Как да премахна Win32 Banker

[Vasko12]

Mozilla сякаш зарежда по-плавно!Няма го краш-а при затварянето т.е. затваря се веднага.Софтуера който махнах е Zemana.След малко ще дам логовоте от сканирането.

[Vasko12]

 

HirenBoot изтрих ICO файла

log eset.txt

mbam-log-2012-10-24 (23-28-56).txt

[s.feradov]

Последни стъпки:

 

Изпълнете следното:

• Меню Start -> Run -> Въведете Combofix /Uninstall -> Натиснете OK.
  

 

Изтеглете OTC.

• Стартирайте OTC.exe.
  
• Изберете бутон CleanUp!
  

[Vasko12]

ComboFix,наравих грешка и го премахнах по следния начин Старт и във полето за търсене написах командата (но всички негови папки се изтриха) само това остана не както трябва след премахването му и понеже съм задал да се виждат скритите папки вече не са прозрачни като преди.......но както и да е..........След стартиране на OTC папката на OTL със преместените файлове се изтри...............Също премахнах и ESET Online Scaner,предполагам няма да трябва повече.И вече без проблем отварям тозисайт и търсачката при поверително сърфиране вече не е Yahoo a Google както си беше преди.

Благодаря за помоща.

 

 

ПС:И понеже ми е любопитно,това което изчистихме събира информация само за посетените сайтове или е възможно да са прочетени и паролите?Понеже както споменах във 2 сайта бяха сменени...........И има ли смисъл да си сменям?

[Vasko12]

Тези файлове за които споменах,че се появяват във App/Temp QRSXCJYT.part.exe днес пак за около минута заби explorer и Comodo i Hitman засичат това.......SuperAntiSpyware i MalwareBytes не засичат нищо.Не съм правил опити за изтриване!

[Night_Raven]

Моля, архивирай въпросните два файла, които HitmanPro открива и прикачи архива към следващия си коментар. След това премахни заплахите чрез HitmanPro.

[Vasko12]

Ето архива..........

[Vasko12]

Ново 20 MRTE откри това.......Този компютър стана като енциклопедия на вирусите...........Това във архива опасно ли беше ?>Ако може някакво обяснение какво точно представляваше......Ще съм много благодарен(нещата от архива)

[Night_Raven]

Евентуално B-boy/StyLe/ ще може да отговори на въпроса, защото той ме помоли да ти поискам заразените файлове.

[Vasko12]

Евентуално B-boy/StyLe/ ще може да отговори на въпроса, защото той ме помоли да ти поискам заразените файлове.

 

Добре,ако му се занимава нека да обясни.Но аз имам още един въпрос,нормална ли е тази активност във момента на заснемане го нямаше и процеса System който прави връзка със следното IP 78.90.10*.25* а уж System е зададена като блокирана програма............И крашовете на мозила продължават,доколкото разбрах от репорта виновника е xul.dll Тези проблеми се появиха преди около 2 седмици ,спряха и от вчера пак същото.........

[Night_Raven]

Мисля, че активността е нормална. Колкото до забивите на Mozilla Firefox, опитвал ли си да изключиш всички добавки или да го преинсталираш на чисто?

[B-boy/StyLe/]

Здравейте,

 

Извинявам се за забавянето, но имах други ангажименти.

Двата файла бяха зловредни и то бяха разновидност на keylogger троянец.

Колкото до активността, би трябвало да е нормална.

System и Windows Operating System са псевдо-процеси, а не реални такива.

System се отнася за шерването на файлове и ако не използваш тази функционалност можеш да премахнеш отметките:

Client for Microsoft Networks

File and Printer Sharing for Microsoft Networks

от настройките на мрежовата карта. Може да се спре и услугата Server от start => run => services.msc.

Защо не го е блокирал незнам.Някъде бях чел за подобна ситуация. Зависи и какви са ти глобалните правила в настройките на стената.

 

За крашовете на мозила направете следното:

 

 

 

СТЪПКА 1

 

 

 

Изтеглете OTL.exe и го запазете на десктопа.

• Стартирайте OTL (ако е необходимо, потвърдете през UAC).
  
