И аз хванах вирус

jelio_jelev · Декември 30, 2009

Здравейте колеги съфорумци!

Преди седмица-две забелязах, че свободното ми пространство на диска рязко е намаляло.

Поразрових се и установих, че във всяка една папка има по два файла със същото име като самата папка. Единия е .rar, а другия е винаги различен. Или е .exe или .bat, .scr или незнам си още какво. По размер са около 500 kB. Но знаете в директорията на Уиндоуса колко папки и подпапки има и във всяка от тях тези два файла. Аз ги трия те се появяват отново. Рекох си ще преинсталирам, то и без това му беше време вече, че взимаше да се задъхва напоследък. Така и направих. Затрих целия хард. Направих партишъните отново и понеже имам снимка, която съм ползвал и преди без никакви проблеми, го възстанових от нея. Но уви. Файловете се появиха пак. Бях с касперски, но започнах да се съмнявам, че проблема е от него и го махнах. Сложих Авира същата работа. Сканирах и с Malwarebytes' Anti-Malware и SUPERAntiSpyware Free Edition. Те засякоха уж нещо, уж го изтриха, но резултата е същия. Незнам вече какво да правя. Давайте съвети моля.

Предварително Ви благодаря!

B-boy/StyLe/ · Декември 30, 2009

Много прилича на някаква нова версия на червея Brontok (или подобен).

Направете една проверка с това:

http://www.trendmicro.com/global/en/images/header-logo.gif

Изтеглете следните 3-части:

[*]Sysclean Package

[*]Virus Pattern Files - Official Pattern Release

[*]Spyware Pattern Files - Detection and Cleanup (Trend Micro Anti-Spyware) – Ssapiptn.Da5

Направете папка на дял C:\ (или място по-избор) с име TrendMicro

Копирайте там и 3-те изтеглени файлове.

Разархивирайте вирусните и антишпионските дефиниции.

Стартирайте sysclean.com => уверете се, че следните отметки са поставени:

http://img293.imageshack.us/img293/6662/74939363qc7.jpg

Изберете бутона SCAN.

След края на проверката, отворете отново папката C:\TrendMicro и проверете съдържанието на лог файла sysclean.log

jelio_jelev · Декември 30, 2009

B-boy/StyLe/ благодаря за бързия отговор.

Направих това което ме посъветва. Разгледах и лог файла, но да си призная нищо не разбрах. Как да разбера дали съм се оттървал от вируса. Файловете все още си стоят там и тъй като е невъзможно да ги изтрия един по един дали не трябва да го възстановя пак от снимката?

IVAN · Декември 30, 2009

Най-добре копираш съдържанието на файла тука, като коментар.

B-boy/StyLe/ · Декември 30, 2009

Дали не можеш да качиш някой от тези файлове на адрес http://www.virustotal.com и да публикуваш резултатите от проверката за да знаем коя програма го лови и какво е името на вируса.

jelio_jelev · Декември 30, 2009

Това е от .exe файла:

