Вирус пратен по Скайп

B-boy/StyLe/ · Януари 4, 2010

Забравих само да спомена, ако не е много голяма като обем да качите папката C:\_OTM на този адрес: http://www.rapidshare.de за да можем да я изтеглим.

Ако е много голяма не я качвайте, но при всички случаи я изтрийте от компютъра си.

vil · Януари 4, 2010

не успях да я кача, излиза ми, че е not valid :S

Но успях да я изтрия от компютъра

Много благодаря за помоща и съдействието

Zdravec · Януари 9, 2010

Здравейте!

Изчетох внимателно и с интерес всичко писано във форума относно вирусите в скайп.

Е...ясно е че, и аз си изпатих от вирус в кайпе. Получих многократни цитати от разговори на абонат от списъка ми. Идваха въпреки че тя не е на линия, а скайпе я оповестяваше "онлайн". Разбирайки какво става- блокирах абоната, деинсталирах скайп, почистих с антивирусната - Антивир Гард и Спай бот - но нищо. Изтрих всички темпорални файлове, бисквитки и протоколи на мозилата, след което и нея деинсталирах. Въпреки положените усилия - компютърът ми почна днес да работи много бавно бавно. После се разтърсих в нета за помощ и намирих Вас. Изчетох доста неща. Разбирам че проблемите с вирусите са сериозно знание. Деинсталирах спай бот -и инсталирах Malwarebytes' Anti-Malware както съветвате вие във форума. Е..алелуя - оказа се че, компа е инфектиран с 15 вредителя Malwarebytes' Anti-Malware 1.44

Версия на базата от данни: 3527

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

2010-01-09 18:59:20

mbam-log-2010-01-09 (18-59-20).txt

Тип сканиране: Бързо сканиране

Сканирани обекти: 106349

Изминало време: 12 minute(s), 57 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 8

Заразени стойности в регистратурата: 1

Заразени информационни обекти в регистратурата: 2

Заразени папки: 0

Заразени файлове: 4

Заразени процеси в паметта:

(Не бяха открити заплахи)

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Заразени стойности в регистратурата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysgif32 (Trojan.Agent) -> Quarantined and deleted successfully.

Заразени информационни обекти в регистратурата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заразени папки:

(Не бяха открити заплахи)

Заразени файлове:

C:\WINDOWS\system32\drivers\nqjkxoti.sys (Rootkit.Agent) -> Delete on reboot.

C:\Documents and Settings\user\Start Menu\Programs\Startup\siszyd32.exe (Trojan.Agent) -> Delete on reboot.

C:\Documents and Settings\user\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.

След рестартиранто на системата пуснах ново сканиране на цялата система - и се откри още един

Заразени файлове:

C:\System Volume Information\_restore{98D17103-31FA-4C4C-A740-934E5D0DEBAA}\RP376\A0035772.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Искеше ми се отново да кача скайп - най вече заради това че работя от 4 месеца в друг град и скайп е един много удобен начин да поддържам връзка с бликите си.

Но...реша ли да инсталирам скайпе - компютъра почва отоново да бави и в продължение на повече от три минути не е заредил наполовина екзетата на скайпа.

Преустанових даунлодването и реших да ви помоля за съвет и помощ.

Искрено се надявам че... някой знае решението на този казус. Благодаря ви предварително.

Night_Raven · Януари 9, 2010

Изтегли GMER. Разархивирай, ако е в архив. Стартирай я. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

Изтегли DDS и:

1) я стартирай;

2) изчакай да събере информацията си;

3) ще се появят 2 текстови файла, запази ги на удобно място (на работния плот например), архивирай ги и прикачи архива към коментара си.

Важно: ако имаш инсталирана антивирусна програма, е желателно да спреш временно резидентната й защита, за да не попречи евентуално на нормалната работа на DDS.

Zdravec · Януари 10, 2010

Night_Raven благодаря ти за отзоваването на моята молба.

