Проблем с Conficker

[Armageddon8]

Данни за ОС - в прикрепеният файл - report.txt

 

Това е логът от реално-времевата защита на Eset Smart security 4.0.314.0

 

14.03.2009 10:59:05 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA wormcleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.12.03.2009 08:48:03 Real-time file system protection file F:\Autorun.inf Win32/AutoRun.EY worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred during an attempt to access the file by the application: C:\WINDOWS\system32\svchost.exe.

 

 

11.03.2009 13:29:05 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.

11.03.2009 11:59:05 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\M5EBC91M\pfryfg[1].gif Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to run the file by the application: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.

11.03.2009 11:20:31 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.

11.03.2009 10:21:04 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8LINWTYN\zmbibqg[1].bmp Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to access the file by the application: C:\WINDOWS\system32\MRT.exe.

10.03.2009 16:11:26 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.

10.03.2009 13:57:06 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OXMNK52B\zmbibqg[1].png Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to run the file by the application: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.

10.03.2009 13:36:43 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.

10.03.2009 13:06:07 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8LINWTYN\zmbibqg[1].jpg Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to run the file by the application: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.

10.03.2009 12:59:06 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.

10.03.2009 10:33:53 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OXMNK52B\zmbibqg[1].bmp Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to access the file by the application: C:\WINDOWS\system32\MRT.exe.

10.03.2009 10:25:27 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.

06.03.2009 12:39:07 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.

26.02.2009 10:00:56 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CNQ161S9\pdei[1].bmp Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to run the file by the application: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.

26.02.2009 08:43:15 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe

 

 

 

Въпросът е че ESET постоянно намира файла, но нищо друо не успява да направи. Слага го под карантина. При сканиране понякой път намира - C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\IOX5PJMZ\dofs[1].bmp - Win32/Conficker.AA worm - cleaned by deleting - quarantined [1]. Един път намира, следващият път нищо не намира. След това при реално-времевата защита пак намира нещо, после след сканиране нищо не намира. Имам чувството, че не намира самият източник, а само от време на време хваща нещо.

 

SUPERAnti Spyware - при последното сканиране/малко преди да пиша/ нищо не намери.

 

MalwarebytesAnti-Malware - също не откри нищо.

Report.txt

[Night_Raven]

Чистихме ти системата вече и май дори ъпдейти инсталира. Как успя пак да я оклепаш пак? Божкееее.

 

За всеки случай...

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

 

Изтегли ESET SysInspector и:

1) стартирай я и изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си в ZIP формат (не го разархивирай).

[Armageddon8]

Чистихме ти системата вече и май дори ъпдейти инсталира. Как успя пак да я оклепаш пак? Божкееее.

 

За всеки случай...

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

 

Изтегли ESET SysInspector и:

1) стартирай я и изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си в ZIP формат (не го разархивирай).

 

 Приемам упрека, въпреки че освен да работя на компютърът нищо друго не съм прави. Нито съм свалял, нито съм исталирал нищо...както и да е-ето го лога от Gmer

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2009-03-14 12:00:44

Windows 5.1.2600 Service Pack 2

 

 

---- Devices - GMER 1.0.14 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

 

---- Threads - GMER 1.0.14 ----

 

Thread 4:620 8862A790

 

---- EOF - GMER 1.0.14 ----

SysInspector_YORDAN_090314_1202.zip

[Night_Raven]

Ползваш стара версия на GMER, не си отворил въобще линка да видиш дали има нова. Още си със Service Pack 2. По някаква причина липсват и инсталираните 3 ъпдейта, които мисля, че все пак инсталира. В логовете обаче не виждам нищо опасно и активно в момента. Останки обаче има.

 

Сканирай със SUPERAntiSpyware Free и Malwarebytes' Anti-Malware

 

За SUPERAntiSpyware:

- стартирай програмата;

- кликни бутон Scan your Computer;

- вляво избери само дял C:, а вдясно избери Perform Complete Scan;

- кликни Next и изчакай да сканира;

- кликни Next, за да се премахнат гадинките и накрая Finish;

- кликни бутон Preferences... и иди на подпрозорец Statistics/Logs, маркирай последния лог и кликни бутон View Log...;

- копирай съдържанието му тук.

 

За Malwarebytes' Anti-Malware:

- стартирай програмата;

- избери Perform quick scan и кликни бутон Scan;

- като приключи сканирането кликни бутон Remove Selected;

- ще се появи текстов файл (лог), копирай съдържанието му тук.

 

Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага.

[Armageddon8]

GMER 1.0.15.14939 - http://www.gmer.net

Rootkit scan 2009-03-14 12:26:56

Windows 5.1.2600 Service Pack 2

 

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

 

---- Threads - GMER 1.0.15 ----

 

Thread System [4:620] 8862A790

 

---- EOF - GMER 1.0.15 ----

Malwarebytes' Anti-Malware - инстарих върху стара версия 1.34. И двете версии съвпадаха. - не откри нищо при сканиране.

