Помогнете да изтрия TR/Dldr.Carberp.C.38

[TechMaster]

...

Rootkit-а е гадинка, която всячески се опитва да се крие от антивирусните програми и инструменти.

При наличие на RootKit, не е изключено да се опитва да блокира и инструментите, които го засичат.

Инсталирайте SubInACL

Рестартирайте.

След това изтеглете reset.zip, запазете в C:\ и разархивирайте.Не променяйте името на файла!

После отидете в StartMenu->AllPrograms->Accessories->CommandPrompt->десен бутон над Command Prompt и Run As Administrator

На Излезлият Команден прозорец въведете

cd c:\

След това въведете

reset.cmd

Изчакайте...

 

След това изтеглете на десктопа ви и пуснете като Администратор CatchMe

Дайде на бутона Scan

CatchMe

И дайде логчето.

[anarven]

След като въведа cd desktop натиснах enter и ми казва, че The system cannot find the path specified.

Правя нещо грешно...

 

Ох, и Комодото пак ми се появява постоянно, че е намерило зловреден код.

[TechMaster]

След като въведа cd desktop натиснах enter и ми казва, че The system cannot find the path specified.

Правя нещо грешно...

Не, нищо подобно.

Не съобразих eдна подробност, моля да ме извините.

Не съм на Windows7, за това се получи малко разминаване.

Запазете reset.cmd в C:\

Въведете в CommandPrompt, стартиран като администратор:

cd c:\

След това въведете

reset.cmd

Ще го коригирам и в горният си коментар.

Спрете Comodo и RealTime протекцията на Avira, докато сканирате.

Ако Comodo сигнализира за зловреден код във файловете, които давам-игнорирайте го.

[anarven]

Не желае да се свали на С. Преместих го ръчно от десктопа и като се опитах да го разархивирам, ми се появи това:

 

 

Разархивирах на десктопа и го завлачих на С, след това дадох администраторско съгласие и стана.

 

След като въведох написаното, се изписаха някакви неща и най-отдолу The filename or extension is too long.

 

Това ли трябва да се получи? Да сканирам ли с това Catch me?

[TechMaster]

Да, сканирайте с CatchMe.

Въведете и това в CommandPrompt

notepad %temp%\subinacl_output.txt

и запазете файла името subinacl_output.txt

Прикачете и него.

[anarven]

Направо го копирам, че е кратко:

 

 

 

detected NTDLL code modification:

ZwEnumerateKey 0 != 116, ZwQueryKey 0 != 244, ZwOpenKey 0 != 182, ZwClose 0 != -1727822869, ZwEnumerateValueKey 0 != 119, ZwQueryValueKey 0 != 266, ZwOpenFile 0 != -1727759269, ZwQueryDirectoryFile 0 != 223, ZwQuerySystemInformation 0 != 261Initialization error

 

[TechMaster]

Въведете и това в CommandPrompt

notepad %temp%\subinacl_output.txt

и запазете файла името subinacl_output.txt

Моля да ми прикачите и него, и ще го мислим...

[anarven]

Извинявам се, че питам, но какво става? Има ли наистина рууткит?

Съжалявам, че ви разпитвам, просто съм вече ужасно изтощена, страшно назаднах с работата си, а уж не преинсталирах веднага, с идеята, че ще спечеля време...

 

Не иска да прикачи файла subinacl_output.txt. Сигурно защото е празен. Нищо не пише вътре.

[TechMaster]

За да деактивирате UAC (User Account Control):

- Натиснете Start бутона и отворете Control Panel

- В полето “User Account and Family Safety” изберете “Add or remove user accounts”

- Изберете някой от акаунтите (например Guest) и щракнете на “Go to the main User Account page”

- От “Make changes to your user account” изберете опцията “Change security settings” (досадно нали)

- От “Turn on User Account Control (UAC) to make your computer more secure” махнете отметката на “Use User Account Control (UAC) to help protect your computer”

- Остава да натиснете бутона “OK”, да рестартирате компютъра.

Моля, спрете UAC според упътването, което съм дал по-горе.

Това е задължително

И вадим тежката артилерия- ComboFIX

Не че имаме голям избор...

Моля, спрете всички програми, преди да пуснете ComboFix, не движете прозореца на програмата, в никакъв случай не натискайте произволни клавиши и т.н

Ако нямате инсталирана RecoveryConsole, може да ви излезе съобщение за това.

Имайте предвид, че е за ваше добро да я инсталирате.

След инсталацията й, ще бъдете запитана дали да продължите за сканиране за зловредни програми.

Потвърдете с Yes.

ComboFix ще започне сканиране и ще прекъсне интернет връзката ви временно.

Сканирането може да отнеме известен период от време.

Когато сканирането на ComboFix приключи, в NotePad ще се появи лог файл-log.txt

Запазете го и го прикачете в следващият си коментар.

Ако интернет връзката ви не бъде възстановена след приключване на работата с ComboFix, следвайте следното упътване

Линк

[anarven]

Извинявам се, обаче нямам Make changes to your user account в панела, след като избера Go to the main User Account page.

Като потърся нещо за UAC, ми излиза това. Качвам снимка да видите как изглежда страницата с контрол на акаунтите (аз съм единственият акаунт, няма втори), а вляво съм посочила нещо, което не си спомням, но сигурно е активирано автоматично при инсталацията. Да оставя ли тикчето върху Allow Remote Assistance или да го махна?

 

Не зная дали ще е полезно, но днес сканирах и с това ESET Online и, естествено, не откри нищо, но по това време някъде (сутринта) няколко пъти ми се срина Windows Explorer. Реших, че е от сканирането, но не съм сигурна дали само по това време е било. Сега нямам проблеми от този род.

