И аз хванах вирус

[B-boy/StyLe/]

Аз все пак искам да проверим и с по специални инструменти:

 

Изтеглете SysProt AntiRootkit от тук и го запазете на вашия десктоп.

 

• Разархивирайте SysProt.zip на вашия десктоп и ще се появи папка, наречена SysProt
  
• Отворете папката SysProt и кликнете два пъти върху SysProt.exe, за да стартирате програмата
  
• Кликнете на таба Log
  
• Маркирайте всички възможности
  
• Кликнете на бутона Create Log
  
• След няколко секунди ще се отвори нов диалогов прозорец
  
• Уверете се, че Scan all drives е маркиран и кликнете върху бутона Start
  
• Когато сканирането завърши ще се появи нов диалогов прозорец, което означава, че сканирането е завършило успешно
  
• В същата папка ще откриете лог файла, наречен SysProtLog.txt. Отворете го с Notepad, копирайте съдържанието му и го публикувайте в следващия Ви коментар в тази тема.

[jelio_jelev]

SysProt AntiRootkit v1.0.1.0

by swatkat

 

******************************************************************************************

******************************************************************************************

 

No Hidden Processes found

 

******************************************************************************************

******************************************************************************************

Kernel Modules:

Module Name: \SystemRoot\System32\Drivers\dump_nvatabus.sys

Service Name: ---

Module Base: AF6A4000

Module End: AF6B1000

Hidden: Yes

 

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS

Service Name: ---

Module Base: F7B71000

Module End: F7B73000

Hidden: Yes

 

******************************************************************************************

******************************************************************************************

SSDT:

Function Name: ZwClose

Address: F75B4D08

Driver Base: F75A7000

Driver End: F75CE000

Driver Name: d346bus.sys

 

Function Name: ZwCreateKey

Address: F75B4CC0

Driver Base: F75A7000

Driver End: F75CE000

Driver Name: d346bus.sys

 

Function Name: ZwCreatePagingFile

Address: F75A8A20

Driver Base: F75A7000

Driver End: F75CE000

Driver Name: d346bus.sys

 

Function Name: ZwEnumerateKey

Address: F75A94FC

Driver Base: F75A7000

Driver End: F75CE000

Driver Name: d346bus.sys

 

Function Name: ZwEnumerateValueKey

Address: F75B4E00

Driver Base: F75A7000

Driver End: F75CE000

Driver Name: d346bus.sys

 

Function Name: ZwOpenFile

Address: F75A8A60

Driver Base: F75A7000

Driver End: F75CE000

Driver Name: d346bus.sys

 

Function Name: ZwOpenKey

Address: F75B4C84

Driver Base: F75A7000

Driver End: F75CE000

Driver Name: d346bus.sys

 

Function Name: ZwQueryKey

Address: F75A951C

Driver Base: F75A7000

Driver End: F75CE000

Driver Name: d346bus.sys

 

Function Name: ZwQueryValueKey

Address: F75B4D56

Driver Base: F75A7000

Driver End: F75CE000

Driver Name: d346bus.sys

 

Function Name: ZwSetSystemPowerState

Address: F75B4230

Driver Base: F75A7000

Driver End: F75CE000

Driver Name: d346bus.sys

 

******************************************************************************************

******************************************************************************************

No Kernel Hooks found

 

******************************************************************************************

******************************************************************************************

IRP Hooks:

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_CREATE

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_CREATE_NAMED_PIPE

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_CLOSE

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_READ

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_WRITE

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_QUERY_INFORMATION

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SET_INFORMATION

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_QUERY_EA

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SET_EA

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_FLUSH_BUFFERS

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_QUERY_VOLUME_INFORMATION

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SET_VOLUME_INFORMATION

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_DIRECTORY_CONTROL

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_FILE_SYSTEM_CONTROL

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_DEVICE_CONTROL

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SHUTDOWN

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_LOCK_CONTROL

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_CLEANUP

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_CREATE_MAILSLOT

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_QUERY_SECURITY

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SET_SECURITY

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_POWER

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SYSTEM_CONTROL

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_DEVICE_CHANGE

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_QUERY_QUOTA

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SET_QUOTA

Jump To: 838B8C88

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_CREATE

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_CREATE_NAMED_PIPE

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_CLOSE

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_READ

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_WRITE

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_QUERY_INFORMATION

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_SET_INFORMATION

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_QUERY_EA

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_SET_EA

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_FLUSH_BUFFERS

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_QUERY_VOLUME_INFORMATION

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_SET_VOLUME_INFORMATION

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_DIRECTORY_CONTROL

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_FILE_SYSTEM_CONTROL

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_DEVICE_CONTROL

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_SHUTDOWN

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_LOCK_CONTROL

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_CLEANUP

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_CREATE_MAILSLOT

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_QUERY_SECURITY

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_SET_SECURITY

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_POWER

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_SYSTEM_CONTROL

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_DEVICE_CHANGE

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_QUERY_QUOTA

Jump To: 838A1C50

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_SET_QUOTA

Jump To: 838A1C50

Hooking Module: _unknown_

 

******************************************************************************************

******************************************************************************************

Ports:

Local Address: ЖЕЛЬО:NETBIOS-SSN

Remote Address: 0.0.0.0:0

Type: TCP

Process: System

State: LISTENING

 

Local Address: ЖЕЛЬО:1025

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\WINDOWS\system32\alg.exe

State: LISTENING

 

Local Address: ЖЕЛЬО:3482

Remote Address: 109.121.231.4:53395

Type: TCP

Process: C:\Program Files\Skype\Phone\Skype.exe

State: ESTABLISHED

 

Local Address: ЖЕЛЬО:3161

Remote Address: 212.72.53.130:HTTP

Type: TCP

Process: C:\Program Files\Skype\Phone\Skype.exe

State: CLOSE_WAIT

 

Local Address: ЖЕЛЬО:1125

Remote Address: BOS-D029C-RDR3.BLUE.AOL.COM:HTTPS

Type: TCP

Process: C:\Program Files\ICQ6.5\ICQ.exe

State: ESTABLISHED

 

Local Address: ЖЕЛЬО.STARAZAGORA.NET:MICROSOFT-DS

Remote Address: UNKNOWN-E4AEC08:1337

Type: TCP

Process: System

State: ESTABLISHED

 

Local Address: ЖЕЛЬО.STARAZAGORA.NET:NETBIOS-SSN

Remote Address: 0.0.0.0:0

Type: TCP

Process: System

State: LISTENING

 

Local Address: ЖЕЛЬО:65535

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Program Files\Skype\Phone\Skype.exe

State: LISTENING

 

Local Address: ЖЕЛЬО:3389

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\WINDOWS\system32\svchost.exe

State: LISTENING

 

Local Address: ЖЕЛЬО:2869

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\WINDOWS\system32\svchost.exe

State: LISTENING

 

Local Address: ЖЕЛЬО:MICROSOFT-DS

Remote Address: 0.0.0.0:0

Type: TCP

Process: System

State: LISTENING

 

Local Address: ЖЕЛЬО:HTTPS

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Program Files\Skype\Phone\Skype.exe

State: LISTENING

 

Local Address: ЖЕЛЬО:EPMAP

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\WINDOWS\system32\svchost.exe

State: LISTENING

 

Local Address: ЖЕЛЬО:HTTP

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Program Files\Skype\Phone\Skype.exe

State: LISTENING

 

Local Address: ЖЕЛЬО:1900

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: ЖЕЛЬО:138

Remote Address: NA

Type: UDP

Process: System

State: NA

 

Local Address: ЖЕЛЬО:NETBIOS-NS

Remote Address: NA

Type: UDP

Process: System

State: NA

 

Local Address: ЖЕЛЬО:123

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: ЖЕЛЬО:68

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: ЖЕЛЬО:67

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: ЖЕЛЬО:DOMAIN

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: ЖЕЛЬО:3723

Remote Address: NA

Type: UDP

Process: C:\Program Files\Internet Explorer\iexplore.exe

State: NA

 

Local Address: ЖЕЛЬО:1900

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: ЖЕЛЬО:1123

Remote Address: NA

Type: UDP

Process: C:\Program Files\Skype\Phone\Skype.exe

State: NA

 

Local Address: ЖЕЛЬО:1117

Remote Address: NA

Type: UDP

Process: C:\Program Files\ICQ6.5\ICQ.exe

State: NA

 

