Jump to content

Препоръчан пост

Здравейте, имам проблем и се нуждая от помощ от някого, който е по-навътре в нещата от моите скромни познания.

 

Всъщност нещата стоят така:

 

Преди около месец започнах да имам проблеми с троянци...антивирусната ми NOD32(не оригинална, за жалост) се оказа безпомощна и докато се наканя да потърся помощ, загубих връзка към интернет и контрол над половината си компютър...което довете до преинстал с формат.

 

След качването на новия Windows, гледах да качвам най-предпазливо програми и използвах Panda Antivirus(оригинална версия). След сканиране, намери само adware и го премахна. За жалост, договорът изтичаше в края на 2008 и ми се наложи да мина на Avira Free edition.

 

От тук започва и проблемът:От 1-2 дена Avira започна да ми лови някакв троянец...ето event log-a:

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'

detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4DK363M9\x[1].

Action performed: Delete file

 

и

 

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'

detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4DK363M9\x[1].

Action performed: Delete file

 

Както се вижда, дадох да изтрие файловете, но след около 5 минути припищя отново...пак същите мерки, нямаше нови аларми. На следващия ден отново 2 пъти ми показа същите файлове със същият троянец и след 2-рия път отново спря.

 

Имам чувството, че е един порочен кръг и всъщност вирусът си остава...освен това след известно време работа, sound driver-ите ми просто спират да функционират. Не знам дали има нещо общо, но се появи след като се появи и троянецът и реших да го спомена.

 

Ще съм адски благодарен, ако получа помощ. Имам само HiJackthis на компютъра, но ще изтегля каквото е нужно.

Link to comment
Сподели другаде

  • Отговори 62
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

ТОП потребители в тази тема

Публикувани изображения

Сканирай с MalwareBytes' Anti-Malware:

 

1. Изтеглете: MalwareBytes' Anti-Malware

2. Инсталирайте го.

3. Кликвате на иконата “Malwarebytes’ Anti-Malware“.Първото и най-важно нещо е да отидете в категорията “Update” и да изберете бутончето “Check For Updates“.

4. След това се насочете към секцията “Scanner” и изберете опцията “Perform quick scan” (особено ако за първи път стартирате приложението.Щраквате на бутончето “Scan“, посочвате кои дялове ма компютъра да бъдат проверени.Можете да маркирате и само дяла на който е инсталирана Операционната Система и натискате “Start Scan“.

5. След края на проверката ще получите или съобщение, че вредители не са намерени или ще получите възможност да ги маркирате и изтриете.

6. Най-накрая ще получите лог файл с извършените процедури. Моля, копирайте го и го поставете тук, за да видим какво е станало.

 

След, като приключиш с MalwareBytes' Anti-Malware:

 

Изтеглете ESET SysInspector

http://www.eset.bg/download/sysinspector.html

 

- Стартирайте програмата чрез SysInspector.exe

Програмата ще започне да събира информация за ситуацията на машината Ви.

- Когато "Инспекторът" е готов и log файлът - генериран , изберете File > Save Log

- Потвърдете желанието си

 

Изберете да запазите файла някъде и след това го прикрепете към поста си.

Link to comment
Сподели другаде

Също така:

 

1. Спри System Restore:

 

Десен бутон на My Computer => Properties => System Restore => слагаш отметка пред Turn Off System Restore

 

Start => run => cleanmgr => More Options => System Restore => Clean UP

 

2. Почисти временните файлове с ATF-CLEANER.

 

(Избираш Select All => само махаш отметката пред Prefetch => Empty Selected).

 

3. Коригирай някои от настройките на програмата (моята гледна точка за тях) и пусни пълна проверка на компютъра си.

 

Отворете програмата с двоен клик върху иконката в трея и след това кликнете на configuration горе вдясно. Сложете отметка пред expert mode.

 

-SCANNER

 

Scan:

 

Files изберете All files

Additional settings махнете отметката само пред ignore offline files

 

http://www.picvalley.net/u/1488/616647586.JPG

 

Action for concerning files

 

изберете Automatic

поставете отметка пред Copy file to quarantine

 

Primary action изберете delete

 

http://img235.imageshack.us/img235/6568/83876555vh8.jpg

http://img235.imageshack.us/img235/83876555vh8.jpg/1/w682.png

 

Further action махнете отметката пред Acoustic Alert

 

http://img228.imageshack.us/img228/8798/44464860ic6.jpg

 

Archives поставете всички отметки, включително All archives types

 

http://img139.imageshack.us/img139/6607/64501054oq3.jpg

 

Heuristic тук е по-желание, High detection level е максималното ниво, но има опастност от някоя фалшива тревога, на нивото по подразбиране Medium detection level също е добре