Antivirus Version Last Update Result

a-squared 4.5.0.43 2009.12.30 Trojan.Win32.KillAV!IK

AhnLab-V3 5.0.0.2 2009.12.30 -

AntiVir 7.9.1.122 2009.12.30 -

Antiy-AVL 2.0.3.7 2009.12.30 -

Authentium 5.2.0.5 2009.12.30 -

Avast 4.8.1351.0 2009.12.30 -

AVG 8.5.0.430 2009.12.30 -

BitDefender 7.2 2009.12.30 -

CAT-QuickHeal 10.00 2009.12.30 -

ClamAV 0.94.1 2009.12.30 -

Comodo 3417 2009.12.30 -

DrWeb 5.0.1.12222 2009.12.30 -

eSafe 7.0.17.0 2009.12.29 -

eTrust-Vet 35.1.7206 2009.12.30 -

F-Prot 4.5.1.85 2009.12.30 -

F-Secure 9.0.15370.0 2009.12.30 -

Fortinet 4.0.14.0 2009.12.30 -

GData 19 2009.12.30 -

Ikarus T3.1.1.79.0 2009.12.30 Trojan.Win32.KillAV

Jiangmin 13.0.900 2009.12.30 -

K7AntiVirus 7.10.934 2009.12.30 -

Kaspersky 7.0.0.125 2009.12.30 Trojan.Win32.AntiAV.enq

McAfee 5847 2009.12.30 BackDoor-EJG

McAfee+Artemis 5847 2009.12.30 BackDoor-EJG

McAfee-GW-Edition 6.8.5 2009.12.30 Heuristic.LooksLike.Trojan.Scar.J

Microsoft 1.5302 2009.12.30 Trojan:Win32/Killav.DR

NOD32 4730 2009.12.30 a variant of Win32/AutoRun.Agent.UD

Norman 6.04.03 2009.12.30 -

nProtect 2009.1.8.0 2009.12.30 -

Panda 10.0.2.2 2009.12.30 Generic Trojan

PCTools 7.0.3.5 2009.12.30 -

Prevx 3.0 2009.12.30 Medium Risk Malware

Rising 22.28.02.04 2009.12.30 -

Sophos 4.49.0 2009.12.30 -

Sunbelt 3.2.1858.2 2009.12.30 -

Symantec 1.4.4.12 2009.12.30 -

TheHacker 6.5.0.3.121 2009.12.30 -

TrendMicro 9.120.0.1004 2009.12.30 -

VBA32 3.12.12.1 2009.12.30 -

ViRobot 2009.12.30.2116 2009.12.30 -

VirusBuster 5.0.21.0 2009.12.30 -

Additional information

File size: 577536 bytes

MD5...: 39ab3b742bbad2c73f8867f5e6ef6107

SHA1..: e8140bf6910f846cab7059a05baab1e9fc57f10c

SHA256: 2e93b04030f38ec144d76a20089ae8802e8e8c4f8ca338738bc247a2c751b050

ssdeep: 6144:aKEGlVcJboOtGY8q75yKC2qJDrNRlpwPBYgZ9fVU93eJwN6QFbSpO4XcA2n

4aA8O:aKr3QboC9qLGKgZKe4HYpHvcbTV

PEiD..: -

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x58c2

timedatestamp.....: 0x496271a5 (Mon Jan 05 20:46:29 2009)

machinetype.......: 0x14c (I386)

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x849e 0x9000 5.87 5dde92e464e339bf326556db2ef89d17

.rdata 0xa000 0x12d0 0x2000 3.28 1ad4e01195078c25f2f4fdff2cc7b20b

.data 0xc000 0x619b8 0x62000 7.99 ec4a4644029bfb0ad2df30ef4a896df0

.rsrc 0x6e000 0x1e6d0 0x1f000 2.90 e1cc4fa3baa1aebbde41b4bd42546761

( 2 imports )

> KERNEL32.dll: GetProcAddress, LoadLibraryA, Sleep, CloseHandle, FreeLibrary, GetTempPathA, GetFileAttributesA, GetComputerNameA, GetCurrentDirectoryA, GetModuleFileNameA, SetErrorMode, WriteFile, GetTickCount, CreateFileA, GetLastError, CreateMutexA, OpenMutexA, VirtualProtect, GetLocaleInfoA, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersionExA, ExitProcess, TerminateProcess, GetCurrentProcess, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, GetACP, GetOEMCP, GetCPInfo, HeapAlloc, VirtualAlloc, HeapReAlloc, RtlUnwind, InterlockedExchange, VirtualQuery, HeapSize, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetSystemInfo

> SHELL32.dll: ShellExecuteA

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=8F91E200005ABE1CD033081843A73000F14F3406' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=8F91E200005ABE1CD033081843A73000F14F3406</a>

Това е от архива:

