И аз хванах вирус

[jelio_jelev]

Ето новия лог:

 

Malwarebytes' Anti-Malware 1.43

Версия на базата от данни: 3490

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

 

04.1.2010 г. 10:48:38

mbam-log-2010-01-04 (10-48-38).txt

 

Тип сканиране: Пълно сканиране (C:\|D:\|E:\|)

Сканирани обекти: 192203

Изминало време: 40 minute(s), 41 second(s)

 

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 2

 

Заразени процеси в паметта:

(Не бяха открити заплахи)

 

Заразени модули в паметта:

(Не бяха открити заплахи)

 

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

 

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

 

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

 

Заразени папки:

(Не бяха открити заплахи)

 

Заразени файлове:

C:\C.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\RECYCLER\RECYCLER.exe (Trojan.Agent) -> Quarantined and deleted successfully.

[B-boy/StyLe/]

Отново имаме лек напредък...остана да се оправим само с тези:

 

C:\C.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\RECYCLER\RECYCLER.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

Да пробваме още нещо:

 

СТЪПКА 1

 

Изтеглете OTM.exe и го запазете на десктопа.

 

Стартирайте файла http://membres.lycos.fr/wawaseb8/images/help/otico.JPG с двукратен клик на мишката и с copy/paste под колонката "Paste Instructions for Items to be Moved" въведете това:

 

:Processes

explorer.exe

:files

C:\C.exe

C:\RECYCLER

D:\RECYCLER

:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

 

Натиснете бутона http://billy-oneal.com/forums/Canned%20Speeches/speechimages/otmi3/btnmoveit.png

Ще се създаде лог файл след рестарта на машината.

Публикувайте го в следващия си пост.

 

СТЪПКА 2

 

Отворете Notepad.exe и с copy/paste въведете това:

 

regedit /e Look.txt "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2"

notepad Look.txt

 

Запазете файла с име Look.bat и го стартирайте.

Публикувайте лог файла в следващия си пост.

 

СТЪПКА 3

 

Току що получих отговор и от екипа на Malwarebytes.

Ще го изкореним, но трябва да се потрудим малко.

 

* Временно не закачайте никакви външни устройства (флаш памети, външни дискове и т.н.).

 

* Изтеглете Suspicious File Packer

 

* Разархивирайте програмата на десктопа и я стартирайте.

 

* Поставете този текст в стъпка 1 - C:\RECYCLER\RECYCLER.exe

 

http://i48.tinypic.com/345y9dw.jpg

 

* Натиснете Continue.

 

* Ще се създаде CAB архив на десктопа.

 

* Прикачи го към следващия си коментар за да им го изпратя.

 

* Като получа отговор, че файла е добавен в новите дефиниции, ще ви кажа да обновите и надявам се да сканирате за последно с Malwarebytes.

[jelio_jelev]

Ето лога от ОТМ:

All processes killed

========== PROCESSES ==========

No active process named explorer.exe was found!

========== FILES ==========

File/Folder C:\C.exe not found.

C:\RECYCLER\S-1-5-21-1454471165-2139871995-839522115-1003 folder moved successfully.

C:\RECYCLER folder moved successfully.

D:\RECYCLER\S-1-5-21-1454471165-2139871995-839522115-1003 folder moved successfully.

D:\RECYCLER folder moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: ÆÅËÜÎ

 

User: ЖЕЛЬО

->Temp folder emptied: 23907572 bytes

->Temporary Internet Files folder emptied: 257710979 bytes

->FireFox cache emptied: 4601633 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2162283 bytes

%systemroot%\System32 .tmp files removed: 2577 bytes

Windows Temp folder emptied: 262967 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 275,00 mb

 

 

OTM by OldTimer - Version 3.1.4.0 log created on 01042010_152815

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

 

 

Ето лога от Look.bat:

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\A]

"BaseClass"="Drive"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]

"BaseClass"="Drive"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

"BaseClass"="Drive"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

"BaseClass"="Drive"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

"BaseClass"="Drive"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]

"BaseClass"="Drive"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{15786b90-e421-11dd-99bc-806d6172696f}]

"BaseClass"="Drive"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{15786b91-e421-11dd-99bc-806d6172696f}]

"BaseClass"="Drive"

"_AutorunStatus"=hex:01,01,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\

ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\

ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\

ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,60,00,00,00,08,00,00,00

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e2e3ec0-f6c2-11de-81fb-806d6172696f}]

