Премахване на троянски кон

plami666 · Ноември 29, 2012

C:\Documents and Settings\All Users\Applicaton Data\Panda Security Toolbar Antiphishing\panda2_0dn.exе

Това е вирусът,пробвах какви ли не начини да го премахна не става. Сканирах с tdsskiller и Malwarebytes Anti-Malware не могат да го открият, а avast! го намира, но не може да го премахне само изписва Блокиран троянски кон...

Моля помогнете.. :wink1:

s.feradov · Ноември 29, 2012

Направете повторно сканиране с Malwarebytes' Anti-Malware, като се уверите, че програмата разполага с последните възможни дефиниции. След края на сканирането, моля, прикачете log-файла към следващия Ви коментар.

Изтеглете DDS от BleepingComputer.

Запишете файла на Вашия десктоп.
Прекратете временно работата на всички скрипт блокиращи приложения. След това стартирайте DDS с двоен клик на иконата, като потвърдите с Run.
След приключване на работата на DDS копирайте текста от двата log-файла, които ще се появят: DDS.txt и Attach.txt и ги запазете на Вашия десктоп.

Копирайте и поставете съдържанието на DDS.txt и Attach.txt в следващия Ви коментар.

plami666 · Ноември 30, 2012

Ето..

attach.txt

dds.txt

mbam-log-2012-11-30 (09-12-13).txt

s.feradov · Ноември 30, 2012

Mоля, качете във VirusTotal следния файл:

C:\Documents and Settings\All Users\Application Data\Panda Security Toolbar Antiphishing\panda2_0dn.exe

Ако бъде изписано File already analysed изберете бутон Reanalyse и кажете резултата в следващия Ви коментар.

Същевременно:

Изтеглете OTL

Запазете файла на Вашия десктоп.
Стартирайте инструмента.
Уверете се, че процесът на сканиране няма да бъде прекъснат.
В главния прозорец на програмата сложете отметка пред Scan All Users.
В полето Standart Registry изберете All.
Сложете отметки пред LOP Check и Purity Check.
От падащото меню File Age изберете 90 days.
Уверете се, че има отметкa пред Skip Microsoft Files.
В полето Custom Scans/Fixes поставете следния текст:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%USERPROFILE%\*.*
%USERPROFILE%\Application Data\*.*
%USERPROFILE%\Application Data\*.
%USERPROFILE%\Local Settings\*.*
%USERPROFILE%\Local Settings\temp\*.exe
%USERPROFILE%\Local Settings\Temporary Internet Files\*.exe
%USERPROFILE%\Local Settings\Application Data\*.*
%AllUsersProfile%\*.*
%AllUsersProfile%\Application Data\*.*
%AllUsersProfile%\Application Data\*.
%AllUsersProfile%\Application Data\Local Settings\*.*
%AllUsersProfile%\Application Data\Local Settings\Temp\*.exe
%ALLUSERSPROFILE%\Documents\My Music\*.exe
%ALLUSERSPROFILE%\Documents\My Pictures\*.exe
%ALLUSERSPROFILE%\Documents\My Videos\*.exe
%ALLUSERSPROFILE%\Documents\*.exe
%USERPROFILE%\My Documents\*.*
%CommonProgramFiles%\*.*
%CommonProgramFiles%\ComObjects*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
%systemroot%\system32\config\systemprofile\*.*
%systemroot%\system32\config\systemprofile\Application Data\*.*
%systemroot%\system32\config\systemprofile\\Local Settings\*.*
%systemroot%\system32\config\systemprofile\\Local Settings\Application Data\*.*
%systemroot%\system32\config\systemprofile\\Local Settings\Temp\*.exe
%systemroot%\system32\config\systemprofile\\Local Settings\Temporary Internet Files\*.exe
C:\Documents and Settings\LocalService\Application Data\*.*
C:\Documents and Settings\LocalService\Local Settings\Application Data\*.*
C:\Documents and Settings\LocalService\Local Settings\temp\*.exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\*.exe
C:\Documents and Settings\LocalService\Local Settings\*.*
C:\Documents and Settings\LocalService\*.*
C:\Documents and Settings\NetworkService\Application Data\*.*
C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.*
C:\Documents and Settings\NetworkService\Local Settings\temp\*.exe
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\*.exe
C:\Documents and Settings\NetworkService\Local Settings\*.*
C:\Documents and Settings\NetworkService\*.*
%windir%\temp\*.exe
%windir%\*.
%windir%\installer\*.
%windir%\system32\*.
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%Temp%\smtmp\3\*.*
%Temp%\smtmp\4\*.*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\Spool\prtprocs\w32x86\*.dll
%systemroot%\*. /rp /s
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\temp\*.* /S /MD5
%systemroot%\assembly\GAC\*.ini
%systemroot%\assembly\GAC_32\*.ini
%SystemRoot%\assembly\GAC_MSIL\*.ini
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CURRENT_USER\Software\MSOLoad /s
>C:\commands.txt echo list vol /raw /hide /c
/wait
>C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c
/wait
type c:\diskreport.txt /c
/wait
erase c:\commands.txt /hide /c
/wait
erase c:\diskreport.txt /hide /c
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
consrv.dll
services.exe
svchost.exe
explorer.exe
userinit.exe
winlogon.exe
smss.exe
lsass.exe
atapi.sys
iaStor.sys
serial.sys
disk.sys
volsnap.sys
redbook.sys
i8042prt.sys
afd.sys
netbt.sys
tcpip.sys
ipsec.sys
hlp.dat
str.sys
crexv.ocx
/md5stop