Antivirus Version Last Update Result

a-squared 4.5.0.43 2009.12.30 -

AhnLab-V3 5.0.0.2 2009.12.30 -

AntiVir 7.9.1.122 2009.12.30 -

Antiy-AVL 2.0.3.7 2009.12.30 -

Authentium 5.2.0.5 2009.12.30 -

Avast 4.8.1351.0 2009.12.30 -

AVG 8.5.0.430 2009.12.30 -

BitDefender 7.2 2009.12.30 -

CAT-QuickHeal 10.00 2009.12.30 -

ClamAV 0.94.1 2009.12.30 -

Comodo 3417 2009.12.30 -

DrWeb 5.0.1.12222 2009.12.30 -

eSafe 7.0.17.0 2009.12.29 -

eTrust-Vet 35.1.7206 2009.12.30 -

F-Prot 4.5.1.85 2009.12.30 -

F-Secure 9.0.15370.0 2009.12.30 -

Fortinet 4.0.14.0 2009.12.30 -

GData 19 2009.12.30 -

Ikarus T3.1.1.79.0 2009.12.30 Trojan.Win32.KillAV

Jiangmin 13.0.900 2009.12.30 -

K7AntiVirus 7.10.934 2009.12.30 -

Kaspersky 7.0.0.125 2009.12.30 -

McAfee 5847 2009.12.30 BackDoor-EJG

McAfee+Artemis 5847 2009.12.30 BackDoor-EJG

McAfee-GW-Edition 6.8.5 2009.12.30 -

Microsoft 1.5302 2009.12.30 Trojan:Win32/Killav.DR

NOD32 4730 2009.12.30 a variant of Win32/AutoRun.Agent.UD

Norman 6.04.03 2009.12.30 -

nProtect 2009.1.8.0 2009.12.30 -

Panda 10.0.2.2 2009.12.30 Generic Trojan

PCTools 7.0.3.5 2009.12.30 -

Prevx 3.0 2009.12.30 Medium Risk Malware

Rising 22.28.02.04 2009.12.30 -

Sophos 4.49.0 2009.12.30 -

Sunbelt 3.2.1858.2 2009.12.30 -

Symantec 1.4.4.12 2009.12.30 -

TheHacker 6.5.0.3.121 2009.12.30 -

TrendMicro 9.120.0.1004 2009.12.30 -

VBA32 3.12.12.1 2009.12.30 -

ViRobot 2009.12.30.2116 2009.12.30 -

VirusBuster 5.0.21.0 2009.12.30 -

Additional information

File size: 443856 bytes

MD5...: 81b6dfdb7d26c3f48c6c57459b608f1e

SHA1..: e53dcabf43ce5b0e219009355b1633205156f993

SHA256: 370f104f491f3dfb237a2ec19dbc2585c24631929112137e990d78a1fc14590f

ssdeep: 12288:WVTvIXDgnb9mlTJ+qqQjCPjkOQjOEr45+qREUuHa9:FDa0r+yjI3mOx5Rf

Sa9

PEiD..: -

PEInfo: -

RDS...: NSRL Reference Data Set

-

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=8F91E200005ABE1CD033081843A730003F509C9D' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=8F91E200005ABE1CD033081843A730003F509C9D</a>

pdfid.: -

trid..: RAR Archive (83.3%)

REALbasic Project (16.6%)

А това е лог файла:

/--------------------------------------------------------------\

| Trend Micro System Cleaner |

| http://www.trendmicro.com |

\--------------------------------------------------------------/

2009-12-30, 16:10:59, Auto-clean mode specified.

2009-12-30, 16:11:00, Initialized Rootkit Driver version 2.2.0.1004.

2009-12-30, 16:11:00, Running scanner "C:\TrendMicro\TSC.BIN"...

2009-12-30, 16:11:16, Scanner "C:\TrendMicro\TSC.BIN" has finished running.