 

http://img139.imageshack.us/img139/2182/21955006as7.jpg

 

-GUARD

 

Scan:

 

Scan mode изберете Scan when reading and writing

Files изберете All files

Archives поставете отметка пред scan archives

 

http://img139.imageshack.us/img139/7452/73386351zx7.jpg

 

Action for concerning files махнете отметката пред Acoustic Alert

 

http://img139.imageshack.us/img139/5207/71032275wn2.jpg

 

Heuristic ситуацията е същата както по-горе

 

http://img139.imageshack.us/img139/5483/86206179ap3.jpg

 

-GENERAL

 

Extended threat categories поставете отметка пред select all

 

http://img232.imageshack.us/img232/7280/85255026ft4.jpg

 

Security поставете всички отметки (първата можете да я махнете)

 

http://img139.imageshack.us/img139/4465/11332403et2.jpg

 

Не забравяйте накрая да натиснете ОК

Link to comment
Сподели другаде

Прилагам 2-та лога от програмите, които maniac написа. В момента сканирам компюъра с новите настройки на авира, изпълних и другите указания.

 

 

Редакция: Сега видях, че две аларми не са от Temporary internet files(между другото, ползвам Mozilla Firefox+Noscript, нямам нищо общо с IE).

 

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'

detected in file 'C:\WINDOWS.0\system32\x.exe.

Action performed: Delete file

 

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'

detected in file 'C:\WINDOWS.0\system32\x.exe.

Action performed: Delete file

 

Не са се появявали втори път тези 2 файла, надявам се и тази информация да е полезна.

SysInspector_NONAME_090122_1115.zip

mbam_log_2009_01_22__11_10_08_.txt

Link to comment
Сподели другаде

Препоръчвам ти да деинсталираш следните приложения:

ICQ Toolbar

J2SE Runtime Environment 5.0 Update 7

Skins

Adobe Reader 7.0.7

 

ICQ Toolbar и Skins са ненужни, а J2SE Runtime Environment 5.0 Update 7 и Adobe Reader 7.0.7 са стари и уязвими приложения.

Link to comment
Сподели другаде

Дам...отново проблем от който се опасявах:

 

1. Спри защитата в реално време на антивирусната си програма.

 

Изтегли:

 

 

 

SmitfraudFix

 

Работа с програмката:

 

Стартирайте я...тя ще създаде папка с името на програмата, отваряте я и търсите файл с името Smitfraudfix.cmd (разширението сигурно няма да видите, но иконката на файла е едно назъбено колело)...преди да го стартирате деактивирайте наличната си антивирусна програма!

 

http://siri.urz.free.fr/Fix/Bitmaps/Folder.png

 

След като ти се появи менюто от снимката...изберете бутона 2 за да започне проверката...

 

http://siri.geekstogo.com/Bitmaps/Fix01b.png

 

По някое време програмката ще ви пита дали да почисти регистрите...Изберете с Y и кликнете Enter...

 

http://siri.geekstogo.com/Bitmaps/Fix02b.png

 

След края на сканирането ще ти ви отвори текстов файл на извършената процедура и премахнатите файлове и инфектирани ключове от регистъра...Ще ви изчезне и WALLPAPER-a (десктоп тапета) да не се учудите!

 

Копирайте съдържанието на лог файла в следващия си пост.

 

SDFIX

 

Работа с програмата:

 

Използвайте акаунт с администраторски права.

Изтеглете програмата и стартирайте иконата на SDFIX.

Стартирайте я => изберете къде да я разархивирате. (например C:\SDFix)

Рестартирайте компютъра си в "безопасен режим" (save mode - припомпвате бутона F8 по време на рестарт на машината и избирате Safe Mode)

Сега стартирайте файла RunThis.bat (от паптака, където сте разархивирали SDFIX)

На този прозорец изберете Y за да продължите.Програмата ще започне проверка

 

http://img.bleepingcomputer.com/swr-guides/sdfix/scanning2.jpg

 

След проверката програмата ще поиска рестарт на машината ви.Натиснете някой бутон от клавиатурата за целта.

Накрая отново ще ви се отвори лог файл с изпълнените процедури.

 

Копирайте съдържанието на лог файла в следващия си пост.

 

Combofix

Запази го на десктопа.

 

Веведи следната команда:

 

http://img.photobucket.com/albums/v624/29wood/ka.png

 

"%userprofile%\desktop\combofix.exe" /killall

 

Копирайте съдържанието на лог файла в следващия си пост.

 

2. Генерирай логове от следните програми RSIT, OtlistIt

 

Знам, че всичко това ще отнеме време, но досега само с тях съм почиствал този вирус...Доста комплексна зараза...Trojan.Win32.VB.gyh

Link to comment
Сподели другаде

Времето не е проблем, преинсталацията на windows+програми да не е кратка процедура? : )

 

За жалост сега трябва да тръгвам, ще изпълня всички указания като се прибера. Съжалявам, че толкова разхвърляно във времето отговарям, заета работа : ) Благодаря много за помоща до тук!

