защото процеса е бавен и може да отнеме доста време.
    [*]След като проверката приключи натиснете бутонаesetListThreats.png
    [*]Сега натиснете бутона esetExport.png, и запазете файла на десктопа с име по избор като например (ESETScan.txt). Копирайте резултата в следващия си коментар.
    [*]Натиснете бутона esetBack.png и след това натиснете бутона esetFinish.png за да затворите приложението.

    • Натиснете бутона Start.
    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Хюстън, имаме проблем! Забива на съобщение "Can not get update. Is proxy configured?" Освен това се оплаква от присъствието на Microsoft Security Essentials, която след "пенсионирането" на ХП е спряна от мониторинг върху системата и е заменена с друга, защото не мога да имам доверие на програма, която сканира и накрая вместо доклад ми излиза агитация да си сменям ОС и по никакъв начин не мога да намеря лог от сканирането. Така и така й нямам доверие - как да се погрижа да не я отчитат като проблем? Спрял съм мониторинга й, спрял съм процесите й, които съм открил, но още я споменават и не знам дали не пречи по някакъв начин.

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Можете да я деинсталирате щом не я използвате, защото по този начин се получава и конфликт с настоящата ви антивирусна програма.

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Не съм я махнал още само, защото не съм намерил неин заместник: антивирусна, която да не заема много виртуална памет, да не изпуска вирусите, да не дава фалшиви тревоги и т.н. Ползвах ЦКлийнър за това преди да дойде инфекцията. Ако ми препоръчате някоя такава за времето след изчистването на този вирус, нямам против да махна МСЕ и след като го почистим, да сваля новата. Спрял съм мониторинга й и не би трябвало да пречи - или греша?

    Иначе все пак успях да направя сканиране. След час и половина не откри нищо, а никъде нямам бутон http://billy-oneal.com/Canned Speeches/speechimages/eset/esetListThreats.png - вероятно поради липсата на открития. Оттам нямам логфайл, но направих скрийншот с резултатите така, както ми ги даде (приложих го най-отдолу като прикачен файл). Вече става нелепо - това нещо постоянно се включва, дори вече сменява активния ми прозорец с други, а никой не го открива. 

    ESETscan.JPG

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Ако откриеш такава антивирусна програма, сигурен съм, че много от хората тук ще сменят своята, но едва ли. След като сте и спрели мониторинга или защитата в реално време, то смисъла от нея е далеч по-малък.

    Моля, изтеглете aswMBR и го запазете на вашия десктоп.


    5CWyl6J.jpg

    • Кликнете с двоен клин на мишката върху файла aswMBR.exe за да го стартирате.
    • Ако ви попита дали да изтегли дефинициите на avast! се съгласете и изчакайте да изтегли дефинициите и да ги инсталира.
    • След като това е готово от падащото меню посочете дял C:\ както е на снимката:

    • Изберете Scan бутона, за да започне проверката.
    • Когато проверката завърши, натиснете бутона save log, запазете съдържанието на лог файла на десктопа и публикувайте съдържанието му в следващия си коментар
    • Забележка: Не натискайте бутоните FixMBR или Fix, защото това може да повреди вашата система!
    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Задачата изпълнена! Дано скоро да открием гадинката, защото вече пуска реклами в браузъра и си позволява да подменя стартирания прозорец, а не само да отваря нов.

    Логът по традиция е в прикачения файл! Един въпрос: да деинсталирам ли ползваните досега програми от началото на темата или някоя може да е нужна и в бъдеще? 

    aswMBR2.txt

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Здравейте,

    Колегата е възпрепятстван и затова аз ще се опитам да ви помогна.

     

    СТЪПКА 1

     

    1.Изтеглете Hitman Pro.

    За 32-битова система - dEMD6.gif.
    За 64-битова система - Download-button3.gif

    2.Стартирайте програмата.
    3.След като сте стартирали програмата като кликнете върху иконата 5vo5F.jpg и натиснете бутона „Напред“ като се съгласите с лицензионното споразумение (EULA).

    4.Сложете отметка пред "Не, искам да завърша еднократно сканиране на компютъра".

    5.Натиснете бутона „Напред“.

    6.Програмата ще започне да сканира. Времето за сканиране е около 2 минути.

    7.След завършване на сканирането от списъка с намерените неща (ако има такива) изберете Apply to all => Ignore.

    8.Натиснете "Next" и след това натиснете "Изнеси резултата в XML file" и запазете лог файла на десктопа.

    9.Архивирайте файла и го прикачете в следващия си коментар или копирайте съдържанието му в следващия си коментар.
     
    Забележка: Ако няма падащо меню, където да изберете ignore както на снимката:
     
    6-scanfin-choose.jpg
     
    Тогава просто затворете програмата след края на проверката (без да премахвате нищо)...след това отворете C:\Programdata\HitmanPro\Logs, отворете и публикувайте съдържанието на лог файла в следващия си коментар.

    Забележка: Папката C:\ProgramData е скрита и затова трябва да направите скритите файлове видими по-следния начин:

    От My Computer => Tools => Folder Options => View:

    Сложете отметка пред "Show hidden files, folders and drives"

    и махнете отметката пред "Hide protected operating system files (recommended)".

    Натиснете Apply.