2009-12-30, 16:11:16, TSC Log:

яюD a m a g e C l e a n u p E n g i n e ( D C E ) 6 . 2 ( B u i l d 1 0 1 6 ) ( R C M : 2 . 2 . 0 - 1 0 0 4 )

W i n d o w s X P ( B u i l d 2 6 0 0 : S e r v i c e P a c k 2 )

S t a r t t i m e : A@O40 5:5<2@8 3 0 2 0 0 9 1 6 : 1 1 : 0 1

L o a d D a m a g e C l e a n u p T e m p l a t e ( D C T ) " C : \ T r e n d M i c r o \ T M R D C T . p t n " ( v e r s i o n ) [ f a i l ]

L o a d D a m a g e C l e a n u p T e m p l a t e ( D C T ) " C : \ T r e n d M i c r o \ t s c . p t n " ( v e r s i o n 1 0 7 0 ) [ s u c c e s s ]

C o m p l e t e t i m e : A@O40 5:5<2@8 3 0 2 0 0 9 1 6 : 1 1 : 1 6

E x e c u t e p a t t e r n c o u n t ( 3 0 6 3 ) , V i r u s f o u n d c o u n t ( 0 ) , V i r u s c l e a n c o u n t ( 0 ) , C l e a n f a i l e d c o u n t ( 0 )

2009-12-30, 16:11:16, Running scanner "C:\TrendMicro\VSCANTM.BIN"...

2009-12-30, 17:07:53, Scanner "C:\TrendMicro\VSCANTM.BIN" has finished running.

2009-12-30, 17:07:53, VSCANTM Log:

2009-12-30, 17:07:53, Files Detected:

Report Date : 12/30/2009 16:11:16

VSAPI Engine Version : 8.950-1092

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 731 (504134/504134 Patterns) (2009/12/29) (673100)

Command Line: C:\TrendMicro\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /BK /LR C:\*.* /P=C:\TrendMicro\lpt$vpn.731

C:\My Program\Oxygen\OPM2\launch.exe [TROJ_Generic]

C:\My Program\Serials 2005\Serials2005.exe [PE_Generic.ADV]

C:\My Program\Webteh\BSplayerPro\keygen.exe [TROJ_Generic.ADV]

74081 files have been read.

74081 files have been checked.

74030 files have been scanned.

107150 files have been scanned. (including files in archived)

3 files containing viruses.

Found 3 viruses totally.

Maybe 0 viruses totally.

Stop At: 12/30/2009 17:07:53 56 minutes 35 seconds (3395.67 seconds) has elapsed.(45.837 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2009-12-30, 17:07:53, Files Clean:

Report Date : 12/30/2009 16:11:16

VSAPI Engine Version : 8.950-1092

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 731 (504134/504134 Patterns) (2009/12/29) (673100)

Command Line: C:\TrendMicro\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /BK /LR C:\*.* /P=C:\TrendMicro\lpt$vpn.731

74081 files have been read.

74081 files have been checked.

74030 files have been scanned.

107150 files have been scanned. (including files in archived)

3 files containing viruses.

Found 3 viruses totally.

Maybe 0 viruses totally.

Stop At: 12/30/2009 17:07:53 56 minutes 35 seconds (3395.67 seconds) has elapsed.(45.837 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2009-12-30, 17:07:53, Clean Fail:

Report Date : 12/30/2009 16:11:16

VSAPI Engine Version : 8.950-1092

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 731 (504134/504134 Patterns) (2009/12/29) (673100)

Command Line: C:\TrendMicro\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /BK /LR C:\*.* /P=C:\TrendMicro\lpt$vpn.731

74081 files have been read.

74081 files have been checked.

74030 files have been scanned.

107150 files have been scanned. (including files in archived)

3 files containing viruses.

Found 3 viruses totally.

Maybe 0 viruses totally.

Stop At: 12/30/2009 17:07:53 56 minutes 35 seconds (3395.67 seconds) has elapsed.(45.837 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2009-12-30, 17:07:54, Running scanner "C:\TrendMicro\VSCANTM.BIN"...

2009-12-30, 17:08:07, Scanner "C:\TrendMicro\VSCANTM.BIN" has finished running.

