Проблем с вирус...май

[Deadmann]

Здравейте, имам проблем и се нуждая от помощ от някого, който е по-навътре в нещата от моите скромни познания.

 

Всъщност нещата стоят така:

 

Преди около месец започнах да имам проблеми с троянци...антивирусната ми NOD32(не оригинална, за жалост) се оказа безпомощна и докато се наканя да потърся помощ, загубих връзка към интернет и контрол над половината си компютър...което довете до преинстал с формат.

 

След качването на новия Windows, гледах да качвам най-предпазливо програми и използвах Panda Antivirus(оригинална версия). След сканиране, намери само adware и го премахна. За жалост, договорът изтичаше в края на 2008 и ми се наложи да мина на Avira Free edition.

 

От тук започва и проблемът:От 1-2 дена Avira започна да ми лови някакв троянец...ето event log-a:

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'

detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4DK363M9\x[1].

Action performed: Delete file

 

и

 

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'

detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4DK363M9\x[1].

Action performed: Delete file

 

Както се вижда, дадох да изтрие файловете, но след около 5 минути припищя отново...пак същите мерки, нямаше нови аларми. На следващия ден отново 2 пъти ми показа същите файлове със същият троянец и след 2-рия път отново спря.

 

Имам чувството, че е един порочен кръг и всъщност вирусът си остава...освен това след известно време работа, sound driver-ите ми просто спират да функционират. Не знам дали има нещо общо, но се появи след като се появи и троянецът и реших да го спомена.

 

Ще съм адски благодарен, ако получа помощ. Имам само HiJackthis на компютъра, но ще изтегля каквото е нужно.

[Maniac]

Сканирай с MalwareBytes' Anti-Malware:

 

1. Изтеглете: MalwareBytes' Anti-Malware

2. Инсталирайте го.

3. Кликвате на иконата “Malwarebytes’ Anti-Malware“.Първото и най-важно нещо е да отидете в категорията “Update” и да изберете бутончето “Check For Updates“.

4. След това се насочете към секцията “Scanner” и изберете опцията “Perform quick scan” (особено ако за първи път стартирате приложението.Щраквате на бутончето “Scan“, посочвате кои дялове ма компютъра да бъдат проверени.Можете да маркирате и само дяла на който е инсталирана Операционната Система и натискате “Start Scan“.

5. След края на проверката ще получите или съобщение, че вредители не са намерени или ще получите възможност да ги маркирате и изтриете.

6. Най-накрая ще получите лог файл с извършените процедури. Моля, копирайте го и го поставете тук, за да видим какво е станало.

 

След, като приключиш с MalwareBytes' Anti-Malware:

 

Изтеглете ESET SysInspector

http://www.eset.bg/download/sysinspector.html

 

- Стартирайте програмата чрез SysInspector.exe

Програмата ще започне да събира информация за ситуацията на машината Ви.

- Когато "Инспекторът" е готов и log файлът - генериран , изберете File > Save Log

- Потвърдете желанието си

 

Изберете да запазите файла някъде и след това го прикрепете към поста си.

[B-boy/StyLe/]

Също така:

 

1. Спри System Restore:

 

Десен бутон на My Computer => Properties => System Restore => слагаш отметка пред Turn Off System Restore

 

Start => run => cleanmgr => More Options => System Restore => Clean UP

 

2. Почисти временните файлове с ATF-CLEANER.

 

(Избираш Select All => само махаш отметката пред Prefetch => Empty Selected).

 

3. Коригирай някои от настройките на програмата (моята гледна точка за тях) и пусни пълна проверка на компютъра си.

 

Отворете програмата с двоен клик върху иконката в трея и след това кликнете на configuration горе вдясно. Сложете отметка пред expert mode.

 

-SCANNER

 

Scan:

 

Files изберете All files

Additional settings махнете отметката само пред ignore offline files

 

http://www.picvalley.net/u/1488/616647586.JPG

 

Action for concerning files

 

изберете Automatic

поставете отметка пред Copy file to quarantine

 

Primary action изберете delete

 

http://img235.imageshack.us/img235/6568/83876555vh8.jpg

http://img235.imageshack.us/img235/83876555vh8.jpg/1/w682.png

 

Further action махнете отметката пред Acoustic Alert

 

http://img228.imageshack.us/img228/8798/44464860ic6.jpg

 

Archives поставете всички отметки, включително All archives types

 

http://img139.imageshack.us/img139/6607/64501054oq3.jpg

 

Heuristic тук е по-желание, High detection level е максималното ниво, но има опастност от някоя фалшива тревога, на нивото по подразбиране Medium detection level също е добре

 

http://img139.imageshack.us/img139/2182/21955006as7.jpg

 

-GUARD

 

Scan:

 

Scan mode изберете Scan when reading and writing

Files изберете All files

Archives поставете отметка пред scan archives

 

http://img139.imageshack.us/img139/7452/73386351zx7.jpg

 

Action for concerning files махнете отметката пред Acoustic Alert

 

http://img139.imageshack.us/img139/5207/71032275wn2.jpg

 

Heuristic ситуацията е същата както по-горе

 

http://img139.imageshack.us/img139/5483/86206179ap3.jpg

 

-GENERAL

 

Extended threat categories поставете отметка пред select all

 

http://img232.imageshack.us/img232/7280/85255026ft4.jpg

 

Security поставете всички отметки (първата можете да я махнете)

 

http://img139.imageshack.us/img139/4465/11332403et2.jpg

 

Не забравяйте накрая да натиснете ОК

[Deadmann]

Прилагам 2-та лога от програмите, които maniac написа. В момента сканирам компюъра с новите настройки на авира, изпълних и другите указания.

 

 

Редакция: Сега видях, че две аларми не са от Temporary internet files(между другото, ползвам Mozilla Firefox+Noscript, нямам нищо общо с IE).

 

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'

detected in file 'C:\WINDOWS.0\system32\x.exe.

Action performed: Delete file

 

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'

detected in file 'C:\WINDOWS.0\system32\x.exe.

Action performed: Delete file

 

Не са се появявали втори път тези 2 файла, надявам се и тази информация да е полезна.

SysInspector_NONAME_090122_1115.zip

mbam_log_2009_01_22__11_10_08_.txt

[Maniac]

Препоръчвам ти да деинсталираш следните приложения:

ICQ Toolbar

J2SE Runtime Environment 5.0 Update 7

Skins

Adobe Reader 7.0.7

 

ICQ Toolbar и Skins са ненужни, а J2SE Runtime Environment 5.0 Update 7 и Adobe Reader 7.0.7 са стари и уязвими приложения.

[B-boy/StyLe/]

Дам...отново проблем от който се опасявах:

 

1. Спри защитата в реално време на антивирусната си програма.

 

Изтегли:

 

 

 

SmitfraudFix

 

Работа с програмката:

 

Стартирайте я...тя ще създаде папка с името на програмата, отваряте я и търсите файл с името Smitfraudfix.cmd (разширението сигурно няма да видите, но иконката на файла е едно назъбено колело)...преди да го стартирате деактивирайте наличната си антивирусна програма!

 

http://siri.urz.free.fr/Fix/Bitmaps/Folder.png

 

След като ти се появи менюто от снимката...изберете бутона 2 за да започне проверката...

 

http://siri.geekstogo.com/Bitmaps/Fix01b.png

 

По някое време програмката ще ви пита дали да почисти регистрите...Изберете с Y и кликнете Enter...

 

http://siri.geekstogo.com/Bitmaps/Fix02b.png

 

След края на сканирането ще ти ви отвори текстов файл на извършената процедура и премахнатите файлове и инфектирани ключове от регистъра...Ще ви изчезне и WALLPAPER-a (десктоп тапета) да не се учудите!

 

Копирайте съдържанието на лог файла в следващия си пост.

 

SDFIX

 

Работа с програмата:

 

Използвайте акаунт с администраторски права.

Изтеглете програмата и стартирайте иконата на SDFIX.

Стартирайте я => изберете къде да я разархивирате. (например C:\SDFix)

Рестартирайте компютъра си в "безопасен режим" (save mode - припомпвате бутона F8 по време на рестарт на машината и избирате Safe Mode)

Сега стартирайте файла RunThis.bat (от паптака, където сте разархивирали SDFIX)

На този прозорец изберете Y за да продължите.Програмата ще започне проверка

 

http://img.bleepingcomputer.com/swr-guides/sdfix/scanning2.jpg

 

След проверката програмата ще поиска рестарт на машината ви.Натиснете някой бутон от клавиатурата за целта.

Накрая отново ще ви се отвори лог файл с изпълнените процедури.

 

Копирайте съдържанието на лог файла в следващия си пост.

 

Combofix

Запази го на десктопа.

 

Веведи следната команда:

 

http://img.photobucket.com/albums/v624/29wood/ka.png

 

"%userprofile%\desktop\combofix.exe" /killall

 

Копирайте съдържанието на лог файла в следващия си пост.

 

2. Генерирай логове от следните програми RSIT, OtlistIt

 

Знам, че всичко това ще отнеме време, но досега само с тях съм почиствал този вирус...Доста комплексна зараза...Trojan.Win32.VB.gyh

[Deadmann]

Времето не е проблем, преинсталацията на windows+програми да не е кратка процедура? : )

 

За жалост сега трябва да тръгвам, ще изпълня всички указания като се прибера. Съжалявам, че толкова разхвърляно във времето отговарям, заета работа : ) Благодаря много за помоща до тук!

