KamiEl Публикувано Март 11, 2009 Report Share Публикувано Март 11, 2009 От известно време при стартиране на играта " World Of Warcraft " ми се появява съобщение за открит вирус 090226-Rootkit.Win32.TDSS.gwh. Не съм забелязал проблеми в РС-то, NOD32 не показва нищо.Трябва ли това съобщение да ме стряска ?AutoRuns.txtИмам и hijackthis.txt файл,но системата ,не знам защо,не ми позволява да го прикача като .txt файл,затова го качвам като .rarhijackthis.rar Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 11, 2009 Report Share Публикувано Март 11, 2009 Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи. Цитирай Link to comment Сподели другаде More sharing options...
KamiEl Публикувано Март 11, 2009 Author Report Share Публикувано Март 11, 2009 GMER 1.0.15.14878 - http://www.gmer.netRootkit scan 2009-03-11 19:20:23Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- Code 8618E858 ZwEnumerateKeyCode 86199858 ZwFlushInstructionCacheCode 8625EEF6 IofCallDriverCode 861FE636 IofCompleteRequest ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8676B1F8 AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET) Device \FileSystem\Fastfat \Fat 859FA500Device \FileSystem\Fastfat \Fat 85F92638 AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys ---- Modules - GMER 1.0.15 ---- Module _________ F7300000-F7318000 (98304 bytes) ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\UACdltpqoqb.sys (*** hidden *** ) [sYSTEM] UACd.sys <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 11, 2009 Report Share Публикувано Март 11, 2009 Сканирай със SUPERAntiSpyware Free и Malwarebytes' Anti-Malware За SUPERAntiSpyware:- стартирай програмата от Start -> All Programs -> SUPERAntiSpyware -> SUPERAntiSpyware Alternate Start;- кликни бутон Scan your Computer;- вляво избери само дял C:, а вдясно избери Perform Complete Scan;- кликни Next и изчакай да сканира;- кликни Next, за да се премахнат гадинките и накрая Finish;- кликни бутон Preferences... и иди на подпрозорец Statistics/Logs, маркирай последния лог и кликни бутон View Log...;- копирай съдържанието му тук. За Malwarebytes' Anti-Malware:- отвори C:\Program Files\Malwarebytes' Anti-Malware и преименувай mbam.exe на нещо друго, например tralala.exe;- стартирай програмата;- избери Perform quick scan и кликни бутон Scan;- като приключи сканирането кликни бутон Remove Selected;- ще се появи текстов файл (лог), копирай съдържанието му тук. Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага. Цитирай Link to comment Сподели другаде More sharing options...
KamiEl Публикувано Март 11, 2009 Author Report Share Публикувано Март 11, 2009 Не мога да инсталирам нито една от двете програми - изтеглих ги и от линковете и от нета,теглих ги с три браузера - във всички случаи излиза прозореца с предложението да изпратя съобщение за проблема до Microsoft.За проба инсталирах произволна програма от моя архив - инстална се без проблеми,само дето не я пробвах дали работи,но мисля,че не би трябвало да има проблем.Ако трябва,и това ще пробвам! Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 11, 2009 Report Share Публикувано Март 11, 2009 Опитай да им преименуваш имената на инсталациите. Цитирай Link to comment Сподели другаде More sharing options...
KamiEl Публикувано Март 11, 2009 Author Report Share Публикувано Март 11, 2009 И с преименуване не става-отново майкрософтския прозорец. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 11, 2009 Report Share Публикувано Март 11, 2009 Start -> Run -> пишеш devmgmt.msc -> OK. От меню View избери Show hidden devices. В новопоявилия се списък Non-Plug and Play drivers намери SSDT..., двоен клик върху него -> Driver. От падащото меню избери Disabled. Потвърди с OK на всички прозорци и рестартирай системата. Опитай отново да инсталираш програмите. Цитирай Link to comment Сподели другаде More sharing options...
KamiEl Публикувано Март 11, 2009 Author Report Share Публикувано Март 11, 2009 SUPERAntiSpyware Scan Loghttp://www.superantispyware.com Generated 03/11/2009 at 09:33 PM Application Version : 4.25.1014 Core Rules Database Version : 3791Trace Rules Database Version: 1747 Scan type : Quick ScanTotal Scan Time : 00:05:58 Memory items scanned : 397Memory threats detected : 0Registry items scanned : 400Registry threats detected : 4File items scanned : 5544File threats detected : 7 Rootkit.Agent/Gen-UACFake HKLM\system\controlset001\services\UACd.sys C:\WINDOWS\SYSTEM32\DRIVERS\UACDLTPQOQB.SYS HKLM\system\controlset002\services\UACd.sys Adware.MyWebSearch/FunWebProducts HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179} HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs Trojan.SVCHost/Fake C:\DOCUMENTS AND SETTINGS\MINCHO\APPLICATION DATA\THINSTALL\CLONEDVD 4.2.5.0\1000000600002I\SVCHOST.EXE C:\DOCUMENTS AND SETTINGS\MINCHO\APPLICATION DATA\THINSTALL\INSTALLSHIELD UNINSTALL INFORMATION\1000000600002I\SVCHOST.EXE C:\DOCUMENTS AND SETTINGS\MINCHO\APPLICATION DATA\THINSTALL\SONY NOISE REDUCTION PLUG-IN 2.0H\1000000600002I\SVCHOST.EXE C:\DOCUMENTS AND SETTINGS\MINCHO\APPLICATION DATA\THINSTALL\SOUND FORGE AUDIO STUDIO 9\1000000600002I\SVCHOST.EXE Trojan.Unclassified/Loader-Suspicious F:\PROGRAMS\1.-PROGRAMS\1_INSTALATION CD\2.PORTABLE SOFTWARE\MOVAVI VIDEO CONVERTER 6 (NTSC TO PAL CONVERS)\LOADER.EXE C:\DOCUMENTS AND SETTINGS\MINCHO\DESKTOP\LOADER.LNK Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 11, 2009 Report Share Публикувано Март 11, 2009 А Malwarebytes' Anti-Malware? Цитирай Link to comment Сподели другаде More sharing options...