• Направете следните настройки:
  
• Сложете отметка пред Scan All Users
  
• Под менюто File Age изберете 90 days
  
• Под менюто Standard Registry променете на ALL
  
• Сложете отметки пред LOP и Purity Check
  

Под http://store.picbg.net/pubpic/0A/C1/c814d031472c0ac1.png с Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето):

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.*

%USERPROFILE%\*.*

%USERPROFILE%\temp\*.exe

%USERPROFILE%\AppData\Local\*.*

%USERPROFILE%\AppData\Local\*.

%USERPROFILE%\AppData\Local\temp\*.exe

%USERPROFILE%\AppData\Roaming\*.*

%USERPROFILE%\AppData\Roaming\*.

%Public%\Documents\Softwrap\YOYOGAMESGM70FINAL\*.exe

%Public%\Documents\Fonts\*.exe

%Public%\Documents\Config\*.exe

%Public%\Documents\*.*

%ProgramData%\*.*

%ProgramData%\*.

%CommonProgramFiles%\*.*

%CommonProgramFiles%\ComObjects*.exe

%commonprogramfiles(x86)%\*.*

%programfiles%\*.*

%programfiles%\*.

%ProgramFiles(x86)%\*.*

%ProgramFiles(x86)%\*.

%systemroot%\system32\config\systemprofile\AppData\Local\*.*

%systemroot%\system32\config\systemprofile\AppData\Roaming\*.*

%windir%\SysWOW64\config\systemprofile\AppData\Local\*.*

%windir%\SysWOW64\config\systemprofile\AppData\Roaming\*.*

%windir%\ServiceProfiles\LocalService\AppData\Local\Temp\*.tlb

%windir%\ServiceProfiles\NetworkService\AppData\Local\Temp\*.tlb

%windir%\temp\*.exe

%windir%\*.

%windir%\installer\*.

%windir%\system32\*.

%windir%\sysnative\*.

%Temp%\smtmp\1\*.*

%Temp%\smtmp\2\*.*

%Temp%\smtmp\3\*.*

%Temp%\smtmp\4\*.*

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\syswow64\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /90

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\syswow64\drivers\*.sys /90

%systemroot%\syswow64\drivers\*.sys /lockedfiles

%systemroot%\system32\Spool\prtprocs\w32x86\*.dll

%systemroot%\*. /rp /s

%systemroot%\assembly\tmp\*.* /S /MD5

%systemroot%\assembly\temp\*.* /S /MD5

%systemroot%\assembly\GAC\*.ini

%systemroot%\assembly\GAC_32\*.ini

%systemroot%\assembly\GAC_64\*.ini

%SystemRoot%\assembly\GAC_MSIL\*.ini

wsSystemRoot|l,n,u,@;True;False;True;$,{ /fn

%systemdrive%\$Recycle.Bin|@;true;true;true /fp

HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s

HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s

HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s

HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s

HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s

HKEY_CURRENT_USER\Software\Classes\clsid\{12d0253a-7c96-815c-11e0-3034bbd97cc0}] /s

HKEY_CURRENT_USER\Software\MSOLoad /s

bcdedit /enum all /v >C:\boot.txt /c

>C:\commands.txt echo list vol /raw /hide /c

/wait

>C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c

/wait

type c:\diskreport.txt /c

/wait

erase c:\commands.txt /hide /c

/wait

erase c:\diskreport.txt /hide /c

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

consrv.dll

services.exe

explorer.exe

lsass.exe

svchost.exe

wininit.exe

winlogon.exe

userinit.exe

atapi.sys

iaStor.sys

serial.sys

volsnap.sys

disk.sys

redbook.sys

i8042prt.sys

afd.sys

netbt.sys

csc.sys

tcpip.sys

dfsc.sys

hlp.dat

str.sys

crexv.ocx

/md5stop

• Натиснете маркираният в синьо бутон: Run Scan.
  
• Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt. Прикачете тези два файла в следващия си коментар (погледнете опцията Прикачени файлове, когато публикувате мнение).
  

 

 

СТЪПКА 2

 

 

 

Моля изтеглете Malwarebytes Anti-Rootkit и запазете архива на десктопа.

• Tъй като е официална бета версия, отговорността за използването на инструмента е изцяло ваша. (добре е да направите бекъп на ценните документи за всеки случай).
  