"BaseClass"="Drive"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e2e3ec1-f6c2-11de-81fb-806d6172696f}]

"BaseClass"="Drive"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e2e3ec2-f6c2-11de-81fb-806d6172696f}]

"BaseClass"="Drive"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{645ac040-e418-11dd-b43c-806d6172696f}]

"BaseClass"="Drive"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\CPC]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\CPC\Volume]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\CPC\Volume\{15786b90-e421-11dd-99bc-806d6172696f}]

"Data"=hex:00,00,00,00,5c,00,5c,00,3f,00,5c,00,46,00,44,00,43,00,23,00,47,00,\

45,00,4e,00,45,00,52,00,49,00,43,00,5f,00,46,00,4c,00,4f,00,50,00,50,00,59,\

00,5f,00,44,00,52,00,49,00,56,00,45,00,23,00,34,00,26,00,33,00,33,00,62,00,\

63,00,31,00,38,00,66,00,61,00,26,00,30,00,26,00,30,00,23,00,7b,00,35,00,33,\

00,66,00,35,00,36,00,33,00,30,00,64,00,2d,00,62,00,36,00,62,00,66,00,2d,00,\

31,00,31,00,64,00,30,00,2d,00,39,00,34,00,66,00,32,00,2d,00,30,00,30,00,61,\

00,30,00,63,00,39,00,31,00,65,00,66,00,62,00,38,00,62,00,7d,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,5c,00,5c,00,3f,00,5c,00,56,00,6f,00,6c,00,75,00,6d,00,\

65,00,7b,00,31,00,35,00,37,00,38,00,36,00,62,00,39,00,30,00,2d,00,65,00,34,\

00,32,00,31,00,2d,00,31,00,31,00,64,00,64,00,2d,00,39,00,39,00,62,00,63,00,\

2d,00,38,00,30,00,36,00,64,00,36,00,31,00,37,00,32,00,36,00,39,00,36,00,66,\

00,7d,00,5c,00,00,00,49,00,6e,00,76,00,61,00,6c,00,69,00,64,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,49,00,\

6e,00,76,00,61,00,6c,00,69,00,64,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,01,10,00,\

00,bd,ad,db,ba,bd,ad,db,ba,bd,ad,db,ba,bd,ad,db,ba,bd,ad,db,ba,00,00,00,00,\

00,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,\

00

"Generation"=dword:00000001

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\CPC\Volume\{15786b91-e421-11dd-99bc-806d6172696f}]

"Data"=hex:00,00,00,00,5c,00,5c,00,3f,00,5c,00,49,00,44,00,45,00,23,00,43,00,\

64,00,52,00,6f,00,6d,00,48,00,4c,00,2d,00,44,00,54,00,2d,00,53,00,54,00,5f,\

00,44,00,56,00,44,00,52,00,41,00,4d,00,5f,00,47,00,53,00,41,00,2d,00,34,00,\

31,00,36,00,35,00,42,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\

00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,44,00,4c,00,30,00,33,00,5f,00,5f,00,\

5f,00,5f,00,23,00,33,00,33,00,34,00,33,00,33,00,36,00,33,00,34,00,34,00,33,\

00,33,00,34,00,33,00,34,00,34,00,33,00,34,00,32,00,34,00,34,00,33,00,37,00,\

33,00,31,00,32,00,30,00,32,00,30,00,32,00,30,00,32,00,30,00,32,00,30,00,32,\

00,30,00,32,00,30,00,32,00,30,00,23,00,7b,00,35,00,33,00,66,00,35,00,36,00,\

33,00,30,00,64,00,2d,00,62,00,36,00,62,00,66,00,2d,00,31,00,31,00,64,00,30,\

00,2d,00,39,00,34,00,66,00,32,00,2d,00,30,00,30,00,61,00,30,00,63,00,39,00,\

31,00,65,00,66,00,62,00,38,00,62,00,7d,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,5c,00,5c,00,3f,00,5c,00,56,00,6f,00,6c,00,75,00,6d,00,\

65,00,7b,00,31,00,35,00,37,00,38,00,36,00,62,00,39,00,31,00,2d,00,65,00,34,\

00,32,00,31,00,2d,00,31,00,31,00,64,00,64,00,2d,00,39,00,39,00,62,00,63,00,\

2d,00,38,00,30,00,36,00,64,00,36,00,31,00,37,00,32,00,36,00,39,00,36,00,66,\

00,7d,00,5c,00,00,00,49,00,6e,00,76,00,61,00,6c,00,69,00,64,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,49,00,\