KamiEl Публикувано Март 11, 2009 Author Report Share Публикувано Март 11, 2009 Malwarebytes' Anti-Malware 1.34Версия на базата от данни: 1836Windows 5.1.2600 Service Pack 2 11.3.2009 г. 22:16:19mbam-log-2009-03-11 (22-16-19).txt Тип сканиране: Бързо сканиранеСканирани обекти: 64282Изминало време: 2 minute(s), 36 second(s) Заразени процеси в паметта: 0Заразени модули в паметта: 0Заразени ключове в регистратурата: 1Заразени стойности в регистратурата: 0Заразени информационни обекти в регистратурата: 0Заразени папки: 0Заразени файлове: 6 Заразени процеси в паметта:(Не бяха открити заплахи) Заразени модули в паметта:(Не бяха открити заплахи) Заразени ключове в регистратурата:HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully. Заразени стойности в регистратурата:(Не бяха открити заплахи) Заразени информационни обекти в регистратурата:(Не бяха открити заплахи) Заразени папки:(Не бяха открити заплахи) Заразени файлове:C:\WINDOWS\system32\UACorobqjiw.dll (Trojan.TDSS) -> Quarantined and deleted successfully.C:\WINDOWS\system32\UACwmrxfyat.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.C:\Documents and Settings\Mincho\Local Settings\Temp\UACb298.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.C:\WINDOWS\system32\UACakrwfnyy.log (Trojan.Agent) -> Quarantined and deleted successfully.C:\WINDOWS\system32\UACqgkxgrdv.dat (Trojan.Agent) -> Quarantined and deleted successfully. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 11, 2009 Report Share Публикувано Март 11, 2009 Това в общи линии би трябвало да е елиминирало гадинката, но ако искаш и ти се занимава, можеш да удариш един рестарт, да провериш отново в Device Manager дали ще има TDSS обекта и да пуснеш по още едно сканиране с програмите, ако не те бърка. Също не би било лоша идея да пуснеш и едно пълно сканиране с антивирусната. Ей така, профилактично. Ако ползваш Javа, се увери, че последната версия. Цитирай Link to comment Сподели другаде More sharing options...
KamiEl Публикувано Март 11, 2009 Author Report Share Публикувано Март 11, 2009 SUPERAntiSpyware Scan Loghttp://www.superantispyware.com Generated 03/11/2009 at 11:03 PM Application Version : 4.25.1014 Core Rules Database Version : 3791Trace Rules Database Version: 1747 Scan type : Complete ScanTotal Scan Time : 00:18:25 Memory items scanned : 390Memory threats detected : 0Registry items scanned : 4880Registry threats detected : 2File items scanned : 14269File threats detected : 5 Adware.MyWebSearch/FunWebProducts HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179} HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs Trojan.Unclassified/Loader-Suspicious F:\PROGRAMS\1.-PROGRAMS\1_INSTALATION CD\2.PORTABLE SOFTWARE\MOVAVI VIDEO CONVERTER 6 (NTSC TO PAL CONVERS)\LOADER.EXE C:\DOCUMENTS AND SETTINGS\MINCHO\DESKTOP\LOADER.LNK C:\SYSTEM VOLUME INFORMATION\_RESTORE{F6227D73-3EC3-42B5-94E4-65AFCB795149}\RP284\A0070947.LNK C:\SYSTEM VOLUME INFORMATION\_RESTORE{F6227D73-3EC3-42B5-94E4-65AFCB795149}\RP284\A0070948.LNK Spyware.RelevantKnowledge C:\SYSTEM VOLUME INFORMATION\_RESTORE{F6227D73-3EC3-42B5-94E4-65AFCB795149}\RP296\A0073111.EXE NOD32 и Malwarebytes' Anti-Malware не откриха заплахи. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 11, 2009 Report Share Публикувано Март 11, 2009 Бих предложил да изтриеш всички точки на възстановяване. Цитирай Link to comment Сподели другаде More sharing options...
KamiEl Публикувано Март 12, 2009 Author Report Share Публикувано Март 12, 2009 Изтрих ги ,но отново ги показа.За проба изтрих ключовете от лог-файла от регистрите и папките и отново сканирах. Този път всичко бе чисто.Между другото,ще има ли на практика разлика в работата на SUPERAntiSpyware Free и Pro Edition,защото на теория платените винаги са най...! Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.