2009-12-30, 17:08:07, VSCANTM Log:

2009-12-30, 17:08:07, Files Detected:

Report Date : 12/30/2009 17:07:55

VSAPI Engine Version : 8.950-1092

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 731 (504134/504134 Patterns) (2009/12/29) (673100)

Command Line: C:\TrendMicro\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /BK /LR D:\*.* /P=C:\TrendMicro\lpt$vpn.731

90 files have been read.

90 files have been checked.

90 files have been scanned.

257 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 12/30/2009 17:08:07 10 seconds (10.20 seconds) has elapsed.(113.367 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2009-12-30, 17:08:07, Files Clean:

Report Date : 12/30/2009 17:07:55

VSAPI Engine Version : 8.950-1092

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 731 (504134/504134 Patterns) (2009/12/29) (673100)

Command Line: C:\TrendMicro\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /BK /LR D:\*.* /P=C:\TrendMicro\lpt$vpn.731

90 files have been read.

90 files have been checked.

90 files have been scanned.

257 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 12/30/2009 17:08:07 10 seconds (10.20 seconds) has elapsed.(113.367 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2009-12-30, 17:08:07, Clean Fail:

Report Date : 12/30/2009 17:07:55

VSAPI Engine Version : 8.950-1092

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 731 (504134/504134 Patterns) (2009/12/29) (673100)

Command Line: C:\TrendMicro\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /BK /LR D:\*.* /P=C:\TrendMicro\lpt$vpn.731

90 files have been read.

90 files have been checked.

90 files have been scanned.

257 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 12/30/2009 17:08:07 10 seconds (10.20 seconds) has elapsed.(113.367 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2009-12-30, 17:08:07, Running scanner "C:\TrendMicro\VSCANTM.BIN"...

2009-12-30, 17:08:09, Scanner "C:\TrendMicro\VSCANTM.BIN" has finished running.

2009-12-30, 17:08:09, VSCANTM Log:

2009-12-30, 17:08:09, Files Detected:

Report Date : 12/30/2009 17:08:07

VSAPI Engine Version : 8.950-1092

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 731 (504134/504134 Patterns) (2009/12/29) (673100)

Command Line: C:\TrendMicro\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /BK /LR E:\*.* /P=C:\TrendMicro\lpt$vpn.731

2 files have been read.

2 files have been checked.

2 files have been scanned.

2 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 12/30/2009 17:08:09 0.03 seconds has elapsed.(16.000 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2009-12-30, 17:08:09, Files Clean:

Report Date : 12/30/2009 17:08:07

VSAPI Engine Version : 8.950-1092

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 731 (504134/504134 Patterns) (2009/12/29) (673100)

Command Line: C:\TrendMicro\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /BK /LR E:\*.* /P=C:\TrendMicro\lpt$vpn.731

2 files have been read.

2 files have been checked.

2 files have been scanned.

2 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 12/30/2009 17:08:09 0.03 seconds has elapsed.(16.000 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2009-12-30, 17:08:09, Clean Fail:

Report Date : 12/30/2009 17:08:07

VSAPI Engine Version : 8.950-1092

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 731 (504134/504134 Patterns) (2009/12/29) (673100)

Command Line: C:\TrendMicro\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /BK /LR E:\*.* /P=C:\TrendMicro\lpt$vpn.731

2 files have been read.

2 files have been checked.

2 files have been scanned.

2 files have been scanned. (including files in archived)

0 files containing viruses.

Found 0 viruses totally.

Maybe 0 viruses totally.

Stop At: 12/30/2009 17:08:09 0.03 seconds has elapsed.(16.000 msec/file)

---------*---------*---------*---------*---------*---------*---------*---------*

2009-12-30, 17:08:09, Running SSAPI scanner ""...