6e,00,76,00,61,00,6c,00,69,00,64,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,10,00,00,00,ff,01,00,\

00,bd,ad,db,ba,bd,ad,db,ba,bd,ad,db,ba,bd,ad,db,ba,bd,ad,db,ba,00,00,00,00,\

00,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,\

00

"Generation"=dword:00000001

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\CPC\Volume\{3e2e3ec0-f6c2-11de-81fb-806d6172696f}]

"Data"=hex:00,00,00,00,5c,00,5c,00,3f,00,5c,00,53,00,54,00,4f,00,52,00,41,00,\

47,00,45,00,23,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,23,00,31,00,26,00,33,\

00,30,00,61,00,39,00,36,00,35,00,39,00,38,00,26,00,30,00,26,00,53,00,69,00,\

67,00,6e,00,61,00,74,00,75,00,72,00,65,00,35,00,36,00,38,00,45,00,31,00,32,\

00,37,00,32,00,4f,00,66,00,66,00,73,00,65,00,74,00,37,00,45,00,30,00,30,00,\

4c,00,65,00,6e,00,67,00,74,00,68,00,33,00,43,00,30,00,45,00,41,00,44,00,32,\

00,30,00,30,00,23,00,7b,00,35,00,33,00,66,00,35,00,36,00,33,00,30,00,64,00,\

2d,00,62,00,36,00,62,00,66,00,2d,00,31,00,31,00,64,00,30,00,2d,00,39,00,34,\

00,66,00,32,00,2d,00,30,00,30,00,61,00,30,00,63,00,39,00,31,00,65,00,66,00,\

62,00,38,00,62,00,7d,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,5c,00,5c,00,3f,00,5c,00,56,00,6f,00,6c,00,75,00,6d,00,\

65,00,7b,00,33,00,65,00,32,00,65,00,33,00,65,00,63,00,30,00,2d,00,66,00,36,\

00,63,00,32,00,2d,00,31,00,31,00,64,00,65,00,2d,00,38,00,31,00,66,00,62,00,\

2d,00,38,00,30,00,36,00,64,00,36,00,31,00,37,00,32,00,36,00,39,00,36,00,66,\

00,7d,00,5c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,4e,00,\

54,00,46,00,53,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,08,00,00,00,01,10,00,\

00,ff,00,07,00,ff,00,00,00,16,00,00,00,47,30,08,24,00,00,00,00,00,00,00,30,\

00,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,\

00

"Generation"=dword:00000001

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\CPC\Volume\{3e2e3ec1-f6c2-11de-81fb-806d6172696f}]

"Data"=hex:00,00,00,00,5c,00,5c,00,3f,00,5c,00,53,00,54,00,4f,00,52,00,41,00,\

47,00,45,00,23,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,23,00,31,00,26,00,33,\

00,30,00,61,00,39,00,36,00,35,00,39,00,38,00,26,00,30,00,26,00,53,00,69,00,\

67,00,6e,00,61,00,74,00,75,00,72,00,65,00,35,00,36,00,38,00,45,00,31,00,32,\

00,37,00,32,00,4f,00,66,00,66,00,73,00,65,00,74,00,33,00,43,00,30,00,45,00,\

42,00,35,00,30,00,30,00,30,00,4c,00,65,00,6e,00,67,00,74,00,68,00,37,00,36,\

00,46,00,42,00,32,00,44,00,36,00,30,00,30,00,23,00,7b,00,35,00,33,00,66,00,\

35,00,36,00,33,00,30,00,64,00,2d,00,62,00,36,00,62,00,66,00,2d,00,31,00,31,\

00,64,00,30,00,2d,00,39,00,34,00,66,00,32,00,2d,00,30,00,30,00,61,00,30,00,\

63,00,39,00,31,00,65,00,66,00,62,00,38,00,62,00,7d,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,5c,00,5c,00,3f,00,5c,00,56,00,6f,00,6c,00,75,00,6d,00,\

65,00,7b,00,33,00,65,00,32,00,65,00,33,00,65,00,63,00,31,00,2d,00,66,00,36,\

00,63,00,32,00,2d,00,31,00,31,00,64,00,65,00,2d,00,38,00,31,00,66,00,62,00,\

2d,00,38,00,30,00,36,00,64,00,36,00,31,00,37,00,32,00,36,00,39,00,36,00,66,\

00,7d,00,5c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,4e,00,\

54,00,46,00,53,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,08,00,00,00,01,10,00,\