• Разархивирайте архива в папка на десктопа и стартирайте файла mbar.exe.
  
• Натиснете Next и после натиснете Update.
  
• Натиснете Next и после натиснете Scan.
  
• Изчакайте проверката да завърши и натиснете бутона Cleanup за да премахнете всички намерени паразити (ако има такива).
  
• Ако бъдете попитан да рестартирате, съгласете се.
  
• След това отворете отново папката, където сте разархивирали програмата и стартирайте файла fixdamage и рестартирайте компютъра отново.
  
• Два файла (mbar-log-YYYY-MM-DD, system-log.txt) ще бъдат създадени в папката, където сте разархивирали програмата.
  
• Публикувайте съдържанието на тези файлове в следващия си коментар.
  

 

 

СТЪПКА 3

 

 

 

Следвайте следната инструкция за проверка с GooredFix:

• Изтеглете GooredFix, миръри: тук и тук.
  
• Запазете го на десктопа.
  
• Затворете всички браузъри и стартирайте GooredFix.exe.
  
• Потвърдете с Yes, за да започне сканирането.
  
• GooredFix ще провери за инфекции и след това ще се появи лог (GooredFix.txt). Копирайте (Copy) и поставете (Paste) резултатите от сканирането в следващия си коментар.
  

 

 

СТЪПКА 4

 

 

 

http://www.techsupportforum.com/forums/images/smilies/i_arrow-r.gif Стартирайте отново програмата AdwCleaner (by Xplode).

• Затворете всички стартирани програми и браузъри
  
• Кликнете два пъти върху adwcleaner.exe за да стартирате инструмента.
  
• Този път маркирайте Delete
  
• Вашият компютър ще се рестартира автоматично. Текстовия файл ще се отвори след рестарта.
  
• Моля, да публикувате съдържанието на този лог в отговора си
  
• Можете да намерите лога,който автоматично се запомня тук C:\AdwCleaner[R1].txt.
  

 

 

СТЪПКА 5

 

 

 

http://imageshack.us/a/img841/7292/thisisujrt.gif Моля изтеглете Junkware Removal Tool на вашия десктоп.

• Спрете временно работата на защитните програми.
  
• Стартирайте инструмента JRT.exe
  
• Ще се отвори ДОС прозорец. Натиснете което и да е копче от клавиатурата.
  
• Затворете излишните приложения и всички браузъри и изчакайте проверката да завърши.
  
• Ще се появи лог файл (който можете да намерите и ръчно на десктопа с името JRT.txt).
  
• Моля копирайте съдържанието на лог файла в следващия си пост.
  

 

 

По време на сканирането с инструментите, не използвайте компютъра си !

[Vasko12]

Понеже снощи "заби" много лошо цялата с-ма преинсталирах "на чисто".Зададох по-затегнати правила на HIPS i Firewall-a..А съответно да не се доверява на списъка със сигурни издатели и да не създава правила за сигурните програми,а за стената политики по избор да не създава правила и да блокира всички входящи заявки/.Мозила я бях преинсталирал,но не пробвах да изключа добавките....Adblock+ Ghostery и Shockwave PL....Сега ще пробвам със тези настройки и дано няма проблеми.........Вече няколко пъти с-мата е поразявана от Keylogger.......Сега няма смисъл да изпълнявам тези стъпки,при евентуален проблем ще пиша.

[B-boy/StyLe/]

Може би така е по-добре и по-сигурно, че ще е чисто.

Не е зле след като компютъра е чист, да смените всички използвани пароли, защото това е целта на всеки един кейлогър.

Странно, Comodo добре се справя в засичането на подобни гадини, но все пак всичко зависи от настройките и от решенията на потребителя, който го използва.

А и няма перфектен софтуер и не е непробиваем.

Обновете и всички използвани приложения (като ползвате само сигурни източници) и приложете всички актуализации за Windows.

 

Поздрави!

[mihnev_sz]

Паролите на пощите непременно да се сменят!

Ако се сдобие хакера до тях, всички регистрации които сте правили в сайтовете ви ще бъдат в ръцете му и ще има пълен контрол над акаунта и вие нищо не можете да направите тогава.

Поздрави.