2009-12-30, 17:33:01, SSAPI Log:

SSAPI Scanner Version: 1.0.1003

SSAPI Engine Version: 5.2.1032

SSAPI Pattern Version: 8.69

SSAPI Anti-Rootkit Version: 2.2.0.1004

Spyware Scan Started: 12/30/2009 17:08:13

SSAPI requires the system to reboot.

Detected Items:

[CLEAN SUCCESS][Cookie_Apmebf] Internet Explorer Cache\apmebf.com,Cookie:,C:\Documents and Settings\

[CLEAN SUCCESS][Cookie_Atwola] Internet Explorer Cache\atwola.com,Cookie:,C:\Documents and Settings\

[CLEAN SUCCESS][Cookie_Mediaplex] Internet Explorer Cache\mediaplex.com,Cookie:,C:\Documents and Settings\

[CLEAN SUCCESS][Cookie_Tacoda] Internet Explorer Cache\tacoda.net,Cookie:,C:\Documents and Settings\

[CLEAN SUCCESS][ADW_WINFIXER] D:\,D:\SOFTVI~1\VundoFix.exe,9792

[CLEAN SUCCESS][ADW_WINFIXER] C:\Documents and Settings\All Users\Start Menu\Programs\StartUp\,

[CLEAN SUCCESS][ADW_WINFIXER] C:\Documents and Settings\,

Detected: 7 items.

Cleaned Success: 7 items.

Clean Failed: 0 items.

Spyware Scan Ended: 12/30/2009 17:33:01

Scan Complete. Time=1492.033325.

B-boy/StyLe/ · Декември 30, 2009

Пробвайте със следните два онлайн скенера:

Kaspersky Online Scanner

Изтеглете Kaspersky Online Scanner (Работи само с Firefox и Internet Explorer):

1) Нужно е да приемете лицензното споразумение, за да извършите сканиране на вашата система, така че изберете Accept

2) Проявете търпение, докато Kaspersky Online Scanner се изтегли, инсталира и обнови дефинициите си.

3) Когато процеса приключи успешно, изберете Settings и махнете отметката на Uncheck Mail databases

4) Под Scan, кликнете на My Computer

5) С това се дава старт на сканирането.

6) Когато сканирането завърши, кликнете на View scan report, а след това на бутона Save Report As... . Запазете файла на вашия десктоп. Накрая публикувайте лога в следващия Ви коментар в тази тема.

Eset Online Scanner

1) Изтеглете: ESET Online Scanner

2) Стартирайте esetsmartinstaller_enu.exe

3) Сложете отметка на YES, I accept the Terms of Use и изберете Start

4) Скенерът ще започне да изтегля компонентите, които са му необходими.

5) Уверете се, че има отметки на следните редове, включително и тези от менюто Advanced Settings:

Remove found threats
Scan archives
Scan for potentially unwanted applications
Scan for potentially unsafe applications
Enable Anti-Stealth technology

И накрая изберете Start

6) Скенерът ще започне да изтегля последните дефиниции.

7) След, като сканирането завърши изберете Finish.

8) Отидете в:

C:\Program Files\ESET\ESET Online Scanner

Отворете файла log.txt , копирайте съдържанието му и го поставете в следващия си пост тук.

help · Декември 30, 2009

Днес и аз се сблъсках с нещо подобно на един от служебните PC.Не знам дали успях да изтрия гадината но тя упорито отказваше да отвори или свали нещо с надпис ANTI-VIRUS,VIRUS.Другия признак нямаше никаква работеща антивирусна.Наложи се да пренасям програми с флаш памет сега забелязвам,че на всяка папка в флашката има копие от този тип http://img6.imageshack.us/img6/935/77275939.jpg.

Та да мина на въпроса.Имали инструмент с които се премахва гадината?

GMER нищо не откри, AVAST(нищо не откри) реагира едва когато Malwarebytes' Anti-Malware сканираше.А за да сложа AVAST и Malwarebytes с HijackThis доста неща спрях,които се стартираха с системата.Но сега пак не съм сигурен дали не съм заразил и собственото си PC.И ако се наложи да подкарам процедурата наново ужас.

