Заразен компютър доста

[st.stoyanov2]

Здравейте,

И моя комп е доста заразен. Оспях да прочета малко от правилата(извинявам се за което), но на няколко пъти имах син екран и рестарт. Всичко започна когато влязох в саит youtube, авира започна да плюе съобщения едно слет друго че повечето .exe са заразени. Деинстал на авира и спряха съобщенията, след това вече не мога да инсталирам никаква антивирусна, прозореца се затваря и имам ограничения. С hirens disk под виртуална машина успях да инсталирам malwarebyte тя засече няколко фаила (лоши ) и ги истри, но останаха още . След ръчно намиране на фаиловете и изтриване те пак се появяват. Прочетах няколко теми и разбрах че се действа индивидуално за всеки случаи. Подогнете.

 

Прилагам репорт на dds и otl

п.с.: маи имам и вирус от флашки autorun.inf които слага фаилове със странни имена . след изстъване ръчно пак се появява

dds.txt

OTL.Txt

[icotonev]

Здравейте..!Вашата система е заразена с полиморфен вирус Sality..По принцип борбата с него е меко казано загубена кауза..Едно вероятно лечение на системата ви не гарантира успех..Въпреки това в зависимост колко и какви са пораженията може да опитаме..но пак казвам - не очаквайте чудеса..!

Прекрасна статия по въпроса е написал нашия администратор Night_Raven: Virut и Sality - информация и почистване

 

1. Спрете Autorun функцията.

Изтеглете и стартирайте следния файл http://support.microsoft.com/library/images/support/EN-US/Button_FixIt_Silver.jpg

Стартирайте го и се съгласете с лицензионното споразумение.

Натиснете Next и изчакайте да си свърпи работата.

 

 

 

2. Спрете System Restore функцията.

 

 

Щракнете с десен бутон върху My Computer, после следвайте следните стъпки: Properties -> System restore и сложете отметката пред Turn System Restore on all drives. Натиснете Apply.

 

 

 

3. Изтеглете SalityKiller и го запазете на десктопа.

Изключете интернет достъпа и след това сканирайте с него по описания по-надолу начин:

• Изтеглете SalityKiller и го разархивирайте на десктопа.
  
• Отворете Start => Run => въведете командата "%userprofile%\desktop\salitykiller" -l c:\report.txt
  
• Изчакайте проверката да завърши.
  
• Публикувайте съдържанието на лог файла C:\report.txt в следващия си пост.
  

 

4.Изтеглете Kaspersky Virus Removal Tool 2011 (Сканирането е продължително,бъдете търпелив)

 

След като стартирате инструмента, отидете до Settings (Иконата която прилича на звездичка) сложете отметка пред My Computer.

 

http://support.kaspersky.com/images/support_new/6187_01.gif

 

От опциите за почистване изберете Disinfect => но не избирайте delete if disinfection fails.

 

http://support.kaspersky.com/images/support_new/6187_03.gif

 

Върнете се до Automatic Scan и натиснете Start Scanning.

 

http://support.kaspersky.com/images/support_new/6183_01.gif

 

Ако по време на сканирането ви попита за дадено действие изберете skip.

След като приключи проверката изберете Report (Иконата която прилича на листче) => Detected Threats изберете SAVE и запазете документа на десктопа.

 

http://support.kaspersky.com/images/support_new/6192_02.gif

 

Kопирайте съдържанието му в следващия си пост.

Затворете инструмента - това ще до деинсталира автоматично.

 

 

Внимание..! Ако не можете да изтеглите SalityKiller чрез линка който съм дал..това е че вируса блокира действието.За целта съм прикачил инструмента чрез форумната система..!

 

salitykiller.zip

[st.stoyanov2]

точка 1 снимката

точка 2 ок

точка 3 сваляне и скан доста време. Според антивирусната всички .exe в c: и d: са заразени и лекувани

точка 4 немога да слаля фаила : дава ми page error

report.txt

[icotonev]

точка 4 немога да слаля фаила : дава ми page error

 

Линака си работи....!

Ето директен:

 

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/avptool11/setup_11.0.0.1245.x01_2013_01_19_21_44.exe

[st.stoyanov2]

и с него нестава

[icotonev]

Изчакайте малко,аз ще го изтегля и ще го кача тук...!

 

През това време:

 

http://www.techsupportforum.com/images/smilies/i_arrow-r.gif Изтеглете ComboFix http://i121.photobucket.com/albums/o239/kevinf80/combofix.gif от тук и го запазете на десктопа си.

• Стартирайте Combo-Fix.com http://i121.photobucket.com/albums/o239/kevinf80/combofix.gif и следвайте инструкциите.
  

Когато процесът приключи успешно, инструментът ще създаде лог файл. Моля, включете съдържанието на C:\ComboFix.txt в следващия Ви коментар в тази тема.