Копирайте кода точно както е даден. Уверете се, че всяка от командите е на нов ред, както е в полето.

Натиснете бутона Run Scan. Ще започне сканиране, което няма да продължи дълго.Когато сканирането приключи автоматично ще се отворят два Notepad log-файла - OTL.txt и Extras.txt.

Моля, прикачете тези два файла към следващия Ви коментар.

plami666 · Ноември 30, 2012

ssdeep

3072:AoW/uV1PAzLG1nHLK8U0dPsm+tyJXDO7huaxf6xM5lelVD5pq:A7/a+gnrK8HPsP8sk9xked8

TrID

Win64 Executable Generic (59.6%)

Win32 Executable MS Visual C++ (generic) (26.2%)

Win32 Executable Generic (5.9%)

Win32 Dynamic Link Library (generic) (5.2%)

Generic Win/DOS Executable (1.3%)

ExifTool

SubsystemVersion.........: 5.0

InitializedDataSize......: 88064

ImageVersion.............: 0.0

ProductName..............: Panda Security URL Filtering

FileVersionNumber........: 1.0.0.128

UninitializedDataSize....: 0

LanguageCode.............: English (U.S.)

FileFlagsMask............: 0x003f

CharacterSet.............: Unicode

LinkerVersion............: 9.0

MIMEType.................: application/octet-stream

Subsystem................: Windows GUI

FileVersion..............: 1, 0, 0, 128

TimeStamp................: 2010:12:08 16:53:43+00:00

FileType.................: Win32 EXE

PEType...................: PE32

ProductVersion...........: 1.0

FileDescription..........: Panda Security URL Filtering

OSVersion................: 5.0

FileOS...................: Win32

MachineType..............: Intel 386 or later, and compatibles

CompanyName..............: Panda Security

CodeSize.................: 129536

FileSubtype..............: 0

ProductVersionNumber.....: 1.0.0.0

EntryPoint...............: 0x12082

ObjectFileType...........: Executable application

Sigcheck

publisher................: Panda Security

product..................: Panda Security URL Filtering

description..............: Panda Security URL Filtering

file version.............: 1, 0, 0, 128

signing date.............: 7:14 PM 12/8/2010

signers..................: Visicom Media Inc.

Portable Executable structural information

Compilation timedatestamp.....: 2010-12-08 16:53:43

Target machine................: 0x14C (Intel 386 or later processors and compatible processors)

Entry point address...........: 0x00012082

PE Sections...................:

Name Virtual Address Virtual Size Raw Size Entropy MD5

.text 4096 129186 129536 6.58 e0277b0f0ca67ac852e5dd3f0e050a0e

.rdata 135168 29118 29184 4.97 01d7b739017b2dac110d7b651ff3bf20

.data 167936 12356 5120 2.20 28ad4798c50c8530a635c676024a6ead

.rsrc 184320 42664 43008 4.87 643a2e4f9d59cf236870774bd0d9a266

.reloc 229376 10626 10752 5.22 557dff4bf41dcb3a70ad08269c3dc2ae

PE Imports....................:

[[VERSION.dll]]

GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

[[WININET.dll]]

HttpSendRequestA, HttpOpenRequestA, InternetReadFile, InternetCloseHandle, InternetOpenA, InternetConnectA, HttpQueryInfoA

[[ADVAPI32.dll]]

RegOpenKeyA, ConvertStringSecurityDescriptorToSecurityDescriptorW, RegSetValueExA, RegQueryValueExA, GetSecurityDescriptorSacl, RegDeleteValueA, RegCreateKeyExA, RegOpenKeyExA, RegCloseKey, SetSecurityInfo

