Jump to content

Препоръчан пост

От известно време при стартиране на играта " World Of Warcraft " ми се появява съобщение за открит вирус 090226-Rootkit.Win32.TDSS.gwh. Не съм забелязал проблеми в РС-то, NOD32 не показва нищо.Трябва ли това съобщение да ме стряска ?

AutoRuns.txt

Имам и hijackthis.txt файл,но системата ,не знам защо,не ми позволява да го прикача като .txt файл,затова го качвам като .rar

hijackthis.rar

Link to comment
Сподели другаде

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.
Link to comment
Сподели другаде

GMER 1.0.15.14878 - http://www.gmer.net

Rootkit scan 2009-03-11 19:20:23

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.15 ----

 

Code 8618E858 ZwEnumerateKey

Code 86199858 ZwFlushInstructionCache

Code 8625EEF6 IofCallDriver

Code 861FE636 IofCompleteRequest

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 8676B1F8

 

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

 

Device \FileSystem\Fastfat \Fat 859FA500

Device \FileSystem\Fastfat \Fat 85F92638

 

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

 

---- Modules - GMER 1.0.15 ----

 

Module _________ F7300000-F7318000 (98304 bytes)

 

---- Services - GMER 1.0.15 ----

 

Service C:\WINDOWS\system32\drivers\UACdltpqoqb.sys (*** hidden *** ) [sYSTEM] UACd.sys <-- ROOTKIT !!!

 

---- EOF - GMER 1.0.15 ----

Link to comment
Сподели другаде

Сканирай със SUPERAntiSpyware Free и Malwarebytes' Anti-Malware

 

За SUPERAntiSpyware:

- стартирай програмата от Start -> All Programs -> SUPERAntiSpyware -> SUPERAntiSpyware Alternate Start;

- кликни бутон Scan your Computer;

- вляво избери само дял C:, а вдясно избери Perform Complete Scan;

- кликни Next и изчакай да сканира;

- кликни Next, за да се премахнат гадинките и накрая Finish;

- кликни бутон Preferences... и иди на подпрозорец Statistics/Logs, маркирай последния лог и кликни бутон View Log...;

- копирай съдържанието му тук.

 

За Malwarebytes' Anti-Malware:

- отвори C:\Program Files\Malwarebytes' Anti-Malware и преименувай mbam.exe на нещо друго, например tralala.exe;

- стартирай програмата;

- избери Perform quick scan и кликни бутон Scan;

- като приключи сканирането кликни бутон Remove Selected;

- ще се появи текстов файл (лог), копирай съдържанието му тук.

 

Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага.

Link to comment
Сподели другаде

Не мога да инсталирам нито една от двете програми - изтеглих ги и от линковете и от нета,теглих ги с три браузера - във всички случаи излиза прозореца с предложението да изпратя съобщение за проблема до Microsoft.За проба инсталирах произволна програма от моя архив - инстална се без проблеми,само дето не я пробвах дали работи,но мисля,че не би трябвало да има проблем.Ако трябва,и това ще пробвам!
Link to comment
Сподели другаде

Start -> Run -> пишеш devmgmt.msc -> OK. От меню View избери Show hidden devices. В новопоявилия се списък Non-Plug and Play drivers намери SSDT..., двоен клик върху него -> Driver. От падащото меню избери Disabled. Потвърди с OK на всички прозорци и рестартирай системата. Опитай отново да инсталираш програмите.
Link to comment
Сподели другаде

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 03/11/2009 at 09:33 PM

 

Application Version : 4.25.1014

 

Core Rules Database Version : 3791

Trace Rules Database Version: 1747

 

Scan type : Quick Scan

Total Scan Time : 00:05:58

 

Memory items scanned : 397

Memory threats detected : 0

Registry items scanned : 400

Registry threats detected : 4

File items scanned : 5544

File threats detected : 7

 

Rootkit.Agent/Gen-UACFake

HKLM\system\controlset001\services\UACd.sys

C:\WINDOWS\SYSTEM32\DRIVERS\UACDLTPQOQB.SYS

HKLM\system\controlset002\services\UACd.sys

 

Adware.MyWebSearch/FunWebProducts

HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}

HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

 

Trojan.SVCHost/Fake

C:\DOCUMENTS AND SETTINGS\MINCHO\APPLICATION DATA\THINSTALL\CLONEDVD 4.2.5.0\1000000600002I\SVCHOST.EXE

C:\DOCUMENTS AND SETTINGS\MINCHO\APPLICATION DATA\THINSTALL\INSTALLSHIELD UNINSTALL INFORMATION\1000000600002I\SVCHOST.EXE

