Проблем с вируси

[coojoe_213]

Здравейте. От вчера ми се набута някаква/и гадинки и няма отърване от тях. Постоянно ми се показват най-различни съобщения, като вляза в Интернет ме препраща на някаква си негова страница. Може ли да се изчистят без преинсталация, тея глупости. С NOD32 съм, но интересното, което е че въобще при сканиране не ми показва, че имам вируси. Обаче от време на време ми се включва червения екран и ми показва уж троянци.

[Night_Raven]

Изтегли HijackThis 1.99.1 (213KB), която съм преименувал нарочно, стартирай я и кликни Do a system scan and save a logfile. Това ще създаде текстов файл в същата папка. Копирай съдържанието му тук или прикачи файла към темата, както ти е по-удобно.

Изтегли Autoruns, след това стартирай програмата и направи следното:

1) избери Options -> Hide Microsoft Entries;

2) кликни File -> Refresh;

3) кликни File -> Save as;

4) запази файла някъде и след това го прикачи към темата или му копирай съдържанието.

[coojoe_213]

Scan saved at 11:48:59 AM, on 2/18/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\NetProject\scit.exe

C:\Program Files\NetProject\sbmntr.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\NetProject\scm.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\NetProject\sbsm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Datecs\FlexType 2K\FType2K.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\BitComet\BitComet.exe

C:\Documents and Settings\kalin\Desktop\alabala.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Помощ за влизане на Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Program Files\NetProject\sbmdl.dll

O3 - Toolbar: Web Application - {81705D67-3F73-4983-859B-97D0922E5ABE} - C:\Program Files\NetProject\wamdl.dll

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [sBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Documents and Settings\kalin\Desktop\msnmsgr.exe" /background

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray

O4 - Global Startup: FlexType 2K.lnk = C:\Program Files\Datecs\FlexType 2K\FType2K.exe

O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)

O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1201619991815

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CE2B353-2EF0-411E-BC56-25A64816AB39}: NameServer = 83.228.92.1,83.228.92.2

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

kalinka.txt

[Night_Raven]

Изключи System Restore: десен клик върху My Computer -> Properties -> System Restore -> сложи отметка на Turn off System Restore on all drives -> потвърди на всички прозорци.

Изведи Task Manager (Ctrl+Alt+Del), иди на страница Processes и спри следните процеси:

scit.exe

sbmntr.exe

scm.exe

sbsm.exe

В Autoruns махни отметките на:

+ some c:\program files\netproject\scit.exe

+ start c:\program files\netproject\sbmntr.exe

+ 0 File not found: About:Home

+ Display Panning CPL Extension File not found: deskpan.dll

+ {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} c:\program files\netproject\sbmdl.dll

+ Web Application c:\program files\netproject\wamdl.dll

+ Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys

+ i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys

+ lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys

+ PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys

+ PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys

+ PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys

+ PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys

+ PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys

+ WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys

В HijackThis слагай отметки на следните обекти, кликни Fix checked и потвърди с Yes. Ако ти бъде поискан рестарт, се съгласи:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Web Application - {81705D67-3F73-4983-859B-97D0922E5ABE} - C:\Program Files\NetProject\wamdl.dll

O4 - HKCU\..\Run: [msnmsgr] "C:\Documents and Settings\kalin\Desktop\msnmsgr.exe" /background

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)

O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

Изтрий папката NetProject в Program Files.

 

Ако не ти е поискан рестарт, рестартирай въпреки това. Пиши дали проблемът е още налице. Можеш да пуснеш по още един LOG от тези програми, независимо дали го има или няма.

[coojoe_213]

Всичко направих, освен от Task manager. Не иска да ги спре процесите, като му дам End Process, отново се появява, процеса, който съм искал да спра. Пак ми излизат онея съобщения и ме вкарва в някакви си интернет страници. Папката Net Project не може да се изтрие. Използвало е друга програма - така ми изписва.