[Deadmann]

Нещо не виждам бутончето "Редактирай", та ще трябва да добавя втори пореден пост...

 

Прикачвам двата лога, силно се надявам, че гадината се е махнала и е оставила на мира горкия ми Windows : (

 

 

Авирата измрънка ето това снощи:

Virus or unwanted program 'SPR/Tool.Hardoff.A [riskware]'

detected in file 'C:\Program Files\Mozilla Firefox\SmitfraudFix\restart.exe.

Action performed: Deny access

 

Virus or unwanted program 'HIDDENEXT/Crypted [heuristic]'

detected in file 'I:\INSTALL\Virus fight\SmitfraudFix.exe.

Action performed: Delete file

И още едно-две подобни за други файлове от Smitfraudfix-a, но предположих, че самaта програма работи по специфичен начин, за да се бори с вирусите и дадох Ignore(явно по някое време по-късно съм дал по навик Delete/Deny Access). Все пак реших да постна, за всеки случай. (всичко това се случи поне 30-ина мин след като прикючих сканирането и почистването с програмите, така че не е повлияло на самата им работа)

 

Редакция:Бях забравил и лог-а от по-горните програми.

log2.txt

OTListIt2.Txt

reportSD.txt

rapport.txt

ComboFix.txt

[Maniac]

Отвори HiJackThis и избери Do a system scan only. Сложи отметки на следните редове:

 

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe (file missing)

O23 - Service: VMwareService - Unknown owner - C:\WINDOWS.0\system\VMwareService.exe (file missing)

 

И накрая избери Fix Checked.

 

В C:\ има един архив на име x.rar, ако не е твое дело, сложи го в папката Qoobox, която също се намира в C:\ и я архивирай. Накрая я прикачи към следващия си пост в темата.

 

Имаш няколко заключени регистъра, затова използвай:

http://kixhelp.com//wr/files/mb/fixacl.exe

 

за да им върнеш правата.

[B-boy/StyLe/]

Авирата измрънка ето това снощи:

Virus or unwanted program 'SPR/Tool.Hardoff.A [riskware]'

detected in file 'C:\Program Files\Mozilla Firefox\SmitfraudFix\restart.exe.

Action performed: Deny access

 

Virus or unwanted program 'HIDDENEXT/Crypted [heuristic]'

detected in file 'I:\INSTALL\Virus fight\SmitfraudFix.exe.

Action performed: Delete file

И още едно-две подобни за други файлове от Smitfraudfix-a, но предположих, че самaта програма работи по специфичен начин, за да се бори с вирусите и дадох Ignore(явно по някое време по-късно съм дал по навик Delete/Deny Access). Все пак реших да постна, за всеки случай. (всичко това се случи поне 30-ина мин след като прикючих сканирането и почистването с програмите, така че не е повлияло на самата им работа)

 

Аз затова бях посъветвал:

 

1. Спри защитата в реално време на антивирусната си програма.

 

Лично аз не виждам място за притеснение в логовете (поне тези които са успяли да се извършат успешно)...

 

Не отварям лога с OtMoveIt2...Може при мен да е проблема. Не съм сигурен.

 

Отвори Notepad и въведи:

 

Killall::

File::
C:\WINDOWS\zip.exe
C:\WINDOWS.0\VFIND.exe
C:\WINDOWS.0\SWXCACLS.exe
C:\WINDOWS.0\SWSC.exe
C:\WINDOWS.0\SWREG.exe
C:\WINDOWS.0\sed.exe
C:\WINDOWS.0\NIRCMD.exe
C:\WINDOWS.0\grep.exe
C:\WINDOWS.0\fdsv.exe
C:\WINDOWS.0\system32\tmp.txt
C:\WINDOWS.0\system32\PavSRK.sys
C:\WINDOWS.0\system32\PavTPK.sys

Folder::
C:\Program Files\trend micro
C:\rsit
C:\SDFix

Driver::
PavSRK
PavTPK

 

Запази файла с име CFScript.txt и го провлачи с мишката в иконата на Combofix.

 

http://img522.imageshack.us/img522/482/cfscriptyr1.gif

 

Това ще изтрие остатъците от тулчетата, Панда антивирус, Тренд Микро...

 

Архивирай и прикачи папката (Qoobox), както те помоли Fixer.

 

След това доизчисти инструментите с които сме работили =>

 

http://forums.softvisia.com/index.php?s=&a...ost&p=63356

 

Изчисти временните файлове...с ATF-CLEANER или CCLEANER, спри и пусни System Restore, обнови дефинициите на Avira и пусни нова пълна проверка.