00,ff,00,07,00,ff,00,00,00,16,00,00,00,7b,ae,41,c4,00,00,00,00,00,00,00,30,\

00,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,\

00

"Generation"=dword:00000001

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\CPC\Volume\{3e2e3ec2-f6c2-11de-81fb-806d6172696f}]

"Data"=hex:00,00,00,00,5c,00,5c,00,3f,00,5c,00,53,00,54,00,4f,00,52,00,41,00,\

47,00,45,00,23,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,23,00,31,00,26,00,33,\

00,30,00,61,00,39,00,36,00,35,00,39,00,38,00,26,00,30,00,26,00,53,00,69,00,\

67,00,6e,00,61,00,74,00,75,00,72,00,65,00,35,00,36,00,38,00,45,00,31,00,32,\

00,37,00,32,00,4f,00,66,00,66,00,73,00,65,00,74,00,42,00,33,00,30,00,39,00,\

45,00,32,00,36,00,30,00,30,00,4c,00,65,00,6e,00,67,00,74,00,68,00,37,00,37,\

00,30,00,41,00,44,00,44,00,41,00,30,00,30,00,23,00,7b,00,35,00,33,00,66,00,\

35,00,36,00,33,00,30,00,64,00,2d,00,62,00,36,00,62,00,66,00,2d,00,31,00,31,\

00,64,00,30,00,2d,00,39,00,34,00,66,00,32,00,2d,00,30,00,30,00,61,00,30,00,\

63,00,39,00,31,00,65,00,66,00,62,00,38,00,62,00,7d,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,5c,00,5c,00,3f,00,5c,00,56,00,6f,00,6c,00,75,00,6d,00,\

65,00,7b,00,33,00,65,00,32,00,65,00,33,00,65,00,63,00,32,00,2d,00,66,00,36,\

00,63,00,32,00,2d,00,31,00,31,00,64,00,65,00,2d,00,38,00,31,00,66,00,62,00,\

2d,00,38,00,30,00,36,00,64,00,36,00,31,00,37,00,32,00,36,00,39,00,36,00,66,\

00,7d,00,5c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,4e,00,\

54,00,46,00,53,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,08,00,00,00,01,10,00,\

00,ff,00,07,00,ff,00,00,00,16,00,00,00,3a,5f,27,90,00,00,00,00,00,00,00,30,\

00,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,\

00

"Generation"=dword:00000001

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\CPC\Volume\{645ac040-e418-11dd-b43c-806d6172696f}]

"Data"=hex:00,00,00,00,5c,00,5c,00,3f,00,5c,00,49,00,44,00,45,00,23,00,43,00,\

64,00,52,00,6f,00,6d,00,48,00,4c,00,2d,00,44,00,54,00,2d,00,53,00,54,00,5f,\

00,43,00,44,00,2d,00,52,00,57,00,5f,00,47,00,43,00,45,00,2d,00,38,00,35,00,\

32,00,35,00,42,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\

00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,31,00,2e,00,30,00,32,00,5f,00,5f,00,\

5f,00,5f,00,23,00,34,00,26,00,31,00,30,00,35,00,38,00,32,00,38,00,35,00,26,\

00,30,00,26,00,31,00,2e,00,31,00,2e,00,30,00,23,00,7b,00,35,00,33,00,66,00,\

35,00,36,00,33,00,30,00,64,00,2d,00,62,00,36,00,62,00,66,00,2d,00,31,00,31,\

00,64,00,30,00,2d,00,39,00,34,00,66,00,32,00,2d,00,30,00,30,00,61,00,30,00,\

63,00,39,00,31,00,65,00,66,00,62,00,38,00,62,00,7d,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,5c,00,5c,00,3f,00,5c,00,56,00,6f,00,6c,00,75,00,6d,00,\

65,00,7b,00,36,00,34,00,35,00,61,00,63,00,30,00,34,00,30,00,2d,00,65,00,34,\

00,31,00,38,00,2d,00,31,00,31,00,64,00,64,00,2d,00,62,00,34,00,33,00,63,00,\

2d,00,38,00,30,00,36,00,64,00,36,00,31,00,37,00,32,00,36,00,39,00,36,00,66,\

00,7d,00,5c,00,00,00,49,00,6e,00,76,00,61,00,6c,00,69,00,64,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,49,00,\

6e,00,76,00,61,00,6c,00,69,00,64,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,10,00,00,00,0f,01,00,\

00,bd,ad,db,ba,bd,ad,db,ba,bd,ad,db,ba,bd,ad,db,ba,bd,ad,db,ba,00,00,00,00,\

00,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,\

00

"Generation"=dword:00000001

 

 

 

Изписа ми съобщение, че немога га качвам .cab файлове, затова го архивирах наново.