[TechMaster]

Дайте точно на Change User Account Control Settings, слайдера на Never Notify, потвърждавате и рестарт, за да влезе в сила.

Не слагайте тикче на Allow Remote Assistance

[anarven]

Не слагайте тикче на Allow Remote Assistance

 

 

Тъпото е, че досега си е било включено.

На Never Notify го сложих. Ще рестартирам.

 

Опитах се да стартирам това Комбо, долу съм постнала резултата. Изобщо това нещо не се маха, каквото и да го правя (пробвах с End Task в тск менъджера, но не става, затова го затворих през Processes и тогава просто ми изписа, че Комбото не се е инсталирало правилно.

 

[anarven]

Привет!

 

Реших да преименувам Комбото и го свалих директно на С, като докато го свалях, преименувах на love.exe. Деинсталирах Комодото и, да не повярва човек, Комбото тръгна (не ми е искало сваляне на Windows Recovery Console или нещо такова, само пишеше, че парви Restore). Прикачам лога:

com-log.txt

 

 

Не е за вярване, но този път и логът на GMER е пълен:

gmer-log-full.txt

 

RootRepeal, обаче, все още не иска да тръгне и при пускане ми изписва това, което съм постнала по-горе.

 

Иначе, компютърът ми се държи странно. Авирата някак хем я има, хем я няма в програмните файлове, дори не ми дава да я деинсталирам, иконата я има, но не реагира по никакъв начин, самото ехе го няма в програмите. Програмите стартират, все едно за първи път ги пускам. Това от юзър контрола ли е? Да го възстановя ли?

[TechMaster]

Така, искам да ми опишете точната ситуация в момента и какви промени сте правили по системата, освен премахването на Comodo и дали се ровичкали нещо.

Искам да пуснете сканиране с MBAM, за да видим дали това, което беше преди, като състояние все още е така.

Програмите стартират, все едно за първи път ги пускам. Това от юзър контрола ли е? Да го възстановя ли?

Не вярвам UAC да е причината за това.

Искам от вас да си направите и инсталационен диск с Windows7, от който да можем да извършим някои действия евентуално.

Искам отново да се опитате да пуснете

CatchMe.exe и Еsage Bootkit Remover и логове от тях

Искам лога от MBAM прикачен в тесктови формат, не copy-paste и скрийшот на екрана, ако бъде засечен файл/print screen и paste в paint/

[anarven]

Здравейте!

 

Нямам проблеми в момента със системата, програмите си запомнят всичко след първо пускане и сега са наред. Преинсталирах единствено Авира, Комодото не съм го инсталирала изобщо. Друго не съм пипала. Не ми се появява онова съобщение с "профилът не може да бъде открит". Не съм включвала UAC и System restore.

 

Единственият проблем е един, който възникна почти веднага с инсталацията на Уиндоус - не ми се обновява понякога Windows Explorer и много трудно търси файлове, бави се, докато не рестартирам компютъра, но разбрах, че е много често срещан проблем. Не ползвам никакъв вид шаринг, не проработиха повечето официални и неофициални съвети, освен този: (HKEY_CLASSES_ROOT\CLSID\{BDEADE7F-C265-11D0-BCED-00A0C90AB50F}\Instance\ And change DontRefresh to 0.), но от време на време се появява отново същият проблем, но не съм сменяла стойността, понеже не се сещам как да стигна до това място, за да я променя.

забравих да кажа, че всичко започна с инсталирането на ъпдейт на Java, който Комодото откри, че е с вирус. Изтри проблемния файл, но Java не тръгваше. Пробвах се да я преинсталирам, изтрих ръчно папката от Programs, като деинсталирах. Повече не пожела да се инсталира Java и това си е. Сега също не иска, ето това ми пише (по-рано ми даваше някаква грешка в разархивирането, която на сайта на Java пишеше, че понякога не могат да оправят, забравих й номера). Ето скрийншот от съобщението. Това стана около преди месец, мисля, но не ми е откривало проблеми, след като деинстелирах Java, освен че не иска да се инсталира вече.

 

Друго необичайно не намирам.

 

Ето логовете от МВАМ (вече не открива нищо нередно), Remover (то е снимка в Уърд) и от Catch me, което е kisses, понеже не се стартира с оригиналното си име, както и при повторно ползване с едно и също, при всяко ново преименуване, се стартира и сканира.

mbam-log-13-11.txt

kisses13-11.txt

Doc2.docx

Ето и снимка в Уърд на Catch me:

Doc1.docx

 

 

Не мога да създам друг диск с Уиндоус, освен тези, които имам, както ви казах:

Те са Recovery дискове, който възстановяват прединсталирания софтуер на компютъра. Имам такива (два са общо), които съм направила, веднага след като пуснах за първи път компютъра. Доколкото схващам, те са употребими само да моя личен лаптоп и няма да тръгнат на друга машина, и от тях ще си възстановя всички прединсталирани програми в първичното състояние. Досега съм го правила на друг лаптоп с Виста и не съм имала проблеми, но там причината за преинстала бяха някакви проблеми в самия Уиндоус. При буутване, тезии дискове не те питат нищо, освен да настроиш времето, езика, името на компютъра и евентуално да сложиш пас администраторски - няма начин дори да разделяш партишъните. Изобщо, всичко е автоматично, затова не виждам как може да се използват за друго, освен за преинстал.

 

Моля ви, кажете какво разбирате от логовете на Комбото и другите и дали трябва да преинсталирам Уиндоуса?

Благодаря ви много!