[[KERNEL32.dll]]

GetStdHandle, GetConsoleOutputCP, GetFileAttributesA, FreeEnvironmentStringsA, DeleteCriticalSection, GetCurrentProcess, GetConsoleMode, GetLocaleInfoA, FreeEnvironmentStringsW, SetStdHandle, GetCPInfo, GetStringTypeA, WriteFile, GetSystemTimeAsFileTime, HeapReAlloc, GetStringTypeW, GetOEMCP, LocalFree, MoveFileA, InitializeCriticalSection, FindClose, TlsGetValue, SetLastError, CopyFileA, HeapAlloc, GetVersionExA, GetModuleFileNameA, UnhandledExceptionFilter, InterlockedDecrement, MultiByteToWideChar, CreateMutexA, SetUnhandledExceptionFilter, SetEnvironmentVariableA, TerminateProcess, WriteConsoleA, GlobalAlloc, LocalFileTimeToFileTime, SetEndOfFile, GetCurrentThreadId, LeaveCriticalSection, WriteConsoleW, InitializeCriticalSectionAndSpinCount, HeapFree, EnterCriticalSection, SetHandleCount, FreeLibrary, QueryPerformanceCounter, GetTickCount, TlsAlloc, FlushFileBuffers, LoadLibraryA, RtlUnwind, GetStartupInfoA, CreateDirectoryA, DeleteFileA, GetProcAddress, GetProcessHeap, CompareStringW, FindFirstFileA, CompareStringA, CreateFileMappingA, FindNextFileA, GetTimeZoneInformation, IsDebuggerPresent, GetFileType, TlsSetValue, CreateFileA, ExitProcess, InterlockedIncrement, GetLastError, SystemTimeToFileTime, LCMapStringW, HeapCreate, GlobalFree, GetConsoleCP, LCMapStringA, GetEnvironmentStringsW, RemoveDirectoryA, GetEnvironmentStrings, GetCurrentProcessId, SetFileTime, GetCurrentDirectoryA, HeapSize, GetCommandLineA, OpenMutexA, RaiseException, MapViewOfFile, TlsFree, SetFilePointer, ReadFile, CloseHandle, GetACP, GetModuleHandleW, WideCharToMultiByte, IsValidCodePage, UnmapViewOfFile, VirtualFree, Sleep, VirtualAlloc

[[sHELL32.dll]]

ShellExecuteA, SHGetFolderPathA

[[uSER32.dll]]

wsprintfA, SetTimer, GetLastInputInfo, LoadIconA, DispatchMessageA, IsDlgButtonChecked, MessageBoxA, SendMessageA, KillTimer, PeekMessageA, GetDlgItem, CreateDialogParamA, TranslateMessage, SetWindowTextA, ShowWindow, SetClassLongA, CheckDlgButton, IsDialogMessageA, DestroyWindow

[[COMCTL32.dll]]

Ord(17)

PE Resources..................:

Resource type Number of resources

RT_CURSOR 16

RT_GROUP_CURSOR 15

RT_STRING 13

RT_ICON 8

RT_DIALOG 3

RT_BITMAP 2

RT_MANIFEST 1

RT_VERSION 1

RT_GROUP_ICON 1

Resource language Number of resources

ENGLISH US 50

NEUTRAL 10

OTL.Txt

Extras.Txt

s.feradov · Ноември 30, 2012

Имах предвид да опоменете резултата от сканирането:

http://i.imgur.com/fIGmz.png

Ще Ви посъветвам да премахнете Anti Trojan Elite.

Стартирайте отново OTL.

В полето Custom Scans/Fixes поставете следния текст :

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-790525478-162531612-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-790525478-162531612-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
@Alternate Data Stream - 127 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:F2327E82
@Alternate Data Stream - 127 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:430C6D84
@Alternate Data Stream - 110 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
:Commands
[emptytemp]

Копирайте кода точно както е даден. Уверете се, че не изтървате някое от двуеточията в началото. Уверете се също така, че всяка от командите е на нов ред, както е в полето.

След въвеждане на кода в полето Custom Scans/Fixes, натиснете бутона Run Fix. Потвърдете съобщението за рестартиране на системата.

След рестартирането на системата, ще се появи log-файл, намиращ се в C:\_OTL\Moved Files. Моля, прикачете съответния log-файл към следващия Ви коментар.

Изтеглете GMER

Разархивирайте въпросния архив на Вашия десктоп.