 

Бележка:

• Моля, не движете мишката, докато ComboFix работи. Това може да наруши процеса на работа.
  
• ComboFix ще нулира всички настройки на Microsoft Internet Explorer, включително да направи IE браузър по подразбиране.
  
• ComboFix ще изключи autorun функцията на ВСИЧКИ CD, Floppy и USB устройства, за да помогне при премахването на зловредния софтуер и Ви защити от бъдещи вируси/заплахи, които поразяват чрез autorun. Ако това е проблем за вас - моля, уведомете ме.
  
• ComboFix ще изключи вашата интернет връзка. Интернет връзката ще се възстанови автоматично, преди ComboFix да завърши процеса на работа. При проблем, той ще прекрати интернет връзката. За да възстановите интернет връзката си, рестартирайте компютъра си.
  
• В случай на проблем с ComboFix, той може да създаде лог файл. Моля, включете съдържанието на C:\BUG.txt в следващия Ви коментар в тази тема.
  

http://www.techsupportforum.com/images/smilies/i_exclaim.gif Моля, не прикачвайте лог файла/овете от програмата, а го/ги копирайте и поставете в следващия Ви коментар в тази тема.

[st.stoyanov2]

Стартирах виртуален win успях да изтегля касперски и сека сканира. Във виртуалния win успях да видя и гиф файла с настройките на касперски. Незнам кога ще свърши скана. Ще постна лога после.

[st.stoyanov2]

касперски репорт:

Status: Detected (events: 34)

1/19/2013 9:38:57 PM Detected Trojan program Trojan.Win32.Agent.viwe C:\Documents and Settings\deni\My Documents\Downloads\airbag.zip/airbag.exe High

1/19/2013 9:39:11 PM Detected Trojan program Packed.Win32.Black.a C:\Documents and Settings\deni\My Documents\Downloads\3511067RENAULT PIN READER v312.rar//RENAULT PIN READER v312/SetupPINReader312_OnlyRenault.exe//PINReader.msi High

1/19/2013 9:39:11 PM Detected Trojan program Packed.Win32.Black.a C:\Documents and Settings\deni\My Documents\Downloads\3511067RENAULT PIN READER v312.rar//RENAULT PIN READER v312/SetupPINReader312_OnlyRenault.exe//PINReader.msi//Data1.cab//pinreader.exe High

1/19/2013 9:39:34 PM Detected Trojan program Trojan.Win32.Agent.viwe C:\Documents and Settings\deni\My Documents\Downloads\airbag.exe High

1/19/2013 10:13:51 PM Detected Trojan program Trojan.Win32.Vilsel.boxf D:\GameZ\Heroes 3 Complete\erm_s\SD.EXE High

1/19/2013 10:14:25 PM Detected Trojan program Trojan.Win32.Vilsel.boxf D:\GameZ\Heroes 3 WOG vol 3.5\SD.EXE High

1/19/2013 10:25:30 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete.rar//Heroes 3 Complete/ADDTEXT.EXE High

1/19/2013 10:25:32 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete.rar//Heroes 3 Complete/backup/h3wog.exe High

1/19/2013 10:29:12 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete2.rar//Heroes 3 Complete/ADDTEXT.EXE High

1/19/2013 10:29:14 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete2.rar//Heroes 3 Complete/backup/h3wog.exe High

1/19/2013 10:29:54 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete.rar//Heroes 3 Complete/erm_s/copymap.exe High

1/19/2013 10:29:54 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete.rar//Heroes 3 Complete/erm_s/REMTEXT.EXE High

1/19/2013 10:29:54 PM Detected Trojan program Trojan.Win32.Vilsel.boxf D:\GameZ\Heroes 3 Complete.rar//Heroes 3 Complete/erm_s/SD.EXE High

1/19/2013 10:29:54 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete.rar//Heroes 3 Complete/erm_s/TXT2ERM.EXE High

1/19/2013 10:29:58 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete.rar//Heroes 3 Complete/h3ccmped.exe High

1/19/2013 10:29:59 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete.rar//Heroes 3 Complete/h3maped.exe High

1/19/2013 10:29:59 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete.rar//Heroes 3 Complete/h3wcmped.exe High

1/19/2013 10:30:00 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete.rar//Heroes 3 Complete/H3WMAPED.EXE High

1/19/2013 10:30:03 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete.rar//Heroes 3 Complete/Heroes3.exe High

1/19/2013 10:30:13 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete2.rar//Heroes 3 Complete/erm_s/copymap.exe High

1/19/2013 10:30:13 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete2.rar//Heroes 3 Complete/erm_s/REMTEXT.EXE High

1/19/2013 10:30:13 PM Detected Trojan program Trojan.Win32.Vilsel.boxf D:\GameZ\Heroes 3 Complete2.rar//Heroes 3 Complete/erm_s/SD.EXE High