Link to comment
Сподели другаде

Нещо не виждам бутончето "Редактирай", та ще трябва да добавя втори пореден пост...

 

Прикачвам двата лога, силно се надявам, че гадината се е махнала и е оставила на мира горкия ми Windows : (

 

 

Авирата измрънка ето това снощи:

Virus or unwanted program 'SPR/Tool.Hardoff.A [riskware]'

detected in file 'C:\Program Files\Mozilla Firefox\SmitfraudFix\restart.exe.

Action performed: Deny access

 

Virus or unwanted program 'HIDDENEXT/Crypted [heuristic]'

detected in file 'I:\INSTALL\Virus fight\SmitfraudFix.exe.

Action performed: Delete file

И още едно-две подобни за други файлове от Smitfraudfix-a, но предположих, че самaта програма работи по специфичен начин, за да се бори с вирусите и дадох Ignore(явно по някое време по-късно съм дал по навик Delete/Deny Access). Все пак реших да постна, за всеки случай. (всичко това се случи поне 30-ина мин след като прикючих сканирането и почистването с програмите, така че не е повлияло на самата им работа)

 

Редакция:Бях забравил и лог-а от по-горните програми.

log2.txt

OTListIt2.Txt

reportSD.txt

rapport.txt

ComboFix.txt

Link to comment
Сподели другаде

Отвори HiJackThis и избери Do a system scan only. Сложи отметки на следните редове:

 

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe (file missing)

O23 - Service: VMwareService - Unknown owner - C:\WINDOWS.0\system\VMwareService.exe (file missing)

 

И накрая избери Fix Checked.

 

В C:\ има един архив на име x.rar, ако не е твое дело, сложи го в папката Qoobox, която също се намира в C:\ и я архивирай. Накрая я прикачи към следващия си пост в темата.

 

Имаш няколко заключени регистъра, затова използвай:

http://kixhelp.com//wr/files/mb/fixacl.exe

 

за да им върнеш правата.

Link to comment
Сподели другаде

Авирата измрънка ето това снощи:

Virus or unwanted program 'SPR/Tool.Hardoff.A [riskware]'

detected in file 'C:\Program Files\Mozilla Firefox\SmitfraudFix\restart.exe.

Action performed: Deny access

 

Virus or unwanted program 'HIDDENEXT/Crypted [heuristic]'

detected in file 'I:\INSTALL\Virus fight\SmitfraudFix.exe.

Action performed: Delete file

И още едно-две подобни за други файлове от Smitfraudfix-a, но предположих, че самaта програма работи по специфичен начин, за да се бори с вирусите и дадох Ignore(явно по някое време по-късно съм дал по навик Delete/Deny Access). Все пак реших да постна, за всеки случай. (всичко това се случи поне 30-ина мин след като прикючих сканирането и почистването с програмите, така че не е повлияло на самата им работа)

 

Аз затова бях посъветвал:

 

1. Спри защитата в реално време на антивирусната си програма.

 

Лично аз не виждам място за притеснение в логовете (поне тези които са успяли да се извършат успешно)...

 

Не отварям лога с OtMoveIt2...Може при мен да е проблема. Не съм сигурен.

 

Отвори Notepad и въведи:

 

Killall::

File::
C:\WINDOWS\zip.exe
C:\WINDOWS.0\VFIND.exe
C:\WINDOWS.0\SWXCACLS.exe
C:\WINDOWS.0\SWSC.exe
C:\WINDOWS.0\SWREG.exe
C:\WINDOWS.0\sed.exe
C:\WINDOWS.0\NIRCMD.exe
C:\WINDOWS.0\grep.exe
C:\WINDOWS.0\fdsv.exe
C:\WINDOWS.0\system32\tmp.txt
C:\WINDOWS.0\system32\PavSRK.sys
C:\WINDOWS.0\system32\PavTPK.sys

Folder::
C:\Program Files\trend micro
C:\rsit
C:\SDFix

Driver::
PavSRK
PavTPK

 

Запази файла с име CFScript.txt и го провлачи с мишката в иконата на Combofix.

 

http://img522.imageshack.us/img522/482/cfscriptyr1.gif

 

Това ще изтрие остатъците от тулчетата, Панда антивирус, Тренд Микро...

 

Архивирай и прикачи папката (Qoobox), както те помоли Fixer.

 

След това доизчисти инструментите с които сме работили =>

 

http://forums.softvisia.com/index.php?s=&a...ost&p=63356

 

Изчисти временните файлове...с ATF-CLEANER или CCLEANER, спри и пусни System Restore, обнови дефинициите на Avira и пусни нова пълна проверка.

