cimex Публикувано Март 17, 2009 Report Share Публикувано Март 17, 2009 Моя грешка. Файлът се намира в Documents and Settins\<акаунта_ти>\DoctorWeb\Quarantine\.Извинявай в тази папка не виждам тъкъв файл можи би е някой от тези! Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 17, 2009 Report Share Публикувано Март 17, 2009 Отново грешка: Documents and Settins\\DoctorWeb. Не съм сигурен какъв точно трябва да е файлът, но мисля, че трябва да е или текстов или от фамилията на Excel. Цитирай Link to comment Сподели другаде More sharing options...
cimex Публикувано Март 17, 2009 Report Share Публикувано Март 17, 2009 Отново грешка: Documents and Settins\<акаунта_ти>\DoctorWeb. Не съм сигурен какъв точно трябва да е файлът, но мисля, че трябва да е или текстов или от фамилията на Excel.В тази папка има само този файл!CureIt.rar Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 17, 2009 Report Share Публикувано Март 17, 2009 Не е това, което исках всъщност, но все пак беше полезно. Според Dr.Web CureIt файловете са дезинфекцирани. Това означава, че ако пуснеш повторно сканиране, не би трябвало да има открити заразени файлове.Знам, че ще е досадно, но повтори това:Изтегли Dr.Web CureIt. Стартирай я. Кликни Стартирай и потвърди с OK на неясния въпрос. Изчакай да приключи сканирането. Ако открие нещо, потвърди с Yes, за да го почисти. След като приключи бързото сканиране (и евентуалното чистене) от меню Настройки избери Промени настройките. Махни отметката на Евристичен анализ. Иди на подпрозорец Действия. От всички падащи менюта избери Информирай (в които не е избрано вече, де). Махни отметката долу Запитване за потвърждение. Потвърди с OK. На основния екран избери Пълно сканиране и кликни зеления триъгълник вдясно, под логото. След като приключи цялото сканиране от меню Файл избери Запази списъка с отчета, запази го на десктопа и затвори Dr.Web CureIt. Прикачи въпросния списък. Повтори сканиранията със SUPERAntiSpyware и Malwarebytes' Anti-Malware и дай логове от тези сканирания + логове от HijackThis и ESET SysInspector. Изнервящо е, но трябва да видим в какво състояние е системата в момента. Цитирай Link to comment Сподели другаде More sharing options...
cimex Публикувано Март 17, 2009 Report Share Публикувано Март 17, 2009 Не е това, което исках всъщност, но все пак беше полезно. Според Dr.Web CureIt файловете са дезинфекцирани. Това означава, че ако пуснеш повторно сканиране, не би трябвало да има открити заразени файлове.Знам, че ще е досадно, но повтори това: Повтори сканиранията със SUPERAntiSpyware и Malwarebytes' Anti-Malware и дай логове от тези сканирания + логове от HijackThis и ESET SysInspector. Изнервящо е, но трябва да видим в какво състояние е системата в момента.За мен не е изнервящо,отново ти благодаря за отнетото време и да се надявам на решение на проблема.Това са логовете от SUPERAntiSpyware и Malwarebytes' Anti-Malware,сега ще направя и останалите.След рестарта с SUPERAntiSpyware ми излезна genune Microsoft и ми изчезва картината от дескопа,това дали е нормално,а от време на време ми изкача този прозорецл За мен не е изнервящо,отново ти благодаря за отнетото време и да се надявам на решение на проблема.Това са логовете от SUPERAntiSpyware и Malwarebytes' Anti-Malware,сега ще направя и останалите.След рестарта с SUPERAntiSpyware ми излезна genune Microsoft и ми изчезва картината от дескопа,това дали е нормално,а от време на време ми изкача този прозорецл За мен не е изнервящо,отново ти благодаря за отнетото време и да се надявам на решение на проблема.Това са логовете от SUPERAntiSpyware и Malwarebytes' Anti-Malware,сега ще направя и останалите.След рестарта с SUPERAntiSpyware ми излезна genune Microsoft и ми изчезва картината от дескопа,това дали е нормално,а от време на време ми изкача този прозорецлТова са останалите логове.mbam_log_2009_03_17__16_20_49_.txtSUPERAntiSpyware.txthijackthis.txtSysInspector.zip Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 17, 2009 Report Share Публикувано Март 17, 2009 Нормално е да се появява, ако имаш нелегален Windows и си инсталирал Windows Genuine Advantage ъпдейта. Логът от Dr.Web CureIt? Цитирай Link to comment Сподели другаде More sharing options...