Инсталирах GMER и изпълних указанията ти. След първонаалният й бърз преглед - в момента нищо не изписва. ПРавя разлика понеже оня ден опитвайки се да си реша проблема сама - след като изчетох доста коментарии по темата при Вас - инсталирах GMER и тогава тя изписваше доста редове след първоналният преглед. Имаше и ред в червен текст - който програмата ми съобщаваше че има засечени ROOT - кити.

СВалих и dds - но тя при стартирането ми изписва -

MZђ яя ё @ Ђ є ґ Н!ёLН!This program cannot be run in DOS mode.

Снощи реших да възстановя от точка уиндоса - и избрах дата преди появата на проблема. Ибрах дата 19 декември. Тази сутрин при стартирането на компа - скайпа почна да се инсталира сам - спрях инсталацията.

спряля съм временно резидентната защита на антивирусна програма

ето цялата информация която се изписва при стартирането на dds

dds start.rar

Night_Raven · Януари 10, 2010

Моля, изтегли exeHelper, стартирай го и го изчакай да си свърши работата. След като приключи ще изведе текстов файл и ще чака да натиснеш някой клавиш, за да се затвори. Натисни кой да е клавиш в прозореца на програмата, а текстовият файл можеш да го прикачиш към следващия си коментар ако желаеш.

Ако имаш антивирусна програма инсталирана, я спри, както и всякакви други излишни програми. Изтегли ComboFix (ако случайно вече имаш някаква версия, я замени) и го запази на работния плот. При поява на прозореца за запазване на файла в браузъра, моля, преименувай "ComboFix" на "Combo-Fix" (т.е. добави тире между "Combo" и "Fix").

Стартирай ComboFix, потвърди с Yes на прозорците, които се появяват. Ако ти се предложи да се инсталира Recovery Console, се съгласи.

Изчакай да сканира докрай и не кликай по прозореца на инструмента. Ако има нужда от рестарт, компютърът ще се рестартира автоматично. След рестарта трябва да продължи сканирането. Отново не закачай прозореца, докато той не се самозатвори. След това пейстни съдържанието на текстовия файл C:\Combo-Fix.txt тук или го прикачи към коментара си.

Ако след сканирането с ComboFix останеш без интернет, моля, рестартирай компютъра си.

Zdravec · Януари 10, 2010

Привет отново. Изпълних всичко- както ме упътихте. Първо инсталирах ExeHelper - ето рапорта му :

exeHelper by Raktor

Build 20091220

Run at 19:08:09 on 01/10/10

Now searching...

Checking for numerical processes...

Checking for sysguard processes...

Checking for bad processes...

Checking for bad files...

Checking for bad registry entries...

Resetting filetype association for .exe

Resetting filetype association for .com

Resetting userinit and shell values...

Resetting policies...

--Finished--

След това инсталирах Combo-Fix по упоменатия ред. Интересно че с интернет експлорера - не искаше да се свали - побеляваше целият прозорец - след като чуквах върху линка на Combo-Fix. Свалих я с Опера браузър.

След приключване на работата му - затворих NotePad доклада - с очакването че той е на десктопа и ще го архивирам и прикача тук. Да..но сега не мога да го открия. Пуснах и търсачката - но и тя не открива такъв файл.

Доклада бе доста дълъг и честно казано - както ти самият казваш в други рубрики - наистина ме домързя да го чета.

Сега мога ли пусна антивирусната си програма? И какво да правя с Комбо фикса занапред?

draco_volans · Януари 10, 2010

Виж дали лога не се намира на C:\, където би трябвало да е и карантинната папка на ComboFix (Qoobox)

Zdravec · Януари 10, 2010

Даааа благодаря ви - наистина бе в C:\. Ето доклада

ComboFix 10-01-04.01 - user 2010-01-10 19:53:53.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1251.1.1033.18.958.540 [GMT 2:00]

Running from: c:\documents and settings\user\Desktop\Combo-Fix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FW: ActiveArmor Firewall *disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}

.

ADS - svchost.exe: deleted 68 bytes in 1 streams.

ADS - explorer.exe: deleted 100 bytes in 1 streams.

ADS - win32k.sys: deleted 36 bytes in 1 streams.