Local Address: ЖЕЛЬО:1028

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: ЖЕЛЬО:123

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: ЖЕЛЬО:1900

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: ЖЕЛЬО:123

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: ЖЕЛЬО.STARAZAGORA.NET:1900

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: ЖЕЛЬО.STARAZAGORA.NET:138

Remote Address: NA

Type: UDP

Process: System

State: NA

 

Local Address: ЖЕЛЬО.STARAZAGORA.NET:NETBIOS-NS

Remote Address: NA

Type: UDP

Process: System

State: NA

 

Local Address: ЖЕЛЬО.STARAZAGORA.NET:123

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: ЖЕЛЬО:65535

Remote Address: NA

Type: UDP

Process: C:\Program Files\Skype\Phone\Skype.exe

State: NA

 

Local Address: ЖЕЛЬО:4500

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\lsass.exe

State: NA

 

Local Address: ЖЕЛЬО:1027

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: ЖЕЛЬО:500

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\lsass.exe

State: NA

 

Local Address: ЖЕЛЬО:MICROSOFT-DS

Remote Address: NA

Type: UDP

Process: System

State: NA

 

Local Address: ЖЕЛЬО:HTTPS

Remote Address: NA

Type: UDP

Process: C:\Program Files\Skype\Phone\Skype.exe

State: NA

 

******************************************************************************************

******************************************************************************************

Hidden files/folders:

Object: E:\System Volume Information\MountPointManagerRemoteDatabase

Status: Access denied

 

Object: E:\System Volume Information\tracking.log

Status: Access denied

 

Object: E:\System Volume Information\_restore{AFD64DD8-93E1-47D8-864E-4C50F703B19B}

Status: Access denied

 

Object: D:\System Volume Information\MountPointManagerRemoteDatabase

Status: Access denied

 

Object: D:\System Volume Information\tracking.log

Status: Access denied

 

Object: D:\System Volume Information\_restore{AFD64DD8-93E1-47D8-864E-4C50F703B19B}

Status: Access denied

 

Object: C:\Documents and Settings\?AEUI

Status: Hidden

 

Object: C:\System Volume Information\MountPointManagerRemoteDatabase

Status: Access denied

 

Object: C:\System Volume Information\tracking.log

Status: Access denied

 

Object: C:\System Volume Information\_restore{AFD64DD8-93E1-47D8-864E-4C50F703B19B}

Status: Access denied

[B-boy/StyLe/]

И този лог изглежда добре. Появиха ли се отново след почистването с Есет ?

 

Я забранете и Autorun/Autoplay:

 

* Изтеглете Panda USB Vaccine

 

* Натиснете бутона Vaccinate Computer.

[jelio_jelev]

След снощното сканиране с Есет онлайн скенера няма движение на съмнителни файлове. Мисля тази вечер да го сканирам пак за всеки случай, ама май се оттървах от гадинките. Ъпдейтите за Уиндоуса още не са се изтеглили и не съм ги инсталирал. Оказа се обаче, че повечето ми програми не работят, което ме навежда на въпроса би ли било проблем ако го възстановя пак от снимката? Тя е на DVD дискове така, че неможе да се е заразила по някакъв начин. И след като се изчисти системата от заразените файлове мисля, че няма да е проблем възстановяването. И още един глупав въпрос. Не можах да намеря откъде да спра Autorun/Autoplay.

[B-boy/StyLe/]

След снощното сканиране с Есет онлайн скенера няма движение на съмнителни файлове. Мисля тази вечер да го сканирам пак за всеки случай, ама май се оттървах от гадинките. Ъпдейтите за Уиндоуса още не са се изтеглили и не съм ги инсталирал. Оказа се обаче, че повечето ми програми не работят, което ме навежда на въпроса би ли било проблем ако го възстановя пак от снимката? Тя е на DVD дискове така, че неможе да се е заразила по някакъв начин. И след като се изчисти системата от заразените файлове мисля, че няма да е проблем възстановяването. И още един глупав въпрос. Не можах да намеря откъде да спра Autorun/Autoplay.

 

Само ако сте сигурен, че Image-а е чист.

 

PANDA USB VAccine => ще спре Autorun/Autoplay.