 

requested-files2010-01-04_15_37.rar

[B-boy/StyLe/]

Хммм архива изглежда празен. Бихте ли проверили отново с MBAM да видим дали сме се отървали от файла вече. Мерси

[jelio_jelev]

MBAM не откри нищо този път. Което е много странно, защото в C:\Downloads има файлове Downloads.exe и Downloads.rar. В C:\My Program\7-Zip е същото. Има файлове 7-Zip.scr и .rar. И в C:\My Program\ABBYY FineReader 7.0 Professional Edition има файлове FineReader 7.0 Professional Edition.bat и .rar и т.н.

 

Ето и лога:

Malwarebytes' Anti-Malware 1.43

Версия на базата от данни: 3491

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

 

04.1.2010 г. 16:49:28

mbam-log-2010-01-04 (16-49-28).txt

 

Тип сканиране: Пълно сканиране (C:\|D:\|E:\|)

Сканирани обекти: 191761

Изминало време: 40 minute(s), 22 second(s)

 

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 0

 

Заразени процеси в паметта:

(Не бяха открити заплахи)

 

Заразени модули в паметта:

(Не бяха открити заплахи)

 

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

 

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

 

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

 

Заразени папки:

(Не бяха открити заплахи)

 

Заразени файлове:

(Не бяха открити заплахи)

Редактиран Януари 4, 2010 от jelio_jelev

[B-boy/StyLe/]

Може ли да архивирате тези файлове и да ги качите някъде за да им ги пратя.

Възможно е да са морфирали отново.

[jelio_jelev]

Файлът е изтеглен и обектите са пратени за анализ. Линкът се премахва от съображения за сигурност.

[B-boy/StyLe/]

Файлът е изтеглен и обектите са пратени за анализ. Линкът се премахва от съображения за сигурност.

 

Мерси, пратени са за анализ.

Вие да не би да включвате някакви външни носители (флашки, външни хардискове и т.н.), че се получава тази ре-инфекция ?

[jelio_jelev]

Нищо не съм включвал. Даже и оптичен диск не съм слагал.

[mihnev_sz]

Дали отново Skype не е причината?

detected: Trojan program Trojan.Win32.AntiAV.enn file: C:\Users\asus\Desktop\Files.rar.part/Files\7-Zip.rar/My Skype Pictures.exe

[jelio_jelev]

My Skype Pictures.exe предполагам е файл който се е образувал в папката My Skype Pictures тъй като вируса се изразява именно в това, да се копира във всяка папка като си присвоява името й. Архивите предполагам са резервни копия направени от някоя от антивирусните програми които съм ползвал. Имам съмнения, че е от Kaspersky, защото с нея първо сканирах. Но това са само предположения.

[B-boy/StyLe/]

Освен да се възползва от някоя узявимост в Операционната Система. Предлагам да инсталираш всички налични кръпки за Windows-a.

След това ще мислим как да запушваме пробойните.

 

Докато чакам отговор от екипа на MBAM - можеш да почистиш отново с онлайн скенера на ESET.

 

http://forums.softvisia.com/index.php?showtopic=10396&view=findpost&p=89584

[mihnev_sz]

My Skype Pictures.exe предполагам е файл който се е образувал в папката My Skype Pictures тъй като вируса се изразява именно в това, да се копира във всяка папка като си присвоява името й.

По-вероятно е да се е намирало в Application Data\Skype ,а самото exe. си е зловредно.

 

P.s. Извинявам се за намесата!

[jelio_jelev]

Ами и ние с него и с многото му разновидности се борим тия дни.

B-boy/StyLe/ едва ли ще имам място за всички кръпки, защото диска ми прогресивно се самозапълва. Но ще пусна скенера пак.

Редактиран Януари 4, 2010 от jelio_jelev

[jelio_jelev]

3815 заразени файла показва онлайн скенера. Освободи ми се близо 3Gb на диска. Ще мога да изтегля и ъпдейтите.