Проблем със Security Central

[vipaaa]

няям ...май ша се прейнсталва windowsa.

[Night_Raven]

Ха! Че как ще преинсталираш без инсталационен диск?

Иначе ако намериш такъв, можеш да си отстраниш проблема, без да преинсталираш. Разбира се ти си прецени какво искаш да правиш.

[vipaaa]

мое ли да използвам тая програма Malwarebytes' Anti-Malware като сам в safe mode за да прейнстална Security , ще ми свърши ли работа.

[Night_Raven]

Дали ще свърши "раота" не знам, но може да свърши "работа". Можеш да пробваш, но е възможно гадинката да е прекалено упорита.

[vipaaa]

можеш ли на кратко да ми кажеш какво да права с Malwarebytes' Anti-Malware.

[Night_Raven]

Обновяваш и пускаш бързо сканиране.

[draco_volans]

@vipaaa - само да вметна, че ако работата хептем се закучи (да приемем, че още не е...) и решиш да преинсталираш, не е нужно на броиш грешни пари на някоя фирма да свърши работата (май такава ти е "стратегията"). Стига да се сдобиеш с читав инсталационен диск на Windows XP, можеш и сам да извършиш преинсралацията. Night_Raven е написал едно чудесно ръководство за целта: цък

[vipaaa]

мерси много , оправих си компа с тая програма , а може да се използва като антивирусна нали ?

А и да те питам тая програма AVAST добра програма ли е ?

[draco_volans]

Чакай, чакай сега... Вече можеш да стартираш приложения в нормален режим? Ако е така, дай пак логове от HiJackThis и GMER. Дай и лога от сканирането с Malwarebyte (намира се в таба Дневници/Logs), та да видим какво се е махнало... Освен това, можеш да приложиш сканиране и със SUPERAntiSpyware Free и пак да дадеш лога:

1. Инсталираш програмата и обновяваш дефинициите й (Update)

2. Цъкаш Scan your Compute.

3. Слагаш отметките пред всички дялове.

4. Избираш Perform Complete Scan и цъкаш Next. (мисля, че няма да навреди, нищо че отнема малко повече време)

5. На откритите заплахи цъкаш Next.

6. Ако програмата ти предложи да рестартираш, съгласи се и рестартирай веднага.

7. После дай лога от дканирането: Preferences => Statistics/Logs => маркираш лога от сканирането и натискаш View log... => Копираш съдържанието му в коментара си.

 

И двете програми нямат резидентен модул в безплатните си версии и НЕ могат да се използват вместо антивирусни. Те са само допълнение за периодични сканирания.

 

Edit: Ами да, не е лоша... слушка. Добро безплатно решение за защита е, но се иска и ти да си опичаш малко акъла..., че виждаш какво става.

[nikikom]

Слагай Avast.

Това което бих ти предложил е да си почистиш System Restore.

[vipaaa]

мерси много момчета .. след малко ще ви дам логове а и оште нещо може ли да си сложа AVAST и да си сложа НОД ще си прече ли взаимно , шот аз кат гледам Avast не е точно като анти-вирусна програма като например НОД или Нортан и т.н.

[B-boy/StyLe/]

Night_Raven не случайно попита за инсталационен диск...

Трябва да се поправят MBR секторите, защото има остатъци от премахнат MBR rootkit.

Сканирането с разни програми няма да помогне за целта.

 

Поздрави !

[draco_volans]

Никога не използвай повече от една резидентна антивирусна. Или само avast! или само NOD32, но не и двете. Махаш едната и слагаш другата.

Avast! Е антивирусна програма, независимо на какво ти прилича. Ако тази прогрма не може да се нарече антивирусна, то значи никоя друга също не може...

[vipaaa]

това е от HijackThis 2.0.2:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:57:15, on 27.11.2009 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16915)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\PowerISO\PWRISOVM.EXE

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\BitComet\BitComet.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Datecs\FlexType 2K\FType2K.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\hi\Desktop\tutifruti.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O1 - Hosts: 209.44.111.57 alarm-securit

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.7.16.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [bitComet] "C:\Program Files\BitComet\BitComet.exe" /tray

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: FlexType 2K.lnk = C:\Program Files\Datecs\FlexType 2K\FType2K.exe

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.7.16.dll/206 (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

 

--

End of file - 8577 bytes

 

 

това е от GMER :

 

GMER 1.0.15.15252 - http://www.gmer.net

Rootkit quick scan 2009-11-27 19:58:52

Windows 5.1.2600 Service Pack 2

Running: gmer.exe; Driver: C:\DOCUME~1\hi\LOCALS~1\Temp\pxtdapoc.sys

 

 

---- Disk sectors - GMER 1.0.15 ----

 

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x996055b size 0x1ac

Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

 

---- EOF - GMER 1.0.15 ----

 

 

това е от MBR :

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

malicious code @ sector 0x996055b size 0x1ac !

copy of MBR has been found in sector 62 !

PE file found in sector at 0x0996055B !

[Night_Raven]

Опитай се да поправиш това отново в HijackThis:

O1 - Hosts: 209.44.111.57 alarm-securit

Щом като нямаш инсталационен диск, ще трябва да минем по трудния начин. Прочети и следвай внимателно инструкциите:

1) изтегли този файл и го запази на работния плот;

2) спри всички антивирусни, които имаш активни, и всякакви други излишни програми. Изтегли ComboFix (ако случайно вече имаш някаква версия, я замени) и го запази на десктопа. При поява на прозореца за запазване на файла в браузъра, моля, преименувай "ComboFix" на "Combo-Fix" (т.е. добави тире между "Combo" и "Fix"). Важно е файлът да бъде преименуван при запазването му, а не след пълното му изтегляне. Това е превантивна мярка, за всеки случай.

3) провлачи първия изтеглен файл (WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe) върху иконата на ComboFix, както е показано на картинката:

http://www.softvisia.com/users/Night_Raven/Security/cfsdnd2.gif

4) изчакай ComboFix да зареди и кликни Yes на първия прозорец;

5) ще се появи прозорец със син фон, след което ще се създаде точка на възстановяване и копие на регистратурата;

6) кликни OK на следващото съобщение и Yes на последвалия го прозорец; това ще инсталира Recovery Console;

7) след като бъде инсталирана Recovery Console ComboFix ще те попита дали искаш да продължиш със сканиране - кликни No.

8) рестатирай компютъра и бъде нащрек. Преди да зареди Windows (общо взето когато натискаш F8) ще се появи стартово меню с опции за стартиране на Recovery Console или зареждане на операционната система. Избери опцията за стартиране на Recovery Console и натисни Enter. Това меню ще стои на екрана само 2 секунди, така че трябва да си бързичък. Ако го изтрърваш и Windows се стартира, просто рестартирай компютъра и опитай пак.

9) ще се стартира Recovery Console. Изчакай да се зареди екрана с избор на инсталирана операционна система:

http://www.softvisia.com/users/Night_Raven/Security/RecoveryConsole/03.png

Най-вероятно ще имаш само един избор, така че натисни клавиш 1 и след това Enter.

Ще ти бъде поискана паролата на администраторския акаунт. Ако си указал такава, я въведи. Ако не си указвал такава, просто натисни Enter.

Вече можеш да въвеждаш команти. Напиши fixmbr и натисни Enter. Ще се появи предупреждение. Натисни клавиш Y и отново Enter.

Напиши команда exit и натисни Enter. Системата ще се рестартира.

 

Дай отново лог от MBR или GMER.