 

Malwarebytes вече засича пробите, които предоставихте снощи и за финал можете да направите една проверка и с нея.

[jelio_jelev]

Malwarebytes и Есет онлайн нищо не откриха.

Утре ще го възстановя и предполагам, че няма да има проблем.

Още веднъж благодаря на всички помогнали ми и най-вече на B-boy/StyLe/

БЛАГОДАРЯ!

[B-boy/StyLe/]

Супер, защото този червей ни измъчи и нас да търсим решения. При вас естествено, не бе само той заразара, но и Trojan.Agent.

След връщането на СНИМКАТА (Image-a) проверете и изключете по-добре отново System Restore и спрете AutoRun-a с PANDA USB VACCINE.

Също така инсталирайте Скайп без "екстрите" както е описано тук:

 

http://forums.softvisia.com/index.php?showtopic=8195&view=findpost&p=62920

 

Обновявайте често дефинициите на антивирусната си програма и на MBAM и правете периодични проверки честичко. С MBAM може и ежедневни (защото бързото сканиране напълно достатъчно като ефективност, а отнема 1-2 мин макс.).

 

Приятно сърфиране.

[slavdimich]

Здравейте, извинямвам се че се забавих с поста си но изникнаха някои важни неща.

Миналата седмица имах същият проблем в мрежата която подържам и открих два метода с които които може да се справите с този червей.

 

 

Първи метод:

1. Сваляте хард диска и го слагате на друг компютър, стартирате windowsa и не отварайте устройствата които са от хард диска

2. Инсталирате Malwarebytes' Anti-Malware и го ъпдейтните до последна версия и дефиниция

3. Копирате в C устройство SDFix и SmitfraudFix и ги разархивирате без да отваряте папките в тях

4. Рестартирате компютъра и минавате в режим Safe Mode

5. Пускате Malwarebytes' Anti-Malware да сканира, след като преключи сканирането чистите каквото намери програмата и рестартирате. Като отново влизате в Safe Mode

6. Пускате SmitfraudFix, след като приключи процедурата с този tools стартирате SDFix, като приключи компютъра се рестартира и го оставяте в нормален режим

7. Стартирате отново Malwarebytes' Anti-Malware, тъй като по някога оставят един или два RootKit-а както и други боклуци Ако не сте изключили систем ресторе ще ви даде там вируса. За това задължително изклчвайте Систем Ресторе и сканирате отново с Malwarebytes' Anti-Malware

8. На края инсталирате PANDA USB VAccine и готово

 

Същата процедура може да направите и без да сваляте хард диска, но вируса по някога проваля safe mode и се налага да го сложите на друг компютър.

 

 

 

Вторият метод

 

1. Инсталирате Malwarebytes' Anti-Malware

2. Той локализира къде се намира вируса, ще разберете къде му е центъра като преди да се рестартира компютъра след почистването от програмата ще даде кои вируси не е изчистил. Там дава и пътя към тези вируси в коя папка се намират.

3. Ако не е в системна папка, копирате файловете в които сте сигурни че не са вируси и истривате тази папка

4. Сканирате отново с Malwarebytes' Anti-Malware за да сте сигурни. Най добре сканирайте няколко пъти харда

5. Желателно е за по сигурно след това да пусните SDFix и SmitfraudFix в safe mode но това е повече препоръчително

6. На края инсталирате PANDA USB VAccine и готово

 

ВНИМАНИЕ!!! Този мързелив метод не го препоръчвам но го описах за да знаете, че има и други варианти

 

На края да добавя, ако имате флашки които са заразени с този червей можете да ги сканирате с Malwarebytes' Anti-Malware след като приключите всички процедури и той ще ви ги изчисти

 

 

Мога да ви кажа, че така спасих мрежата която подържам. Която е около сто локални машини.

Дано да съм бил полезен

 

П.С. Извинявам се ако има правописни грешки, нямам много време да пиша постове за това не съм го преглеждал.

[slavdimich]

Само да добавя още нещо.

 

Тази система работи и за сървъри тъй като успях чрез нея да го изтрия и от там.

 

И за втория метод, който реши да си играе с него ако не знае какво прави да не го прави. Tъй като червея се реплекира в сумати папки и ако не знае какво точно копира и изтрива е възможно да счупи windowsa