cimex Публикувано Март 17, 2009 Report Share Публикувано Март 17, 2009 Нормално е да се появява, ако имаш нелегален Windows и си инсталирал Windows Genuine Advantage ъпдейта. Логът от Dr.Web CureIt?Ето го и този лог от Dr.Web CureIt.DrWeb.txt Цитирай Link to comment Сподели другаде More sharing options...
ozzy Публикувано Март 17, 2009 Report Share Публикувано Март 17, 2009 Night_Raven едновременно ти се чудя и ти се възхищавам на упоритостта, с коята искаш да помогнеш. Аз лично мисля, че с изтриване на партишъните и наново създаване, форматиране и инсталация без намеса на заразени флашки би трябвало да се изчисти руткита и вирусите. Ти как мислиш? Твоето мнение е важно за мен. Защото като гледам положението наистина е сериозно и се съмнявам, че ще се оправи лесно по друг начин. Иначе 10X за постовете. Научих много нови програми. Желая успех! Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 17, 2009 Report Share Публикувано Март 17, 2009 То е ясно, че с подобна операция по всяка вероятност ще се реши проблемът. Въпросът е да не се стига до там. Windows като е преинсталиран форматиран ли е системният дял? То не че не е логично, де, но аз да питам изрично.Друго, което трябва да попитам, е защо нямаш нито защитна стена, нито антивирусна, нито каквато и да било защитна програма инсталирана? Цитирай Link to comment Сподели другаде More sharing options...
cimex Публикувано Март 17, 2009 Report Share Публикувано Март 17, 2009 То е ясно, че с подобна операция по всяка вероятност ще се реши проблемът. Въпросът е да не се стига до там. Windows като е преинсталиран форматиран ли е системният дял? То не че не е логично, де, но аз да питам изрично.Друго, което трябва да попитам, е защо нямаш нито защитна стена, нито антивирусна, нито каквато и да било защитна програма инсталирана?На системния дял съм правил няколко пъти формат,но без резултат.Имам още три дяла.Направех формат и на дяла със софтуер,като смятах че заразата може да идва от там.На останалите два имам музика и филми и като гледам освен System Volume Information не виждам да има зараза.Харда ми е 500 гбт. и затова търся ако е възможно някъкво друго решение освен пълен формат и ако мога да разбера от къде идва целия проблем.Мисля,че си разбрал блокира ми администраторските права и много програми,както и антивирусни изобщо не ми разрешава да ги инсталирам /като започне инсталацията и директно изчезва апликацията от програмата/Блокира ми Таскменъджера и контрол над регистрите.Ползвах Avsat антивирусна и макар че имах активация за година, един ден ми изписва,че за да работи нормално трябва да я преинсталирам. В момента на преинсталацията след рестарта се получиха тези неща,след това правих формата на С: но без резултат.Ако може нещо да се направи ще ви бъда безкрайно благодарен! Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 18, 2009 Report Share Публикувано Март 18, 2009 Да кажа отново: не свързвай никакваи USB флаш устройства към системата, докато не се почисти. Може и да са чисти, но може и да не са. Нека не предприемаме излишни рискове. Изтегли AVG Win32/Sality Remover.Изтегли (за всеки случай отново) ComboFix и го запази на десктопа. Извади кабела от мрежовата карта. Стартирай AVG Win32/Sality Remover, разархивирай архива и стартирай rmsality.exe. Това автоматично ще сканира всички дялове и ще почисти/излекува каквото намери. Накрая кликни бутон Save log..., запази лога някъде и го прикачи. След като приключи тя пусни още едно сканиране с Dr.Web CureIt:Стартирай Dr.Web CureIt. Кликни Стартирай и потвърди с OK на неясния въпрос. Изчакай да приключи сканирането. Ако открие нещо, потвърди с Yes, за да го почисти. След като приключи бързото сканиране (и евентуалното чистене) от меню Настройки избери Промени настройките. Махни отметката на Евристичен анализ. Иди на подпрозорец Действия. От всички падащи менюта избери Информирай (в които не е избрано вече, де). Махни отметката долу Запитване за потвърждение. Потвърди с OK. На основния екран избери Пълно сканиране и кликни зеления триъгълник вдясно, под логото. След като приключи цялото сканиране от меню Файл избери Запази списъка с отчета, запази го на десктопа и затвори Dr.Web CureIt. Прикачи въпросния списък.