Vasko12 Публикувано Октомври 21, 2012 Report Share Публикувано Октомври 21, 2012 2012-08-28 05:40:07 737280 ----a-w- C:\Windows\iun6002.exeВъзможно е да има и други следи от зловреден код.Прилагам и Log от DDSDDSscsner.rar Цитирай Link to comment Сподели другаде More sharing options...
s.feradov Публикувано Октомври 21, 2012 Report Share Публикувано Октомври 21, 2012 Изтеглете OTL Запазете файла на Вашия десктоп.Стартирайте инструмента.Уверете се, че процесът на сканиране няма да бъде прекъснат.В главния прозорец на програмата сложете отметка пред Scan All Users.В полето Standart Registry изберете All.Сложете отметки пред LOP Check и Purity Check.От падащото меню File Age изберете 90 days.Уверете се, че има отметкa пред Skip Microsoft Files.В полето Custom Scans/Fixes поставете следния текст: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %SYSTEMDRIVE%\*.* %USERPROFILE%\*.* %USERPROFILE%\AppData\Local\*.* %USERPROFILE%\AppData\Roaming\*.* %ProgramData%\*.* %CommonProgramFiles%\*.* %CommonProgramFiles%\ComObjects*.* %PROGRAMFILES%\*.* %systemroot%\system32\config\systemprofile\AppData\Local\*.* %systemroot%\system32\config\systemprofile\AppData\Roaming\*.* %windir%\SysWOW64\config\systemprofile\AppData\Local\*.* %windir%\SysWOW64\config\systemprofile\AppData\Roaming\*.* %windir%\ServiceProfiles\LocalService\AppData\Local\Temp\*.* %windir%\ServiceProfiles\NetworkService\AppData\Local\Temp\*.* %windir%\temp\*.* %windir%\minidump\*.* %windir%\*. %windir%\installer\*. %windir%\system32\*. %windir%\sysnative\*. %Temp%\smtmp\1\*.* %Temp%\smtmp\2\*.* %Temp%\smtmp\3\*.* %Temp%\smtmp\4\*.* %systemroot%\system32\*.dll /lockedfiles %systemroot%\syswow64\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /90 %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\syswow64\drivers\*.sys /90 %systemroot%\syswow64\drivers\*.sys /lockedfiles %systemroot%\system32\Spool\prtprocs\w32x86\*.dll %systemroot%\*. /rp /s %systemroot%\assembly\tmp\*.* /S /MD5 %systemroot%\assembly\temp\*.* /S /MD5 %systemroot%\assembly\GAC\*.* /S /MD5 %systemroot%\assembly\GAC_32\*.* /S /MD5 %systemroot%\assembly\GAC_64\*.* /S /MD5 %SystemRoot%\assembly\GAC_MSIL\*.* /S /MD5 HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s HKEY_CURRENT_USER\Software\MSOLoad /s bcdedit /enum all /v >C:\boot.txt /c restorepoints /md5start consrv.dll services.exe explorer.exe lsass.exe svchost.exe wininit.exe winlogon.exe userinit.exe atapi.sys iaStor.sys serial.sys volsnap.sys disk.sys redbook.sys i8042prt.sys afd.sys netbt.sys csc.sys tcpip.sys dfsc.sys hlp.dat str.sys /md5stop Копирайте кода точно както е даден. Уверете се, че всяка от командите е на нов ред, както е в полето. Натиснете бутона Run Scan. Ще започне сканиране, което няма да продължи дълго.Когато сканирането приключи автоматично ще се отворят два Notepad лог-файла - OTL.txt и Extras.txt. Моля, прикачете тези два файла към следващия Ви коментар. Цитирай Link to comment Сподели другаде More sharing options...
Vasko12 Публикувано Октомври 21, 2012 Author Report Share Публикувано Октомври 21, 2012 Ето и лога от OTLExtras.TxtOTL.Txt Цитирай Link to comment Сподели другаде More sharing options...
s.feradov Публикувано Октомври 21, 2012 Report Share Публикувано Октомври 21, 2012 Има ли проблеми със системата и ако да, в какво се изразяват те и кога са възникнали? Сканирали ли сте системата с даден софтуер? Ако да, то какъв? Променяли ли сте настройките, свързани с User Account Control? Цитирай Link to comment Сподели другаде More sharing options...