SUPERAntiSpyware Free - изписа ми че съм със същата версия и трябвя да унинсталирам старата, ако искам да кача тази. Оставам със старата и не унинсталирам и инсталирам наново при положение, че става въпрос за същата версия. Пуснах сканиране отново. Ще пиша след като сканирането завърши. Не вярвам да намери нещо защото сканирах точно преди да пиша тук/не откри нищо/

 

SUPERAntiSpyware Free - също не намира нищо

"През това враме...

14.03.2009 12:27:22 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CNQ161S9\pdei[1].gif Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to run the file by the application: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.

14.03.2009 11:29:09 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe."

[B-boy/StyLe/]

Скоро и BitDefender пуснаха тулче против тази напаст.

 

http://www.bdtools.net/

 

Провери с тези инструменти за всеки случай: (подбрал съм най-новите версии)

 

http://4storing.com/j1sdm/104df5abf715c33a...1aededffe3.html

 

Някои от инструментите трябва да се разархивират (това на BitDefender)...

 

Ако можеш публикувай логовете от тяхната проверка. (поне от тези които създават такъв).

 

Добре е да се инсталират и следните актуализации:

 

- MS09-001

 

- MS08-068

 

- MS08-067

[Armageddon8]

EConfickerRemover

 

McAfee Avert Stinger

 

Microsoft Malicious Software Removal Tool 

 

KidoKiller

 

И 4-ТЕ ИНСТРУМЕНТА НЕ ОТКРИХА НИЩО.

 

Symantec W32.Downadup Removal Tool 1.0.7

 

 

ERROR: Can't change ACL/permissions for file C:\Documents and Settings\user\Desktop\New Folder\oldprog2\Microsoft\Crypto\RSA\MachineKeys\5f33489701509b6b61a14d74ad687ca7_90e188da-2171-4881-8705-a8785eaa3d36; file not scanned

 

ERROR: Can't change ACL/permissions for file C:\Documents and Settings\user\Desktop\New Folder\oldprog2\Microsoft\Crypto\RSA\MachineKeys\62244b8811e4accf1f3bea59b3f5f8c0_90e188da-2171-4881-8705-a8785eaa3d36; file not scanned

 

ERROR: Can't change ACL/permissions for file C:\Documents and Settings\user\Desktop\New Folder\oldprog2\Microsoft\Crypto\RSA\MachineKeys\8212e1f440a0602006bc8741d7e5a821_90e188da-2171-4881-8705-a8785eaa3d36; file not scanned

 

ERROR: Can't change ACL/permissions for file C:\Documents and Settings\user\Desktop\New Folder\oldprog2\Microsoft\Crypto\RSA\MachineKeys\8a2db28352fbd725521cd9d3f51ef0b3_90e188da-2171-4881-8705-a8785eaa3d36; file not scanned

 

ERROR: Can't change ACL/permissions for file C:\Documents and Settings\user\Desktop\New Folder\oldprog2\Microsoft\Crypto\RSA\MachineKeys\d3ce205a68a59c2beaec5a837c097315_90e188da-2171-4881-8705-a8785eaa3d36; file not scanned

 

ERROR: Can't change ACL/permissions for file C:\Documents and Settings\user\Desktop\New Folder\oldprog2\Microsoft\Crypto\RSA\MachineKeys\df64fbe3942a67bc9d4185e1fb93e0cf_90e188da-2171-4881-8705-a8785eaa3d36; file not scanned

W32.Downadup has not been found on your computer.

[Night_Raven]

Изпразни си всички временни папки и пусни едно пълно сканиране с антивирусната.

[Armageddon8]

C:\Users\Default\AppData\Local\... не ми дава достъп до никя папка там.

C:\Users - All Users,Default User - и тук не ми дава достъп

Почистих с disk cleanup, с ATF CLEANER не става - изписва че няма почистени обекти.

[Night_Raven]

Какви са тези папки в C:\Users, за които говориш?

[Armageddon8]

Папките са hidden.

[Night_Raven]

Скрити или не, такива папки не са нормално съществуващи под Windows XP. Временните папки се намират в \Documents and Settings\...и т.н.

[Armageddon8]

Давам sceershot

[Night_Raven]

Какъв е този Windows ТОЧНО?

[Armageddon8]

Миналият месец компютърът беше на ремонт. От сервиза го върнаха с този Windows XP service pack 2, преди това на компютърът имаше инсталирана ОС Виста. Възможно ли е да са "останки" от Вистата? Като върнаха компютърът бяха запазили старите програми/папка program files/ и старият windows/папката windows/.