Имам вирус I-WORM/Generic.col

[B-boy/StyLe/]

1. Почистете system restore:

 

Десен бутон на My Computer => Properties => System Restore => слагаш отметка пред Turn Off System Restore

 

Start => run => cleanmgr => More Options => System Restore => Clean UP

 

2. Има някакви достатъци и от AVG в System Resore-a...най-добре преинсталирайте приложението (за всеки случай).

 

Незабравяйте да му обновявате вирусните дефиниции и да сканирате поне веднъж седмично...

 

3. Можете да почистите папката scheduled tasks (в Control Panel-a)...Десен бутон върху Ad-Aware Update (Weekly).job и Delete.

 

3. Деинсталирайте Combofix с командата =>

 

Start => Run => combofix /u

 

http://i86.photobucket.com/albums/k86/alba123_2006/virus%20tool%20pics/combofix20u-1.jpg

 

Почистете с ToolsCleaner2 (от предишния ми пост).

 

Това е.

[Bibini]

Направих всичко,което ми каза.

Много ти благодаря за помощта, B-boy/StyLe/.

Ако можех - щях да те почерпя

Много се радвам.

Продължавай все така да помагаш.

 

Желая ти лек и хубав ден.

[B-boy/StyLe/]

Хехе,

няма проблеми.

Радвам се, че нещата се развиха благоприятно.

Поздрави и приятни мигове из форумите на Софтвизия.

[sotkata]

"Добре е да се инсталират и следните актуализации:

 

- MS09-001

 

- MS08-068

 

- MS08-067"

Тези който са с Windows XP Sp3 дa ги слагат ли ?

[B-boy/StyLe/]

"Добре е да се инсталират и следните актуализации:

 

- MS09-001

 

- MS08-068

 

- MS08-067"

Тези който са с Windows XP Sp3 дa ги слагат ли ?

 

Ами то всъщност SP3 (в общи линии е пакет - съвкупност от актуализации)...Те обаче не спират да излизат всеки месец...така че е добре да се проверя често за такива (а не да се чака SP4 - ако има такъв пакет изобщо за WinXP)

Така, че можеш да направиш един Windows Update за всеки случай (освен ако нямаш проблеми с Genuine System-a). Ако си с пиратски лиценз можеш да използваш алтернативни методи за обновяване =>

 

Една от многото програми за целта:

 

http://softvisia.com/download.php?view.746

 

Специално за Conficker (и не само) е добре да са изключени следните неща => Server service, file and printer sharing and all default shares disabled...

[Bibini]

Така, че можеш да направиш един Windows Update за всеки случай

 

 

Аз точно това направих накрая.

[Bibini]

И да споделя последният си опит.

Защото днес пак се появи тази гадина и откачих.

Та свалих Trojan Remover 6.7.5 от следния сайт :

www.simplysup.com/tremover/download.html

Това е с 30-дни свободно ползване.

И изчистих гадината накрая.

Поне засега си мисля че е така.И ще прикача и логфайловете.

 

Ако някой има проблем като моя да пробва първо с това.

 

B-boy/StyLe/ много ти благодаря за помощта.

TRLOG.TXT

TRLOG1.txt

TRLOG2.txt

[Bibini]

И пак се появява.Писна ми много.

[B-boy/StyLe/]

Преди прилагането на тези настройки е добре да се консултирате с мрежовия си администратор за да не останете без връзка с останалите служебни машини, да загубите връзката със споделените принтери и т.н.!!!

 

1. Уверете се, че е инсталирана следната кръпка: Security Update for Windows XP (KB958644)

 

2. Аз бих посъветвал да деинсталирате AVG и да инсталирате Avira AntiVir Personal 8.2.0.337. След това направете следните настройки на програмата =>

 

3. Тъй като червея се предава и чрез USB устройства е добре да изключите функциите: Autorun и Autoplay. Така ще се премахне познатото ви меню за избор на действие след поставяне на флашка или друго USB устройство, но ще се позатегне малко сигурността...

 

http://www.raymond.cc/images/autorun-usb-flash-drive.png

 

Това става по следния начин:

 

AutoRun =>

 

Отворете Notepad и въведете:

 

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

 

Запазете файла с име fix.reg и го стартирайте.

 

Отворете Notepad и въведете:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF

 

Запазета файла с име NoDriveTypeAutorun.reg и го стартирайте.

 

Autoplay =>

 

Start => Run => напишете gpedit.msc => Enter => Administrative Templates => System => двукратен клик с мишката върху Turn Off Autoplay => Enabled

 

По-надолу ще видите опцията Turn Off Autoplay on => от падащото меню изберете => All drives => ОК (както е на снимката)

 

http://www.sizlopedia.com/wp-content/uploads/autorunusb.jpg

 

4. Премахване на някои от уязвимите места: (полезни за целта са Windows Worms Doors Cleaner v1.4.1 и Safe XP 1.5.7.14).

 

Програмите запушват доста пробойни, но преди прилагането на тези настройки е добре да се консултирате с мрежовия си администратор за да не останете без връзка с останалите служебни машини, да загубите връзката със споделените принтери и т.н.!!!