 

Сканирай с предложените от Night_Raven програми (вече имаш Malwarebytes' Anti-Malware)...Сканирай и с другата - SUPERAntispyware...

 

http://forums.softvisia.com/index.php?s=&a...ost&p=63723

 

Изтегли и инсталирай всички всички важни актуализации за Операционната Система.

 

:thumbsup:

Link to comment
Сподели другаде

http://rapidshare.com/files/188607667/Qoobox.rar.html

 

</a>

 

Беше по-голям от максималния размер за качване във форума, затова използвах Rapidshare...засега май всичко изглежда стабилно, дано всичко се е изчистило(май някаква глупава инсталация на Flextype ми е лепнала цялата тая гадост ... мразя я тая програма вече двойно повече). Благодаря много за помоща!

 

 

П.П. онова VMware май си беше точно от троянеца файл, но Anit-Malware+Hijackthis махнаха всичко, което намериха за файла и сега Hijackthis не намира процеса/service-а отново, дори след 1-2 рестарта или след известно време.

Link to comment
Сподели другаде

  • 3 weeks later...

Извинявам се, че пак ви занимавам, но бях сбъркал и вирусът не се е изчистил или съм го пипнал отново. Знам, че преди доста време е последният пост, но на следващия ден отново започнаха съобщения за вируси, пак с подобни файлове...но нямах време да седна и да пиша отново по темата.

 

Virus or unwanted program 'TR/Crypt.ULPM.Gen [trojan]'

detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OPSL0T0V\a[1].

Action performed: Delete file

 

Virus or unwanted program 'TR/Crypt.ULPM.Gen [trojan]'

detected in file 'C:\WINDOWS.0\system32\45.scr.

Action performed: Delete file

 

Virus or unwanted program 'PCK/PESpin [packer]'

detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0LIR8167\x[1].

Action performed: Delete file

 

Virus or unwanted program 'WORM/Kido.FO [worm]'

detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6A95L1NN\xyxu[1].png.

Action performed: Delete file

 

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'

detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WFSH8FKF\x[1].

Action performed: Delete file

 

 

Както се вижда, пак съм сгафил нещо и ме заляха съобщения, че и този път не само за 1 вирус...Да повторя цялата процедура с Combofix и другите?Или да пробвам нещо друго?

 

За информация, не съм теглил съмнителни .exe-та(уж), единственото, за което съм ползвал интернета, е WoW и четене на неща по интернет, така че нямам никаква идея как може да се е пръкнал пак. :crosseyes1: Добра идея ли е да сложа firewall, различен от windows-кия?(Чувал съм, че има програми, които подържат само тази опция, без да се бият с Avira-та за вирусите)

 

 

Редакция:Забравих да добавя - след всяка аларма пусках ATF-cleaner със същите настройки, които ме бяхте посъветвали. След това и сканирах с Malwarebytes' Anti-Malware, който всеки път твърдеше, че системата ми е чиста.

Link to comment
Сподели другаде

По-принцип обичам сам да анализирм логовете, но можеш да пробваш един универсален подход.

 

1. Спри System Restore

 

2. Обнови и провери с Malwarebytes' Anti-Malware (още веднъж) и с SUPERAnstispyware

 

3. Отвори Notepad и въведи:

 

File::
c:\windows\system32\winhelp.exe
c:\windows\system32\hellfire.exe
c:\windows\system\hellfire.exe
c:\windows\system32\winssv.exe
c:\windows\system32\LiveMssngr.exe
c:\windows\system32\sysmsvc.exe
c:\windows\system32\quicktime.exe
c:\windows\system32\ntlansec.exe
c:\windows\system32\open.exe
c:\windows\system32\wt.exe
c:\windows\system32\x.exe
c:\windows\system32\y.exe
c:\windows\system32\i
c:\windows\system\netstat.exe
c:\windows\Tasks\At1.job
C:\WINDOWS\system32\drivers\etc\hosts

 

Запази файла като CFScript и го провлачи в иконата на ComboFix.

 

4. Възстанови оригиналния файл hosts.ini...

 

Изтегли това и го разархивирай в папка C:\windows\system32\drivers\etc

 

5. Обнови версиите на инсталираните програми => особено на Java, Flash player и Adobe Acrobat, както и самия Windows:

 

Информацията е взета от блогът на Radu (мисля, че беше от екипа на support team-a на Avira)...

 

http://www.faravirusi.com/2008/12/07/troja...de-dezinfectie/

 

6. Все пак няма да е зле да направиш и една проверка в Safe Mode с Smitfraudfix и SDFix. :thumbsup:

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...

×
×
  • Създай ново...