ADS - netcfgx.dll: deleted 36 bytes in 1 streams.

((((((((((((((((((((((((( Files Created from 2009-12-10 to 2010-01-10 )))))))))))))))))))))))))))))))

.

2010-01-10 11:52 . 2010-01-10 11:52 -------- d-----w- c:\windows\LastGood

2010-01-10 07:14 . 2010-01-10 07:14 -------- d-----w- c:\windows\ServicePackFiles

2010-01-10 07:12 . 2010-01-10 07:12 -------- d-----w- c:\program files\MSXML 4.0

2010-01-09 20:50 . 2010-01-10 07:41 -------- d-----w- c:\windows\system32\CatRoot_bak

2010-01-09 20:07 . 2008-06-13 13:10 272128 -c----w- c:\windows\system32\dllcache\bthport.sys

2010-01-09 20:07 . 2008-06-13 13:10 272128 ------w- c:\windows\system32\drivers\bthport.sys

2010-01-09 19:51 . 2008-10-24 11:10 453632 -c----w- c:\windows\system32\dllcache\mrxsmb.sys

2010-01-09 19:26 . 2009-08-04 14:00 2180352 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe

2010-01-09 19:26 . 2009-08-04 13:58 2136064 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe

2010-01-09 19:26 . 2009-08-04 13:13 2015744 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe

2010-01-09 19:26 . 2009-08-04 13:13 2057728 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe

2010-01-09 19:07 . 2010-01-10 11:52 -------- d--h--w- c:\windows\$hf_mig$

2010-01-09 17:51 . 2010-01-09 17:51 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Opera

2010-01-09 17:50 . 2010-01-09 20:29 -------- d-----w- c:\program files\Opera

2010-01-09 16:27 . 2010-01-09 16:27 -------- d-----w- c:\documents and settings\user\Application Data\Malwarebytes

2010-01-09 16:27 . 2010-01-07 14:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-01-09 16:27 . 2010-01-09 16:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-01-09 16:27 . 2010-01-07 14:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-01-09 16:27 . 2010-01-09 16:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-01-04 09:04 . 2010-01-04 09:04 -------- d-s---w- c:\documents and settings\user\UserData

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-10 17:51 . 2008-01-24 04:56 -------- d-----w- c:\program files\BitComet

2010-01-10 07:13 . 2007-09-12 04:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype

2010-01-09 17:03 . 2006-10-12 02:38 52624 -c--a-w- c:\documents and settings\user\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-01-09 16:35 . 2008-09-21 06:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-01-08 14:07 . 2008-01-23 05:14 -------- d-----w- c:\documents and settings\user\Application Data\skypePM

2010-01-08 06:22 . 2010-01-08 06:22 16 ----a-w- c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat

2009-12-20 16:12 . 2008-04-23 18:28 -------- d-----w- c:\program files\Google

2009-12-11 17:48 . 2008-01-24 04:54 -------- d-----w- c:\program files\MemTurbo30

2009-12-07 17:20 . 2009-09-09 10:02 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-11-21 12:09 . 2006-02-10 01:43 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-11-21 05:37 . 2009-03-14 18:57 -------- d-----w- c:\program files\Favorite-Games

2009-11-17 14:32 . 2008-06-06 16:01 44 ----a-w- c:\windows\popcinfo.dat

2009-11-15 09:09 . 2006-02-10 02:26 -------- d-----w- c:\program files\Winamp

2009-10-29 05:48 . 2004-08-03 21:56 662016 ----a-w- c:\windows\system32\wininet.dll

2009-10-13 10:53 . 2004-08-03 21:56 266752 ----a-w- c:\windows\system32\oakley.dll

2008-01-23 18:45 . 2008-01-23 20:31 50341195 ----a-w- c:\program files\Polyglot_7_All_Dictionaries.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

B-boy/StyLe/ · Януари 10, 2010

Сигурнa ли сте, че това е целия лог файл ?

За да ви помогне, колегата има нужда от пълното му съдържание.

Моля проверете и го публикувайте наново.

Zdravec · Януари 10, 2010

Простете за недоглеждането...