 

http://www.firewallleaktester.com/images_site/wwdc.jpg

 

http://img152.imageshack.us/img152/9838/safexpuc9.jpg

 

От настройките на мрежовата карта могат да се изключат някои опции:

 

*Client for Microsoft Networks

*File and Printer Sharing for Microsoft Network

 

http://img168.imageshack.us/img168/9210/dangerfk9.jpg

http://www.grc.com/image/offmsnet.gif

 

5. Интересни материалчета (за по-напреднали потребители) !!!

 

http://www.akula3a.hit.bg/windows.zashtita.html

 

http://www.grc.com/su-fixit.htm

 

6. Софтуер за напреднали потребители (макар доста от нещата да могат да се правят и ръчно)

 

Освен вече споменатите Windows Worms Doors Cleaner v1.4.1 и Safe XP 1.5.7.14

 

AVZ 4.30 => Менюто Troubleshooting wizard, xpy 0.10.9, xp-AntiSpy 3.97 Final, , Морално остарялите донякъде => Samurai 2.7, HARDEN-IT, SECURE-IT)

 

Списък с подобни програмки:

 

http://freeware.wikia.com/wiki/Lists_of_fr...hardening_tools

 

7. Имунизиране срещу сайтове с печална слава:

 

http://forums.softvisia.com/index.php?s=&a...ost&p=63894

 

8. Инсталирането и конфигурирането на добра защитна стена винаги е добра идея.

 

9. Обновяване на Операционната Система, браузъра/ите и използвания софтуер въобще (особено внимание трябва да се обърне на приложения като JAVA, PDF reader-и) и т.н.

 

Преди прилагането на тези настройки е добре да се консултирате с мрежовия си администратор за да не останете без връзка с останалите служебни машини, да загубите връзката със споделените принтери и т.н.!!!

 

[Bibini]

Ще видя сега какво ще стане!

[Bibini]

С Авира това открих - TR/Crypt.XPACK.Gen Trojan

А сега какво да правя вече.Нищо безплатно за разкарване не намирам.

Помогнете с каквото можете.

[Bibini]

Засега успях да го разкарам с Авира и TrojanHunter сканирах - нищо не излезе.

Явно Авира е доста добра.

[Bibini]

Сега ще прикача всичките логове,защото тази гад пак се появи.

 

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 02/03/2009 at 11:02 AM

 

Application Version : 4.25.1012

 

Core Rules Database Version : 3734

Trace Rules Database Version: 1705

 

Scan type : Quick Scan

Total Scan Time : 00:57:17

 

Memory items scanned : 642

Memory threats detected : 0

Registry items scanned : 496

Registry threats detected : 0

File items scanned : 7540

File threats detected : 0

ComboFixLog.txt

hijackthislog.txt

mbam_log_2009_02_03__10_53_18_.txt

SysInspector_INTESA_WS244_090203_1328.zip

[B-boy/StyLe/]

Хммм...

 

Стартирай HijackThis и избери "Do a system scan only"

 

Постави отметки пред следните редове и избери Fix Checked:

 

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\2247\toolbaru.dll (file missing)

 

O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)

 

O2 - BHO: (no name) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file)

 

O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

 

O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)

 

O2 - BHO: (no name) - {B6FFE2AE-4D12-451F-B457-FE6125FFB1CF} - (no file)

 

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\2247\toolbaru.dll (file missing)

 

O3 - Toolbar: (no name) - {C17590D2-ECB4-4b15-8820-F58798DCC118} - (no file)

 

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

 

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

 

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

 

O8 - Extra context menu item: &Search - ?p=ZN

 

O8 - Extra context menu item: &Webshots Photo Search - res://C:\Program Files\Webshots\WSToolbar4IE.dll/MENUSEARCH.HTM

 

O9 - Extra button: (no name) - {6ACE8E7F-AEA9-4e5c-80D1-898D51D10793} - %programfiles%\MultiLoginHelper\MenuItem.htm (file missing)

 

O9 - Extra 'Tools' menuitem: Multi-Login Helper - {6ACE8E7F-AEA9-4e5c-80D1-898D51D10793} - %programfiles%\MultiLoginHelper\MenuItem.htm (file missing)

 

O11 - Options group: [iNTERNATIONAL] International*

 

O16 - DPF: {199CC4D5-5A57-46A3-AEFA-9936B575D9A5} (VdoActiveX Control) - http://3160.meritlilin.com.tw/v3160.cab

 

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

 

Отвори Notepad и копирай това вътре:

 

Killall::

File::
c:\windows\MF_C425.lfa

NetSvc::
ekbly
pblvukh
okpjzgm

sysrst::

 

Запази файла като CFScript и го провлачи в иконата на ComboFix.

 

Копирай новия лог в следващия си пост.

 

Изтегли JavaRa за да почистиш евентуално остарялата версия на Java.

 

3.1 Стартирай JavaRa.exe

3.2 От падащото меню избери English и натисни Select.

3.3 Натисни YES, при появата на диалогов прозорец.

3.4 Избери Remove Older Versions.

 

Изтегли и инсталирай последната версия на JAVA средата оттук:

 

http://softvisia.com/download.php?view.741

[Bibini]

Ето го лога.

 

Trojan Remover - Сега ще сложа и този лог.

CFScriptlog.txt

TRLOG.TXT