    Сега проверете за лог файла в папката C:\Programdata\HitmanPro\Logs и го прикачете в следващия си коментар. :)

     

    СТЪПКА 2

     

    emsisoft_emergency_kit.pnglogo.png

    • Моля изтеглете EmsisoftEmergencyKit, стартирайте exe файла и посочете къде да се разархивира програмата - например в (C:\EEK), натискайки бутона Extract.
    • Стартирайте иконата на файла Start Emsisoft Emergency Kit от десктопа за да стартирате приложението.
    • Натиснете бутона"Yes", когато бъдете подканени да обновите дефинициите на програмата.

    EKK.gif

    • След като процеса по обновяването на дефинициите приключи натиснете бутона "Scan".
    • Натиснете бутона "Yes", когато бъдете попитани дали да програмата да включи засичането на потенциално нежелани приложения (Potentially Unwanted Applications).
    • Сега вече изберете бутона Custom Scan. Премахнете от списъка всички дялове без C:\ (т.е. нека да остане само дял C:\ в списъка).
    • Натиснете Next за да започне проверката.
    • Когато проверката приключи натиснете бутона View Report.
    • Копирайте съдържанието на лог файла в следващия си коментар.

     

    Това е засега.

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Готово! Първата (както ще видите) откри доста следящи (шпионски) бисквитки и се усъмни в първата свалена програма от тук (ФРСТ). Втората програма изрови само 2 неща от регистрите. Чакам следващия съвет!

    scan_151013-185109.txt

    HitmanPro_20151013_1824.rar

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

     И двата лог файла са чисти...

    Нека да възстановим настройките на Google Chrome по подразбиране. Преди това обаче направете бекъп на паролите и любимите страници:

    Експортиране на отметки от Chrome:

    1. В горния десен ъгъл на прозореца на браузъра кликнете върху менюто на Chrome.
    2. Изберете Отметки > Диспечер на отметките.
    3. Кликнете върху менюто „Организиране“ в диспечера.
    4. Сега изберете Export bookmarks to HTML file.

    Тук са даден инструкции след това как да ги импортнете обратно след преинсталацията на браузъра:

    http://www.wikihow.c...rks-from-Chrome

    За паролите вижте дали следния инструмент сработва:

    http://www.intowindo...chrome-browser/

     

    Изтеглете ZOEK (by Smeenk) и да го запишете на вашия работен плот
    Временно деактивирайте вашата антивирусна и антишпионска защита - инструкции при необходимост ще намерите тук

    • Щракнете с десния бутон върху тази икона  51a612a8b27e2-Zoek.pngи изберете RunAsAdmin.jpg Run as Administrator, за да стартирате инструмента.
    • Изчакайте търпеливо, докато  се появи  главната конзола (може да отнеме минута или две).

    52b6de58f1952-Zoek_Startpagina_5.0.0.0.P

    • В главния прозорец, моля поставете в следния скрипт:

    createsrpoint;

    IEDefaults;

    FFDefaults;

    CHRDefaults;

    autoclean;

    bonjovi;a

    bonjovi;z

    greenle;a

    greenle;z

    • Уверете се, че  опцията Scan All Users е маркирана.
    • Натиснете Run Script и изчакайте. Сканирането може да отнеме няколко минути.
    • Когато сканирането приключи, ще се отвори лог файл с име zoek-results.
    • Ако е необходимо рестартиране, той ще се отвори след това.
    • Копирайте съдържанието му в следващия си отговор.

     

    Поздрави!

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Така, вече трети ден не съм виждал онези сайтове и рекламите. Не исках да се радвам предварително, за да не се окаже затишие пред буря - напоследък появите им бяха започнали да оредяват и се надявах, че този път са се махнали, а не са намалили включванията си, докато още се въртят там, където не им е мястото.

    Иначе направих проверка с програмата. Логът е в прикачения файл. Други инструкции?

    zoek-results.txt

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Т,е. в момента няма проблеми така ли да разбирам?

    Да, в момента няма оплаквания и щом логовете са чисти, явно сме го разкарали. Имам няколко въпроса:

    1. Някоя от използваните програми от тази тема може ли да ми бъде полезна и в бъдеще (за профилактика или нещо подобно) или те са само при борба с открита зараза? Т.е. да деинсталирам всичко или да оставя някои като по-полезни?

    2. Коя антивирусна и коя програма срещу малуеър би ми препоръчал за постоянни на компютъра ми, за да не стигам до това положение в скоро време?

    3. Има ли някакъв начин да разбера откъде съм хванал инфекцията, за да огранича повторния й достъп, защото наистина нямам идея откъде дойде?

    За финал на съобщението: благодаря на теб и на колегата ти за помощта! Радвам се, че поне в един роден интернет сайт могат да ти помогнат вместо само да те дразнят или да те съветват да сменяш компютъра и да преинсталираш всичко при всеки вирус или зловреден екстеншън. Дано не съм ви създал главоболия! :)

    • Харесва ми 1

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Регистрирайте се или влезете в профила си за да коментирате

    Трябва да имате регистрация за да може да коментирате това

    Регистрирайте се

    Създайте нова регистрация в нашия форум. Лесно е!

    Нова регистрация

    Вход

    Имате регистрация? Влезте от тук.

    Вход


    ×

    Информация

    Този сайт използва бисквитки (cookies), за най-доброто потребителско изживяване. С използването му, вие приемате нашите Условия за ползване.