Искам да пробваме да направим нещо леко радикално. Отвори някоя папка (която и да е), в адресната й лента пейстни %userprofile%\Local Settings и натисни Enter. Това ще те отведе до временната папка на профила ти. От меню Tools избери Folder Options... -> View. В прозореца махни отметката срещу последната опция - Use simple file sharing (Recommended) и кликни OK. Кликни с десния бутон върху папка Temp -> Properties -> Security. В горното поле трябва да видиш ред само с твоя акаунт (най-вероятно втория ред). Маркирай го и в долната част постави отметка на Deny срещу Full Control. Повтори същата операция с папка C:\WINDOWS\Тemp.Start -> Run -> напиши devmgmt.msc -> OK. От меню View избери Show hidden devices. В списъка потърси dac970nt (не dac960nt). Ако има такъв, кликни два пъти върху него, иди на подпрозорец Driver, от падащото меню избери Disabled и потвърди с OK. Отвори папка C:\WINDOWS и намери файла system.ini. Кликни с върху него с десния бутон -> .Properties. Ако има отметка на Read-only, я махни и потвърди с OK. Отвори файла и изтрий [MCIDRV_VER] и всичко след него. Запази файла (Ctrl+S). Още не пъхай мрежовия кабел. Рестартирай системата. Стартирай ComboFix. В меню Start -> Run -> напиши/пейстни следния текст:"%userprofile%\desktop\combofix.exe" /killallПотвърди с Yes на прозорците, които се появяват. Изчакай да сканира докрай и не закачай прозореца. Ако има нужда от рестарт, ще се рестартира автоматично. След рестарта трябва да продължи сканирането. Отново не закачай прозореца, докато не се самозатвори прозореца. След това пейстни съдържанието на текстовия файл C:\ComboFix.txt тук или прикачи файла към коментара си. Направи още един лог на ESET SysInspector. Пъхни мрежовия кабел и ни дай логовете от: Dr.Web CureIt, AVG Win32/Sality Remover, ComboFix и ESET SysInspector. Цитирай Link to comment Сподели другаде More sharing options...
cimex Публикувано Март 18, 2009 Report Share Публикувано Март 18, 2009 Да кажа отново: не свързвай никакваи USB флаш устройства към системата, докато не се почисти. Може и да са чисти, но може и да не са. Нека не предприемаме излишни рискове. Изтегли AVG Win32/Sality Remover.Изтегли (за всеки случай отново) ComboFix и го запази на десктопа. Извади кабела от мрежовата карта. Стартирай AVG Win32/Sality Remover, разархивирай архива и стартирай rmsality.exe. Това автоматично ще сканира всички дялове и ще почисти/излекува каквото намери. Накрая кликни бутон Save log..., запази лога някъде и го прикачи. След като приключи тя пусни още едно сканиране с Dr.Web CureIt: Искам да пробваме да направим нещо леко радикално. Отвори някоя папка (която и да е), в адресната й лента пейстни %userprofile%\Local Settings и натисни Enter. Това ще те отведе до временната папка на профила ти. От меню Tools избери Folder Options... -> View. В прозореца махни отметката срещу последната опция - Use simple file sharing (Recommended) и кликни OK. Кликни с десния бутон върху папка Temp -> Properties -> Security. В горното поле трябва да видиш ред само с твоя акаунт (най-вероятно втория ред). Маркирай го и в долната част постави отметка на Deny срещу Full Control. Повтори същата операция с папка C:\WINDOWS\Тemp.Start -> Run -> напиши devmgmt.msc -> OK. От меню View избери Show hidden devices. В списъка потърси dac970nt (не dac960nt). Ако има такъв, кликни два пъти върху него, иди на подпрозорец Driver, от падащото меню избери Disabled и потвърди с OK. Отвори папка C:\WINDOWS и намери файла system.ini. Кликни с върху него с десния бутон -> .Properties. Ако има отметка на Read-only, я махни и потвърди с OK. Отвори файла и изтрий [MCIDRV_VER] и всичко след него. Запази файла (Ctrl+S). Още не пъхай мрежовия кабел. Рестартирай системата. Стартирай ComboFix. В меню Start -> Run -> напиши/пейстни следния текст:"%userprofile%\desktop\combofix.exe" /killallПотвърди с Yes на прозорците, които се появяват. Изчакай да сканира докрай и не закачай прозореца. Ако има нужда от рестарт, ще се рестартира автоматично. След рестарта трябва да продължи сканирането. Отново не закачай прозореца, докато не се самозатвори прозореца. След това пейстни съдържанието на текстовия файл C:\ComboFix.txt тук или прикачи файла към коментара си. Направи още един лог на ESET SysInspector. Пъхни мрежовия кабел и ни дай логовете от: Dr.Web CureIt, AVG Win32/Sality Remover, ComboFix и ESET SysInspector.Изпълних всичко по инструкцията,но когато трябваше да направя логове с ComboFix и ESET SysInspector ми изписваше,че нямам достъп до temp папката и затова за да направя логовете временно разреших достъпа,не знам това дали е грешка, а ето и логовете.DrWeb.txtlog.txtSysInspector.zipVirusRemover.txt Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 18, 2009 Report Share Публикувано Март 18, 2009 Пейстни следния текст в нов текстов документ и го запази на десктопа под името CFScript (или CFScript.txt, ако работиш с показани разширения):KillAll:: NetSvc:: DAC970NT Driver:: DAC970NT File:: c:\windows\R.COM c:\windows\system32\T.COM c:\windows\system32\eEmpty.exe c:\windows\Lic.xxx Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9901f95c-112d-11de-9f8e-001e8cbdc179}] Провлачи текстовия файл върху ComboFix, както е показано тук:http://www.softvisia.com/users/Night_Raven/Security/cfsdnd2.gif След това дай новия лог ot ComboFix и направи и дай и още един лог от ESET SysInspector. Цитирай Link to comment Сподели другаде More sharing options...
cimex Публикувано Март 18, 2009 Report Share Публикувано Март 18, 2009 Пейстни следния текст в нов текстов документ и го запази на десктопа под името CFScript (или CFScript.txt, ако работиш с показани разширения):KillAll:: NetSvc:: DAC970NT Driver:: DAC970NT File:: c:\windows\R.COM c:\windows\system32\T.COM c:\windows\system32\eEmpty.exe c:\windows\Lic.xxx Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9901f95c-112d-11de-9f8e-001e8cbdc179}] Провлачи текстовия файл върху ComboFix, както е показано тук:http://www.softvisia.com/users/Night_Raven/Security/cfsdnd2.gif След това дай новия лог ot ComboFix и направи и дай и още един лог от ESET SysInspector.Това са новите логове.log_new.txtSysInspector_new.zip Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 18, 2009 Report Share Публикувано Март 18, 2009 Изтегли Avira AntiVir Rescue System на ЧИСТ компютър със записвачка. Постави празен диск в нея (може и презаписваем), стартирай rescuecd.exe, избери въпросното устройство и кликни Burn CD. Това ще запише специален спасителен диск. След това постави диска в устройството на заразения компютър. При зареждане от него ще ти се появяват 2 опции, можеш да не натискаш нищо. Изчакай да се зареди Linux средата. След като се зареди кликни долу британското знаме, за да се смени езика на английски. Кликни бутон Configuration вляво, избери Try to repair infected files, постави отметка на Rename files, if they cannot be removed. Махни и долните 4 отметки. Кликни вляво на бутон Virus scanner и кликни бутон Start scanner. След като сканирането приключи ще се изпише надпис Finished scanning. Извади диска от устройството и рестартирай компютъра. Дали всичко ще е почистено не може да се каже със сигурност. Нито може да се каже, че системата ще работи нормално, защото може да е имало и важни файлове, които да са били заразени и които да не са могли да бъдат излекувани. Т.е. напълно е възможно да се наложи преинсталация на Windows. Същото важи и за най-различни програми. Просто зависи доколко успешно са излекувани файловете. След като/ако стартира системата дай още един лог от ESET SysInspector. Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.