Vasko12 Публикувано Октомври 21, 2012 Author Report Share Публикувано Октомври 21, 2012 Проблема е,че вече много често "крашва" Mozilla-та Понякога чакам да се затвори по около минута .....Понякога и explore.exe "забива" ситемата е сканирана със SAS free и MBAM........Във UAC съм задал максималните настройки.И тези симптоми са от около месец.Забравих да спомена,че и във Temp папката APP/Local се появяват разни файлове от сорта на QCXSFAD.exe.part ...........без да съм свалял никакви архиви или да съм инсталирал какъвто и да е софтуер преди това.........миналата седмица AV на CIS докато компютъра не се ползваше засече имено такъв файл във temp директорията.........последния такъв който изтрих беше около 40мб (ако има значение)......... Цитирай Link to comment Сподели другаде More sharing options...
s.feradov Публикувано Октомври 22, 2012 Report Share Публикувано Октомври 22, 2012 Изтеглете TDSSKillerЗапазете файла на Вашия десктоп.Стартирайте TDSSKiller.exe.Изберете бутона Change parameters.Маркирайте checkbox-овете, намиращи се пред Verify Driver Digital Signature и Detect TDLFS File System.Натиснете бутона Start Scan.Ако подозрителен обект бъде засечен, кликнете бутона Continue. Тук действието по подразбиране е Skip.Ако бъдат намерени зловоредни обекти, то бъдете сигурни, че избраното действие е Cure (избира се от падащото меню) и натиснете бутона Continue.Рестартирайте за да бъде завършена поправката.Важно: Ако Cure бутона не е наличен, тогава изберете бутон Skip. Не избирайте бутон Delete освен ако не сте инструктирани да направите това. Ще бъде създаден лог-файл в свободната директория на дял C:\ . Намерете лог-файл с име TDSSKiller [Version]_[Date]_[Time]_log.txt и го прикачете към следващия Ви коментар. Изтеглете ComboFix от BleepingComputer.Затворете всички работещи приложения и програми работещи във фонов режим. Спрете временно защитата в реално време на антивирусната програма и на другите програми за сигурност. За повече информация погледнете: How To Temporarily Disable Your Anti-virus, Firewall And Anti-malware Programs.Стартирайте Combofix.exe.В новопоявилия се прозорец изберете YES.Внимание! - По време на работата на ComboFix не бива да се движи мишката и да се натискат клавиши от клавиатурата. Просто оставете ComboFix да си свърши работата, без да използвате компютъра за други цели.ComboFix ще спре временно Интернет връзката, но след като приключи работата на програмата тази връзка ще бъде възстановена автоматично.ComboFix ще сканира за проблеми и за заразени файлове, като това може да отнеме известно време. Моля да бъдете търпеливи. Ако има проблем с Интернет връзката след приключване на работата на софтуера, моля да прочетете това: Manually restoring the Internet connection section.Когато работата на ComboFix приключи, ще се появи лог-файл в Notepad.Забележка: Ако получавате следната грешка – “Illegal operation on a registry key that has been marked for deletion”, при стартиране на приложения след работа с ComboFix, рестартирайте системата. Прикачете въпросния файл към следващия Ви коментар. Цитирай Link to comment Сподели другаде More sharing options...
Vasko12 Публикувано Октомври 22, 2012 Author Report Share Публикувано Октомври 22, 2012 Ето ги логовете.Със TDSS бях сканирал преди около седмица тогава и сега не намери нищо!Въпросния файл iun6002.exe го блокирах със Comodo но преди сканирането със Combo Fix забравих да го възстановя и просто изключих всички модули на Comodo,нядявам се да не е било погрешно действие от моя страна.А ето какво поведение има след блокирането.ComboFix.txtTDSSKiller.2.8.13.0_22.10.2012_18.20.09_log.txtComboFix-quarantined-files.txt Цитирай Link to comment Сподели другаде More sharing options...
s.feradov Публикувано Октомври 23, 2012 Report Share Публикувано Октомври 23, 2012 Log-файлът от ComboFix изглежда чист. Моля, качете във VirusTotal следния файл: C:\Windows\iun6002.exe Ако изпише File already analysed изберете бутон Reanalyse и кажете резултата в следващия Ви коментар. Изтеглете SecurityCheckЗапазете файла на Вашия десктоп.Стартирайте инструмента.Следвайте инструкциите, показани в новопоявилия се прозорец.Ще се създаде лог-файл – checkup.txt, който ще се отвори автоматично.Моля, прикачете въпросния файл към следващия Ви коментар. Цитирай Link to comment Сподели другаде More sharing options...
Vasko12 Публикувано Октомври 23, 2012 Author Report Share Публикувано Октомври 23, 2012 Virustotal Може ли във такъв случай да премахна ComboFix?Понеже ми зае около 300мб след сканирането......Доколкото знам се изтрива по следния начин Старт във полето за търсене се пише combofix /uninstallcheckup.txt Цитирай Link to comment Сподели другаде More sharing options...
s.feradov Публикувано Октомври 23, 2012 Report Share Публикувано Октомври 23, 2012 Нека направим още една проверка. Съставете нов лог от OTL по инструкциите от коментар номер две. От гледна точка на сигурността ще е добре да инсталирате Internet Explorer 9. Цитирай Link to comment Сподели другаде More sharing options...