Преди да сканирате компютъра се уверете, че всички работещи приложения в момента са изключени. Спрете временно наличния антивирусен софтуер. Не използвайте системата по време на сканирането.

Стартирайте инструмента.
Ще се извърши първоначално сканиране. След като то приключи, натиснете бутона Scan.
След края на сканирането ще се създаде log-файл.

Копирайте съдържанието му в следващия Ви коментар.

plami666 · Декември 1, 2012

За съжаление не мога да кача файловете,защото ми изписва Не Ви е позволено да качвате такъв тип файлове

SHA256: 2ba9d2aba2b691510ad889ec62ad4d4a55bf2d60dd24112fcb2972987dff4323 File name: panda2_0dn.exe Detection ratio: 0 / 45 Analysis date: 2012-12-01 15:23:40 UTC ( 0 минути ago )

s.feradov · Декември 1, 2012

Ако е невъзможно да прикрепите въпросните файлове, то ги качете на избран от Вас хостинг и предоставете линк за тяхното изтегляне.

plami666 · Декември 1, 2012

http://www.4shared.com/file/OAlAs-02/hgfh.html?

http://www.4shared.com/file/Ow_dBwp5/12012012_093622.html?

s.feradov · Декември 1, 2012

Изтеглете AdwCleaner

Запазете файла на Вашия десктоп.
Спрете работата на всички програми и браузъри.
Стартирайте инструмента.
Изберете бутон Delete.
Вашата система ще се рестартира автоматично.

Моля, прикачете log-файла, създаден от инструмента, в следващия Ви коментар.

Log-файлът е наименован AdwCleaner[s1].txt и се намира в следната директория:

C:\

Изтеглете JRT

Запазете файла на Вашия десктоп.

Спрете временно работата на всички приложения, включително и на защитните програми, които са инсталирани на системата.

Стартирайте JRT.exe.
При новопоявилия се прозорец, натиснете който и да е клавиш от клавиатурата.
Инструментът ще сканира системата.
След края на процеса, ще се създаде log-файл с наименования JRT.txt

Моля, прикачете този файл към следващия Ви коментар.

tanganika · Декември 2, 2012

http://www.4shared.c...s-02/hgfh.html?
http://www.4shared.c...12_093622.html?

За да може някой да свали файловете от линковете които сте публикували , трябва да знае потребителското ви име и парола. Единия от начините да споделяте файлове е с dox.abv.bg

Видео ръководство за споделяне на файлове с помощта на dox.abv.bg

Night_Raven · Декември 2, 2012

За да може някой да свали файловете от линковете които сте публикували , трябва да знае потребителското ви име и парола.

Невярно. Файловете се свалят без проблем и от други потребители с акаунт.

tanganika · Декември 2, 2012

Невярно. Файловете се свалят без проблем и от други потребители с акаунт.

Мдааа прав си , но недостатъка е че трябва да имаш акаунт за да можеш да сваляш..

plami666 · Декември 2, 2012

/

AdwCleanerS1.txt

JRT.txt

s.feradov · Декември 2, 2012

Изпитвате ли някакви проблеми, свързани с работата на системата? Файлът, който avast! е засякал, е легитимен.

Последни стъпки:

Изтеглете ESET Online Scanner

Стартирайте esetsmartinstaller_enu.exe
Сложете отметка пред YES, I accept the Terms of
Натиснете бутона Start. Инструментът ще започне да изтегля необходимите му компоненти.
Уверете се, че има отметки пред следните редове, включително и тези от менюто Advanced Settings:

Scan archives
Scan for potentially unwanted applications
Scan for potentially unsafe applications
Enable Anti-Stealth technology

Натиснете бутона Start.
Не слагайте отметка пред Remove found threats.
Инструментът ще започне да изтегля последните дефиниции.
След като сканирането завърши натиснете бутона Finish.

Намерете директорията C:\Program Files\ESET\ESET Online Scanner

Прикачете файла log.txt към следващия Ви коментар.

Изтеглете SecurityCheck.

Запазете файла на Вашия десктоп.
Стартирайте инструмента.
Следвайте инструкциите, показани в новопоявилия се прозорец.
Ще се създаде log-файл – checkup.txt, който ще се отвори автоматично.

Моля, прикачете въпросния файл към следващия Ви коментар.

Премахване на троянски кон

Препоръчан пост

Link to comment

Сподели другаде

ТОП потребители в тази тема

Популярни дни

ТОП потребители в тази тема

Популярни дни

Публикувани изображения

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Join the conversation