1/19/2013 10:30:13 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete2.rar//Heroes 3 Complete/erm_s/TXT2ERM.EXE High

1/19/2013 10:30:16 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete2.rar//Heroes 3 Complete/h3ccmped.exe High

1/19/2013 10:30:17 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete2.rar//Heroes 3 Complete/h3maped.exe High

1/19/2013 10:30:17 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete2.rar//Heroes 3 Complete/h3wcmped.exe High

1/19/2013 10:30:18 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete2.rar//Heroes 3 Complete/H3WMAPED.EXE High

1/19/2013 10:30:19 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete2.rar//Heroes 3 Complete/Heroes3.exe High

1/19/2013 10:30:22 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete.rar//Heroes 3 Complete/ONLINE/AUTORUN.EXE High

1/19/2013 10:30:49 PM Detected virus Virus.Win32.Sality.gen D:\GameZ\Heroes 3 Complete2.rar//Heroes 3 Complete/ONLINE/AUTORUN.EXE High

1/19/2013 10:33:14 PM Detected Trojan program Exploit.Win32.Nuker.Cyrus.b D:\GameZ\StarCraft\RegSetup.zip/RegSetup.exe High

1/19/2013 10:51:36 PM Detected virus Virus.Win32.Sality.gen D:\Programi ot mrejata\Craks and Key generators (Games Only)\Crack - Need For Speed - Underground\dev-nfsk.exe High

1/19/2013 10:51:58 PM Detected virus Virus.Win32.Sality.gen D:\Programi ot mrejata\Craks and Key generators (Games Only)\Key Generators\KeyGen FIFA 2004\FIFA-2004-KeyGen.exe High

1/19/2013 10:51:58 PM Detected virus Virus.Win32.Sality.gen D:\Programi ot mrejata\Craks and Key generators (Games Only)\Key Generators\KeyGen - Total Club Manager 2004\TCM2004-KeyGen.exe High

Status: Disinfected (events: 1)

1/19/2013 10:07:42 PM Disinfected virus Virus.Win32.Sality.gen D:\GameZ\BG Ribolov\??.2.0.55.BG.2\RF2.0.exe High

 

OT combo fix немога да намеря лога

[icotonev]

Проверете тук: C:\ComboFix.txt

Само да попитам ..сканирането с Комбофикс направихте преди сканирането с Каксперски или след него..?

[st.stoyanov2]

няма лог

първо с касперски после с комбо

[icotonev]

Клавишна комбинация Windows Key + R и с copy/paste поставете в отворилия се прозорец: C:\ComboFix.txt ..Съдържанието копирайте в следващия ви пост..!

 

Ако не се получи архивирайте папката C:\Qoobox и я качете на някой външен сървър..Например тук: http://www.zippyshare.com/ . Публикувайте линк за да изтегля папката...!

[st.stoyanov2]

Извинявам се за забавянето. Началото на седмицата тръгна зле .Ето архива от тук. http://www39.zippyshare.com/v/10284352/file.html

[st.stoyanov2]

Още нещо странно: При нормално стартиран win в с: имам икона като my computer с име combofix и 42МБ. Като стартирам виртуален win ВИЖДАМ папка с име combofix и е нея други папки и фаилове и там намерих този combofix.txt В c:\combofix\combofix.txt:

 

ComboFix 13-01-21.04 - deni 01/21/2013 22:54:17.5.2 - FAT32x86

Microsoft Windows XP Professional 5.1.2600.0.1252.1.1033.18.2047.1382 [GMT 2:00]

Running from: C:\Documents and Settings\deni\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

AV: Kaspersky Anti-Virus *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FW: Kaspersky Anti-Virus *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

 

ТОВА ли е което търсим?

[icotonev]

Добре..да опитаме отново:

 

Изтрийте вашето копие на Комбофикс (като изтриете иконата http://i121.photobucket.com/albums/o239/kevinf80/combofix.gif от вашия десктоп)...изтеглете ново свежо копие от тук и го запазете на десктопа си.Направете нова проверка по инструкцията от пост 6.Всичко това се случва при нормално стартиран Windows..!

[st.stoyanov2]

Изтрих иконата от декстопа , папката (иконата ) комбофикс и Qoobox .Изтеглих я наново. Скан и изчаках после се появи това снимка scan3. Restart. Скед рестарт в с: няма combofix.txt а има снимка scan4

 

Изтрих иконата от декстопа , папката (иконата ) комбофикс и Qoobox .Изтеглих я наново. Скан и изчаках после се появи това снимка scan3. без икони на декстопа и таск бар Restart. Скед рестарт в с: няма combofix.txt а има снимка scan4 нова папка комбо фикс(икона)