Trojan:Win32/Sirefef.P помощ

[green_bg]

Моя грешка..

OTL.Txt

Extras.Txt

[Night_Raven]

Стартирай отново OTL. В празното поле "Custom Scans/Fixes" (в долната част на програмата) постави следния текст (маркирай го, натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):

 

:OTL
[2012.03.30 23:21:38 | 000,000,000 | -HSD | C] -- C:\Users\Scrol\AppData\Local\415d6a2c
[2011.07.17 03:58:32 | 000,011,540 | -HS- | C] () -- C:\Users\Scrol\AppData\Local\v0eok7k1d0u7067woq13n0k6w4xr
[2011.07.17 03:58:32 | 000,010,948 | -HS- | C] () -- C:\ProgramData\v0eok7k1d0u7067woq13n0k6w4xr
[2012.04.01 10:26:10 | 000,003,496 | ---- | M] () -- C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb
[2012.04.01 10:26:13 | 000,003,496 | ---- | M] () -- C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb
@Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:05EE1EEF
:Files
C:\WINDOWS\*.tmp
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System]
"EnableLUA"=dword:00000001
:Commands
[emptytemp]
[reboot]

Копирай текста точно както е в полето. Внимавай да не изтървеш началното двуеточие и всяка команда да е на отделен ред, както е в полето.

 

Кликни бутон Run Fix. Потвърди с OK на съобщението, че е нужен рестарт на системата.

 

След рестарта ще се появи текстов дневник/лог. Същият файл се намира в C:\_OTL\MovedFiles. Моля, прикачи го към следващия си коментар.

 

След това стартирай отново OTL, създай пресен дневник и го прикачи отново.

[green_bg]

All processes killed

========== OTL ==========

C:\Users\Scrol\AppData\Local\415d6a2c folder moved successfully.

C:\Users\Scrol\AppData\Local\v0eok7k1d0u7067woq13n0k6w4xr moved successfully.

C:\ProgramData\v0eok7k1d0u7067woq13n0k6w4xr moved successfully.

C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb moved successfully.

C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb moved successfully.

========== FILES ==========

C:\WINDOWS\msdownld.tmp folder moved successfully.

========== REGISTRY ==========

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"EnableLUA"|dword:00000001 /E : value set successfully!

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 56475 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

User: Scrol

->Temp folder emptied: 21470904 bytes

->Temporary Internet Files folder emptied: 1824853 bytes

->Java cache emptied: 4412623 bytes

->FireFox cache emptied: 262816772 bytes

->Google Chrome cache emptied: 69446952 bytes

->Flash cache emptied: 3327412 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 844 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 347,00 mb

 

 

OTL by OldTimer - Version 3.2.39.2 log created on 04022012_232759

 

Files\Folders moved on Reboot...

 

Registry entries deleted on Reboot...

OTL.Txt

[Night_Raven]

Така е много по-добре, но ми се иска да махнем само още един обект.

 

Стартирай отново OTL. В празното поле "Custom Scans/Fixes" (в долната част на програмата) постави следния текст (маркирай го, натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):

 

:OTL
@Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:05EE1EEF

Копирай текста точно както е в полето. Внимавай да не изтървеш началното двуеточие и всяка команда да е на отделен ред, както е в полето.

 

Кликни бутон Run Fix. Ако ти се поиска рестарт, се съгласи.

 

След премахването на обекта трябва отново да се появи текстов файл. Същият файл се намира в C:\_OTL\MovedFiles. Моля, копурай му съдържанието в следващия си коментар.

 

Накрая изготви (за последно) пресен дневник от OTL, за да потвърдя дали наистина всичко се е стабилизирало. Ако е (както предполагам), ще преминем към премахване на използваните инструменти и финалната фаза.

 

Спкойно, ще ти отговоря на въпроса, но нека първо се уверя, че всичко е наред.

[green_bg]

========== OTL ==========

ADS C:\ProgramData\TEMP:05EE1EEF deleted successfully.

 

OTL by OldTimer - Version 3.2.39.2 log created on 04032012_133708

OTL.Txt

[Night_Raven]

Добре, всичко е както трябва.

 

---

 

Можеш да изтриеш TDSSKiller и всичките й дневници.

 

---

 

Отвори Start -> Run. В полето пейстни следния текст и кликни OK:

"%userprofile%\Desktop\ComboFix.exe" /uninstall

Това ще деинсталира ComboFix.

 

Ако нямаш Run в Start менюто, натисни клавиша Win (на клавиатурата) + R.

 

---

 

Стартирай отново OTL и кликни бутон CleanUp. Това ще премахне инструмента и принадлежащите му фалове и папки.

 

---

 

Напомням да актуализираш (инсталираш последните версии) всичките си браузъри, Adobe Flash Player, Microsoft Silverlight и Java Runtime Environment. Същото се отнася и за операционната система.

 

Колкото до антивирусната, ползвай която ти е удобна. Няма най-добра антивирусна и която и да инсталираш, няма гаранция, че ще те опази от всички заплахи. От платените бих казал, че най-смислените са Kaspersky Anti-Virus (която обаче е тежка) и ESET NOD32 Antivirus. От безплатните считам avast! Free Antivirus, Avira Free Antivirus и Microsoft Security Essentials за най-смислените. AVG Anti-Virus Free също не е лоша, но по мое мнение е под предходните три.

[green_bg]

Сега ще дръпна някоя от изброените.. Благодаря за отделеното време и изчерпателния отговор!

[Night_Raven]

За малко да забравя.

 

Изтегли OTS и го запази на работния плот. В поле "Paste Fix Here" постави следния текст:

[unregister Dlls]
[Custom Scans]
NY -> %APPDATA% -> c:\windows\system32\%APPDATA%
[Empty Temp Folders]

След това кликни бутон Run Fix и потвърди с Yes на изисквания рестарт.

 

След рестарта провери папка C:\_OTS\MovedFiles за дневника и му постави съдържанието в следващия си коментар.

[green_bg]

All Processes Killed

[Custom Scans]

c:\windows\system32\%APPDATA%\Microsoft\Windows\IETldCache folder moved successfully.

c:\windows\system32\%APPDATA%\Microsoft\Windows folder moved successfully.

c:\windows\system32\%APPDATA%\Microsoft folder moved successfully.

c:\windows\system32\%APPDATA% folder moved successfully.

[Empty Temp Folders]

 

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

User: Scrol

->Temp folder emptied: 11750441 bytes

->Temporary Internet Files folder emptied: 2760791 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 358353477 bytes

->Google Chrome cache emptied: 0 bytes

->Flash cache emptied: 4653 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 53426 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 356,00 mb

 

< End of fix log >

OTS by OldTimer - Version 3.1.47.2 fix logfile created on 04032012_213758

[Night_Raven]

Добре. Можеш да стартираш отново OTS и да кликнеш бутон CleanUp, за да се премахне инструмента.

 

Мога да ти препоръчам да направиш едно профилактично (бързо) сканиране с Malwarebytes Anti-Malware и евентуално SUPERAntiSpyware, евентуално да оберат някои остатъци от... нещо. След това според мен можеш да деинсталираш SUPERAntiSpyware, защото не е особено нужна. И все пак решението е твое.