[Night_Raven]

Стартирай HijackThis, кликни Open Misc Tools section -> Delete a file on reboot... -> посочи единия файл -> кликни No. Отново кликни Delete a file on reboot..., посочи втория файл и така за всичките 4, като на последния кликни Yes, за да се рестартира компютърът.

[coojoe_213]

Стартирай HijackThis, кликни Open Misc Tools section -> Delete a file on reboot... -> посочи единия файл -> кликни No. Отново кликни Delete a file on reboot..., посочи втория файл и така за всичките 4, като на последния кликни Yes, за да се рестартира компютърът.

Благодаря ти! Получи се така/.

[Cheers]

Ако желаеш, може да пробваш дали SUPER Antispyware Free: (Цък) няма да намери нещо. Инсталираш безплатната версия (Free) и обновяваш дефинициите, след това сканираш.

 

И/ или още един вариант, който също може да е от полза:

1. Забраняваш System Restore (по-горе пише как).

2. Инсталираш AVG AntiVirus Free: Цък. Обновяваш дефинициите.

3. Пускаш SmitfraudFix (by S!Ri): Цък.

4. Рестартираш в SafeMode.

5. Пускаш AVG да сканира и триеш инфектираните файлове.

6. Затваряш AVG и всички останали приложения.

7. Пускаш SmitfraudFix (by S!Ri) и следваш инструкциите.

8. Рестартираш в нормален режим, ако това не стане автоматично.

 

ПП: Докато писах, не забелязах, че си решил проблема. Все пак пусни, ако желаеш някой скан за Spyware.

[Night_Raven]

След като си ги изтрил, повтори описаната по-горе операции. По принцип можеш да сканираш профилактично и с някои добри antispy програми: SUPERAntiSpyware (5.64MB), Spybot - Search & Destroy и Malwarebytes' Anti-Malware са добри като за начало. Не забрявай да ги обновиш преди да сканираш.

Ако държиш да си още по-сигурен, че нямаш други нещица, можеш да сканираш и с Gmer (680KB) за rootkit-чета (той ще маркира опасните обекти в червено, останалите не са проблем) и да пуснеш ComboFix да провери системата.

[coojoe_213]

Прав си проверих я с Spyware и ми искара 131 вируса (трянци, какво ли не). Н ми е ясно с другите две какво да правя( Gmen, combofix)

[Night_Raven]

С Gmer просто сканирай. То ако има нещо опасно, ще го маркира в червено и ще ти предложи да го премахне. ComboFix не е толкова наложително. Него просто го пускаш и чакаш да приключи.

[coojoe_213]

Gmer не показа нищо в червен цвят, обаче погледни това. Опасно ли е, има ли начин да бъде премахнато?

[Cheers]

Gmer не показа нищо в червен цвят, обаче погледни това. Опасно ли е, има ли начин да бъде премахнато?

Ако е свършило сканирането, натисна ли NEXT на SUPERAntiSpyware? На последната снимка се вижда, че използваш тази програма.

 

Прав си проверих я с Spyware и ми искара 131 вируса (трянци, какво ли не). Н ми е ясно с другите две какво да правя( Gmen, combofix)

Хубаво ще бъде, ако пишеш пълното име на програмата, с която работиш. Би ли уточнил какво имаш предвид, когато споменаваш името "Spyware", с което си проверил.

[coojoe_213]

Ако е свършило сканирането, натисна ли NEXT на SUPERAntiSpyware? На последната снимка се вижда, че използваш тази програма.

 

 

Хубаво ще бъде, ако пишеш пълното име на програмата, с която работиш. Би ли уточнил какво имаш предвид, когато споменаваш името "Spyware", с което си проверил.

SUPERAntiSpyware.Обнових я задължително, дадох next..., след което явно се постави под карантина. Обаче нарочно потретих сканирането и ми се показва онова по горе в скрииншота, което е.

[Cheers]

Пробвай тогава да рестартираш Windows в Safe Mode и след това да пуснеш пак SUPERAntiSpyware. По-добре би било да имаш и Spybot-Search & Destroy - опитай в нормален режим, а ако пак не се маха този Adware, пусни сканиране в Safe Mode. Spybot-Search & Destroy за мен е "must have".