П.с.Ще съм благодарен ако някои знае инструмент за отърване от гадинката.

B-boy/StyLe/ · Декември 30, 2009

Най-добре пратете пробите до VirusTotal и проверете с онлайн скенерите на програмите които ги засичат.

Друг начин е пак работата с логове - RSIT.exe, OTL.exe, Eset Sysinspector, DDS, Combofix...

draco_volans · Декември 30, 2009

Днес и аз се сблъсках с нещо подобно на един от служебните PC.Не знам дали успях да изтрия гадината но тя упорито отказваше да отвори или свали нещо с надпис ANTI-VIRUS,VIRUS.Другия признак нямаше никаква работеща антивирусна.Наложи се да пренасям програми с флаш памет сега забелязвам,че на всяка папка в флашката има копие от този тип http://img6.imageshack.us/img6/935/77275939.jpg.
Та да мина на въпроса.Имали инструмент с които се премахва гадината?

GMER нищо не откри, AVAST(нищо не откри) реагира едва когато Malwarebytes' Anti-Malware сканираше.А за да сложа AVAST и Malwarebytes с HijackThis доста неща спрях,които се стартираха с системата.Но сега пак не съм сигурен дали не съм заразил и собственото си PC.И ако се наложи да подкарам процедурата наново ужас.

П.с.Ще съм благодарен ако някои знае инструмент за отърване от гадинката.

Ако става въпрос за глиста Brontok, защо не се пробва Microsoft Malicious Software Removal Tool 3.2 ? Доколкото знам, той точно такива гадини чистеше... Може да се пренесе с диск, предварително преименуван файл на Tool-чето... Флашката ти можеш да пробваш да я почистиш на чист комп с Flash_Disinfektor, като следваш инструкциите от тази тема (в края).

Извинявам се, че се намесвам...

B-boy/StyLe/ · Декември 30, 2009

Ако става въпрос за глиста Brontok, защо не се пробва Microsoft Malicious Software Removal Tool 3.2 ? Доколкото знам, той точно такива гадини чистеше... Може да се пренесе с диск, предварително преименуван файл на Tool-чето... Флашката ти можеш да пробваш да я почистиш на чист комп с Flash_Disinfektor, като следваш инструкциите от тази тема (в края).

Извинявам се, че се намесвам...

Явно не става въпрос за него, защото той се премахва с TrendMicro SysClean (който неслучайно предложих).

Но явно си е пак е поредната разновидност на някой Autorun вирус според резултатите от VirusTotal.

Просто се сетих за него, защото той си правеше копие във всяка папка с разширение *.exe с името на папката:

http://img196.imageshack.us/img196/5120/85363470.jpg

jelio_jelev · Декември 31, 2009

Онлайн скенера на касперски засече 6 заплахи и 3835 заразени файла, но май не ги изтри. А есет освен, че ги засече тия файлове ги и изтри. Във въпроания лог файл пише само

"ESETSmartInstaller@High as downloader log:

all ok"

Но на десктопа се записа друг файл, който е твърде голям, за да го помествам в поста си, затова ще го прикача.

Надявам се да съм се оттървал от гадината.

Благодаря на всички отзовали се и весело посрещане на Новата година.

eset.txt

jelio_jelev · Януари 1, 2010

За съжаление проблема си остава.

Aquarius · Януари 1, 2010

Ще може ли един Log-файл от ЕSET SysInspector?

Стартирай файла SysInspector.exe и след като се отвори прозорецът на инструмента (след като събере информация за системата), избери File --> Save Log.

Запази файла на твърдия диск (ZIP файлът) и след това го прикачи към коментара си.

jelio_jelev · Януари 1, 2010

Ето лога:

SysInspector.zip

И аз хванах вирус

Препоръчан пост

Link to comment

Сподели другаде

ТОП потребители в тази тема

Популярни дни

ТОП потребители в тази тема

Популярни дни

Публикувани изображения

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Join the conversation