Vasko12 Публикувано Октомври 23, 2012 Author Report Share Публикувано Октомври 23, 2012 Като странно поведение забравих да спомена,че преди и вчера и още няколко пъти SpywareBlaster беше със изключена защита.Не бях правил ъпдейти нито бях ползвал програма за почистване.Също днес установявам,че нямам достъп и до два сайта(грешна парола) поне до пощата си имам достъп и мисля,че ще успея да възстановя паролите/След сканиране това и това също ми направи впечатление[2012.08.28 03:10:13 | 000,000,000 | -H-- | M] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf[2012.10.23 18:49:18 | 000,021,312 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0[2012.10.23 18:49:18 | 000,021,312 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0Колкото до IE съм го забранил от компонентите.......Но ако се наложи ще ползвам него!Extras.TxtOTL.Txt Цитирай Link to comment Сподели другаде More sharing options...
Vasko12 Публикувано Октомври 23, 2012 Author Report Share Публикувано Октомври 23, 2012 Понеже не мога да редактирам горния пост.[2012.10.11 23:59:31 | 000,000,464 | ---- | M] () -- C:\Windows\SysWow64\{7995330B-E01F-4645-B702-53481E7CB778}.cmdfile[2012.10.11 14:25:00 | 000,778,834 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI[2012.10.11 14:25:00 | 000,651,938 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat[2012.10.11 14:25:00 | 000,120,870 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat Цитирай Link to comment Сподели другаде More sharing options...
s.feradov Публикувано Октомври 24, 2012 Report Share Публикувано Октомври 24, 2012 Извинявам се за забавянето. Стартирайте отново OTL.В полето Custom Scans/Fixes поставете следния текст ::OTL O2:[b]64bit:[/b] - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Night_Rider\AppData\Roaming\Complitly\64\Complitly64.dll (SimplyGen) O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Night_Rider\AppData\Roaming\Complitly\Complitly.dll (SimplyGen) [2012.09.12 18:56:27 | 000,000,000 | ---D | C] -- C:\Users\Night_Rider\AppData\Roaming\Complitly @Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:07BF512B @Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:5C321E34 :Commands [emptytemp] Копирайте кода точно както е даден. Уверете се, че не изтървате някое от двуеточията в началото. Уверете се също така, че всяка от командите е на нов ред, както е в полето. След въвеждане на кода в полето Custom Scans/Fixes, натиснете бутона Run Fix. Потвърдете съобщението за рестартиране на системата. След рестартирането на системата, ще се появи лог-файл, намиращ се в C:\_OTL\Moved Files. Моля, прикачете съответния лог-файл към следващия Ви коментар. Изтеглете AdwCleanerЗапазете файла на Вашия десктоп.Спрете работата на всички програми и браузъри.Стартирайте инструмента.Изберете бутон Delete.Вашата система ще се рестартира автоматично.Моля, прикачете log-файла, създаден от инструмента, в следващия Ви коментар. Log-файлът е наименован AdwCleaner[s1].txt и се намира в следната директория: C:\ Цитирай Link to comment Сподели другаде More sharing options...
Vasko12 Публикувано Октомври 24, 2012 Author Report Share Публикувано Октомври 24, 2012 От вчера не намирам iun6002.exe във WIN директорията ADW+OTL.rar Цитирай Link to comment Сподели другаде More sharing options...
s.feradov Публикувано Октомври 24, 2012 Report Share Публикувано Октомври 24, 2012 Как се държи системата в момента? Има ли някакви проблеми? Изтеглете Malwarebytes' Anti-Malware Free.Стартирайте инсталационния файл и инсталирайте програмата.Уверете се, че са поставени отметки пред Update Malwarebytes' Anti-Malware и Launch Malwarebytes'Anti-Malware.Програмата ще изтегли и инсталира автоматично наличните обновявания.Стартирайте програмата.Изберете Perform Quick Scan -> Scan.След края на сканирането, натиснете бутон OKНатиснете бутона Show Results, за да видите резултата от сканирането.Уверете се, че има отметки на всеки ред.Натиснете бутона Remove Selected.В Notepad ще бъде отворен лог -файл. Моля, прикачете файла към следващия Ви коментар.Забележка: MalwareBytes' Anti-Malware може да поиска да рестартира Вашата система. При подобно запитване от страна на програмата се съгласете и позволете рестартирането на системата. Изтеглете ESET Online ScannerСтартирайте esetsmartinstaller_enu.exeСложете отметка пред YES, I accept the Terms of Натиснете бутона Start. Инструментът ще започне да изтегля необходимите му компоненти.Уверете се, че има отметки пред следните редове, включително и тези от менюто Advanced Settings:Scan archivesScan for potentially unwanted applicationsScan for potentially unsafe applicationsEnable Anti-Stealth technologyНатиснете бутона Start.Не слагайте отметка пред Remove found threats.Инструментът ще започне да изтегля последните дефиниции.След, като сканирането завърши натиснете бутона FinishНамерете директорията C:\Program Files\ESET\ESET Online ScannerПрикачете файла log.txt към следващия Ви коментар. Също така е препоръчително да премахнете един от следните два софтуера: Zemana AntiLogger Comodo Internet Security Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.