 

Сканирай с предложените от Night_Raven програми (вече имаш Malwarebytes' Anti-Malware)...Сканирай и с другата - SUPERAntispyware...

 

http://forums.softvisia.com/index.php?s=&a...ost&p=63723

 

Изтегли и инсталирай всички всички важни актуализации за Операционната Система.

 

[Deadmann]

http://rapidshare.com/files/188607667/Qoobox.rar.html

 

</a>

 

Беше по-голям от максималния размер за качване във форума, затова използвах Rapidshare...засега май всичко изглежда стабилно, дано всичко се е изчистило(май някаква глупава инсталация на Flextype ми е лепнала цялата тая гадост ... мразя я тая програма вече двойно повече). Благодаря много за помоща!

 

 

П.П. онова VMware май си беше точно от троянеца файл, но Anit-Malware+Hijackthis махнаха всичко, което намериха за файла и сега Hijackthis не намира процеса/service-а отново, дори след 1-2 рестарта или след известно време.

[Night_Raven]

Да уточним: колкото и FlexType да е боклук, не би трябвало тя да е причината за лепването на гадинката.

[Deadmann]

Извинявам се, че пак ви занимавам, но бях сбъркал и вирусът не се е изчистил или съм го пипнал отново. Знам, че преди доста време е последният пост, но на следващия ден отново започнаха съобщения за вируси, пак с подобни файлове...но нямах време да седна и да пиша отново по темата.

 

Virus or unwanted program 'TR/Crypt.ULPM.Gen [trojan]'

detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OPSL0T0V\a[1].

Action performed: Delete file

 

Virus or unwanted program 'TR/Crypt.ULPM.Gen [trojan]'

detected in file 'C:\WINDOWS.0\system32\45.scr.

Action performed: Delete file

 

Virus or unwanted program 'PCK/PESpin [packer]'

detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0LIR8167\x[1].

Action performed: Delete file

 

Virus or unwanted program 'WORM/Kido.FO [worm]'

detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6A95L1NN\xyxu[1].png.

Action performed: Delete file

 

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'

detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WFSH8FKF\x[1].

Action performed: Delete file

 

 

Както се вижда, пак съм сгафил нещо и ме заляха съобщения, че и този път не само за 1 вирус...Да повторя цялата процедура с Combofix и другите?Или да пробвам нещо друго?

 

За информация, не съм теглил съмнителни .exe-та(уж), единственото, за което съм ползвал интернета, е WoW и четене на неща по интернет, така че нямам никаква идея как може да се е пръкнал пак. Добра идея ли е да сложа firewall, различен от windows-кия?(Чувал съм, че има програми, които подържат само тази опция, без да се бият с Avira-та за вирусите)

 

 

Редакция:Забравих да добавя - след всяка аларма пусках ATF-cleaner със същите настройки, които ме бяхте посъветвали. След това и сканирах с Malwarebytes' Anti-Malware, който всеки път твърдеше, че системата ми е чиста.

[B-boy/StyLe/]

По-принцип обичам сам да анализирм логовете, но можеш да пробваш един универсален подход.

 

1. Спри System Restore

 

2. Обнови и провери с Malwarebytes' Anti-Malware (още веднъж) и с SUPERAnstispyware

 

3. Отвори Notepad и въведи:

 

File::
c:\windows\system32\winhelp.exe
c:\windows\system32\hellfire.exe
c:\windows\system\hellfire.exe
c:\windows\system32\winssv.exe
c:\windows\system32\LiveMssngr.exe
c:\windows\system32\sysmsvc.exe
c:\windows\system32\quicktime.exe
c:\windows\system32\ntlansec.exe
c:\windows\system32\open.exe
c:\windows\system32\wt.exe
c:\windows\system32\x.exe
c:\windows\system32\y.exe
c:\windows\system32\i
c:\windows\system\netstat.exe
c:\windows\Tasks\At1.job
C:\WINDOWS\system32\drivers\etc\hosts

 

Запази файла като CFScript и го провлачи в иконата на ComboFix.

 

4. Възстанови оригиналния файл hosts.ini...

 

Изтегли това и го разархивирай в папка C:\windows\system32\drivers\etc

 

5. Обнови версиите на инсталираните програми => особено на Java, Flash player и Adobe Acrobat, както и самия Windows:

 

Информацията е взета от блогът на Radu (мисля, че беше от екипа на support team-a на Avira)...

 

http://www.faravirusi.com/2008/12/07/troja...de-dezinfectie/

 

6. Все пак няма да е зле да направиш и една проверка в Safe Mode с Smitfraudfix и SDFix.

[Deadmann]

Нещата май изглеждат добре засега..благодаря отново, ако пак пипна нещо, ще се изям от яд