C:\DOCUMENTS AND SETTINGS\MINCHO\APPLICATION DATA\THINSTALL\SONY NOISE REDUCTION PLUG-IN 2.0H\1000000600002I\SVCHOST.EXE

C:\DOCUMENTS AND SETTINGS\MINCHO\APPLICATION DATA\THINSTALL\SOUND FORGE AUDIO STUDIO 9\1000000600002I\SVCHOST.EXE

 

Trojan.Unclassified/Loader-Suspicious

F:\PROGRAMS\1.-PROGRAMS\1_INSTALATION CD\2.PORTABLE SOFTWARE\MOVAVI VIDEO CONVERTER 6 (NTSC TO PAL CONVERS)\LOADER.EXE

C:\DOCUMENTS AND SETTINGS\MINCHO\DESKTOP\LOADER.LNK

Link to comment
Сподели другаде

Malwarebytes' Anti-Malware 1.34

Версия на базата от данни: 1836

Windows 5.1.2600 Service Pack 2

 

11.3.2009 г. 22:16:19

mbam-log-2009-03-11 (22-16-19).txt

 

Тип сканиране: Бързо сканиране

Сканирани обекти: 64282

Изминало време: 2 minute(s), 36 second(s)

 

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 1

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 6

 

Заразени процеси в паметта:

(Не бяха открити заплахи)

 

Заразени модули в паметта:

(Не бяха открити заплахи)

 

Заразени ключове в регистратурата:

HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

 

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

 

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

 

Заразени папки:

(Не бяха открити заплахи)

 

Заразени файлове:

C:\WINDOWS\system32\UACorobqjiw.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\UACwmrxfyat.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\Documents and Settings\Mincho\Local Settings\Temp\UACb298.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\UACakrwfnyy.log (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\UACqgkxgrdv.dat (Trojan.Agent) -> Quarantined and deleted successfully.

Link to comment
Сподели другаде

Това в общи линии би трябвало да е елиминирало гадинката, но ако искаш и ти се занимава, можеш да удариш един рестарт, да провериш отново в Device Manager дали ще има TDSS обекта и да пуснеш по още едно сканиране с програмите, ако не те бърка. Също не би било лоша идея да пуснеш и едно пълно сканиране с антивирусната. Ей така, профилактично.

 

Ако ползваш Javа, се увери, че последната версия.

Link to comment
Сподели другаде

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 03/11/2009 at 11:03 PM

 

Application Version : 4.25.1014

 

Core Rules Database Version : 3791

Trace Rules Database Version: 1747

 

Scan type : Complete Scan

Total Scan Time : 00:18:25

 

Memory items scanned : 390

Memory threats detected : 0

Registry items scanned : 4880

Registry threats detected : 2

File items scanned : 14269

File threats detected : 5

 

Adware.MyWebSearch/FunWebProducts

HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}

HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

 

Trojan.Unclassified/Loader-Suspicious

F:\PROGRAMS\1.-PROGRAMS\1_INSTALATION CD\2.PORTABLE SOFTWARE\MOVAVI VIDEO CONVERTER 6 (NTSC TO PAL CONVERS)\LOADER.EXE

C:\DOCUMENTS AND SETTINGS\MINCHO\DESKTOP\LOADER.LNK

C:\SYSTEM VOLUME INFORMATION\_RESTORE{F6227D73-3EC3-42B5-94E4-65AFCB795149}\RP284\A0070947.LNK

C:\SYSTEM VOLUME INFORMATION\_RESTORE{F6227D73-3EC3-42B5-94E4-65AFCB795149}\RP284\A0070948.LNK

 

Spyware.RelevantKnowledge

C:\SYSTEM VOLUME INFORMATION\_RESTORE{F6227D73-3EC3-42B5-94E4-65AFCB795149}\RP296\A0073111.EXE

 

NOD32 и Malwarebytes' Anti-Malware не откриха заплахи.

Link to comment
Сподели другаде

Изтрих ги ,но отново ги показа.За проба изтрих ключовете от лог-файла от регистрите и папките и отново сканирах. Този път всичко бе чисто.

Между другото,ще има ли на практика разлика в работата на SUPERAntiSpyware Free и Pro Edition,защото на теория платените винаги са най...!

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
×
  • Създай ново...