Jump to content

Препоръчан пост

  • Отговори 61
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

ТОП потребители в тази тема

Публикувани изображения

Ха! Че как ще преинсталираш без инсталационен диск? :)

Иначе ако намериш такъв, можеш да си отстраниш проблема, без да преинсталираш. Разбира се ти си прецени какво искаш да правиш.

Link to comment
Сподели другаде

@vipaaa - само да вметна, че ако работата хептем се закучи (да приемем, че още не е...) и решиш да преинсталираш, не е нужно на броиш грешни пари на някоя фирма да свърши работата (май такава ти е "стратегията"). Стига да се сдобиеш с читав инсталационен диск на Windows XP, можеш и сам да извършиш преинсралацията. Night_Raven е написал едно чудесно ръководство за целта: цък :peace:
Link to comment
Сподели другаде

Чакай, чакай сега... Вече можеш да стартираш приложения в нормален режим? Ако е така, дай пак логове от HiJackThis и GMER. Дай и лога от сканирането с Malwarebyte (намира се в таба Дневници/Logs), та да видим какво се е махнало... Освен това, можеш да приложиш сканиране и със SUPERAntiSpyware Free и пак да дадеш лога:

1. Инсталираш програмата и обновяваш дефинициите й (Update)

2. Цъкаш Scan your Compute.

3. Слагаш отметките пред всички дялове.

4. Избираш Perform Complete Scan и цъкаш Next. (мисля, че няма да навреди, нищо че отнема малко повече време)

5. На откритите заплахи цъкаш Next.

6. Ако програмата ти предложи да рестартираш, съгласи се и рестартирай веднага.

7. После дай лога от дканирането: Preferences => Statistics/Logs => маркираш лога от сканирането и натискаш View log... => Копираш съдържанието му в коментара си.

 

И двете програми нямат резидентен модул в безплатните си версии и НЕ могат да се използват вместо антивирусни. Те са само допълнение за периодични сканирания.

 

Edit: Ами да, не е лоша... слушка. :) Добро безплатно решение за защита е, но се иска и ти да си опичаш малко акъла..., че виждаш какво става. :)

Link to comment
Сподели другаде

мерси много момчета .. след малко ще ви дам логове ;) а и оште нещо може ли да си сложа AVAST и да си сложа НОД ще си прече ли взаимно , шот аз кат гледам Avast не е точно като анти-вирусна програма като например НОД или Нортан и т.н.
Link to comment
Сподели другаде

Night_Raven не случайно попита за инсталационен диск...

Трябва да се поправят MBR секторите, защото има остатъци от премахнат MBR rootkit.

Сканирането с разни програми няма да помогне за целта.

 

Поздрави !

Link to comment
Сподели другаде

Никога не използвай повече от една резидентна антивирусна. Или само avast! или само NOD32, но не и двете. Махаш едната и слагаш другата.

Avast! Е антивирусна програма, независимо на какво ти прилича. Ако тази прогрма не може да се нарече антивирусна, то значи никоя друга също не може... :)

Link to comment
Сподели другаде

това е от HijackThis 2.0.2:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:57:15, on 27.11.2009 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16915)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\PowerISO\PWRISOVM.EXE

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\BitComet\BitComet.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Datecs\FlexType 2K\FType2K.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\hi\Desktop\tutifruti.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O1 - Hosts: 209.44.111.57 alarm-securit

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.7.16.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [bitComet] "C:\Program Files\BitComet\BitComet.exe" /tray

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: FlexType 2K.lnk = C:\Program Files\Datecs\FlexType 2K\FType2K.exe

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.7.16.dll/206 (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

 

--

End of file - 8577 bytes

 

 

това е от GMER :

 

GMER 1.0.15.15252 - http://www.gmer.net

Rootkit quick scan 2009-11-27 19:58:52

Windows 5.1.2600 Service Pack 2

Running: gmer.exe; Driver: C:\DOCUME~1\hi\LOCALS~1\Temp\pxtdapoc.sys

 

 

---- Disk sectors - GMER 1.0.15 ----

 

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x996055b size 0x1ac

Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

 

---- EOF - GMER 1.0.15 ----

 

 

това е от MBR :

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

malicious code @ sector 0x996055b size 0x1ac !

copy of MBR has been found in sector 62 !

PE file found in sector at 0x0996055B !

Link to comment
Сподели другаде

Опитай се да поправиш това отново в HijackThis:

O1 - Hosts: 209.44.111.57 alarm-securit

Щом като нямаш инсталационен диск, ще трябва да минем по трудния начин. Прочети и следвай внимателно инструкциите:

1) изтегли този файл и го запази на работния плот;

2) спри всички антивирусни, които имаш активни, и всякакви други излишни програми. Изтегли ComboFix (ако случайно вече имаш някаква версия, я замени) и го запази на десктопа. При поява на прозореца за запазване на файла в браузъра, моля, преименувай "ComboFix" на "Combo-Fix" (т.е. добави тире между "Combo" и "Fix"). Важно е файлът да бъде преименуван при запазването му, а не след пълното му изтегляне. Това е превантивна мярка, за всеки случай.

3) провлачи първия изтеглен файл (WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe) върху иконата на ComboFix, както е показано на картинката:

http://www.softvisia.com/users/Night_Raven/Security/cfsdnd2.gif

4) изчакай ComboFix да зареди и кликни Yes на първия прозорец;

5) ще се появи прозорец със син фон, след което ще се създаде точка на възстановяване и копие на регистратурата;

6) кликни OK на следващото съобщение и Yes на последвалия го прозорец; това ще инсталира Recovery Console;

7) след като бъде инсталирана Recovery Console ComboFix ще те попита дали искаш да продължиш със сканиране - кликни No.

8) рестатирай компютъра и бъде нащрек. Преди да зареди Windows (общо взето когато натискаш F8) ще се появи стартово меню с опции за стартиране на Recovery Console или зареждане на операционната система. Избери опцията за стартиране на Recovery Console и натисни Enter. Това меню ще стои на екрана само 2 секунди, така че трябва да си бързичък. Ако го изтрърваш и Windows се стартира, просто рестартирай компютъра и опитай пак.

9) ще се стартира Recovery Console. Изчакай да се зареди екрана с избор на инсталирана операционна система:

http://www.softvisia.com/users/Night_Raven/Security/RecoveryConsole/03.png

Най-вероятно ще имаш само един избор, така че натисни клавиш 1 и след това Enter.

Ще ти бъде поискана паролата на администраторския акаунт. Ако си указал такава, я въведи. Ако не си указвал такава, просто натисни Enter.

Вече можеш да въвеждаш команти. Напиши fixmbr и натисни Enter. Ще се появи предупреждение. Натисни клавиш Y и отново Enter.

Напиши команда exit и натисни Enter. Системата ще се рестартира.

 

Дай отново лог от MBR или GMER.

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...

×
×
  • Създай ново...