Armageddon8 Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 Данни за ОС - в прикрепеният файл - report.txt Това е логът от реално-времевата защита на Eset Smart security 4.0.314.0 14.03.2009 10:59:05 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA wormcleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.12.03.2009 08:48:03 Real-time file system protection file F:\Autorun.inf Win32/AutoRun.EY worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred during an attempt to access the file by the application: C:\WINDOWS\system32\svchost.exe. 11.03.2009 13:29:05 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.11.03.2009 11:59:05 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\M5EBC91M\pfryfg[1].gif Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to run the file by the application: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.11.03.2009 11:20:31 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.11.03.2009 10:21:04 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8LINWTYN\zmbibqg[1].bmp Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to access the file by the application: C:\WINDOWS\system32\MRT.exe.10.03.2009 16:11:26 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.10.03.2009 13:57:06 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OXMNK52B\zmbibqg[1].png Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to run the file by the application: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.10.03.2009 13:36:43 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.10.03.2009 13:06:07 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8LINWTYN\zmbibqg[1].jpg Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to run the file by the application: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.10.03.2009 12:59:06 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.10.03.2009 10:33:53 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OXMNK52B\zmbibqg[1].bmp Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to access the file by the application: C:\WINDOWS\system32\MRT.exe.10.03.2009 10:25:27 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.06.03.2009 12:39:07 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.26.02.2009 10:00:56 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CNQ161S9\pdei[1].bmp Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to run the file by the application: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.26.02.2009 08:43:15 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe Въпросът е че ESET постоянно намира файла, но нищо друо не успява да направи. Слага го под карантина. При сканиране понякой път намира - C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\IOX5PJMZ\dofs[1].bmp - Win32/Conficker.AA worm - cleaned by deleting - quarantined [1]. Един път намира, следващият път нищо не намира. След това при реално-времевата защита пак намира нещо, после след сканиране нищо не намира. Имам чувството, че не намира самият източник, а само от време на време хваща нещо. SUPERAnti Spyware - при последното сканиране/малко преди да пиша/ нищо не намери. MalwarebytesAnti-Malware - също не откри нищо.Report.txt Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 Чистихме ти системата вече и май дори ъпдейти инсталира. Как успя пак да я оклепаш пак? Божкееее. За всеки случай...Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи. Изтегли ESET SysInspector и:1) стартирай я и изчакай да събере информацията;2) меню File -> Save Log;3) потвърди с Yes;4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си в ZIP формат (не го разархивирай). Цитирай Link to comment Сподели другаде More sharing options...
Armageddon8 Публикувано Март 14, 2009 Author Report Share Публикувано Март 14, 2009 Чистихме ти системата вече и май дори ъпдейти инсталира. Как успя пак да я оклепаш пак? Божкееее. За всеки случай...Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи. Изтегли ESET SysInspector и:1) стартирай я и изчакай да събере информацията;2) меню File -> Save Log;3) потвърди с Yes;4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си в ZIP формат (не го разархивирай). Приемам упрека, въпреки че освен да работя на компютърът нищо друго не съм прави. Нито съм свалял, нито съм исталирал нищо...както и да е-ето го лога от GmerGMER 1.0.14.14536 - http://www.gmer.netRootkit scan 2009-03-14 12:00:44Windows 5.1.2600 Service Pack 2 ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET) ---- Threads - GMER 1.0.14 ---- Thread 4:620 8862A790 ---- EOF - GMER 1.0.14 ----SysInspector_YORDAN_090314_1202.zip Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 Ползваш стара версия на GMER, не си отворил въобще линка да видиш дали има нова. Още си със Service Pack 2. По някаква причина липсват и инсталираните 3 ъпдейта, които мисля, че все пак инсталира. В логовете обаче не виждам нищо опасно и активно в момента. Останки обаче има. Сканирай със SUPERAntiSpyware Free и Malwarebytes' Anti-Malware За SUPERAntiSpyware:- стартирай програмата;- кликни бутон Scan your Computer;- вляво избери само дял C:, а вдясно избери Perform Complete Scan;- кликни Next и изчакай да сканира;- кликни Next, за да се премахнат гадинките и накрая Finish;- кликни бутон Preferences... и иди на подпрозорец Statistics/Logs, маркирай последния лог и кликни бутон View Log...;- копирай съдържанието му тук. За Malwarebytes' Anti-Malware:- стартирай програмата;- избери Perform quick scan и кликни бутон Scan;- като приключи сканирането кликни бутон Remove Selected;- ще се появи текстов файл (лог), копирай съдържанието му тук. Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага. Цитирай Link to comment Сподели другаде More sharing options...
Armageddon8 Публикувано Март 14, 2009 Author Report Share Публикувано Март 14, 2009 GMER 1.0.15.14939 - http://www.gmer.netRootkit scan 2009-03-14 12:26:56Windows 5.1.2600 Service Pack 2 ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET) ---- Threads - GMER 1.0.15 ---- Thread System [4:620] 8862A790 ---- EOF - GMER 1.0.15 ----Malwarebytes' Anti-Malware - инстарих върху стара версия 1.34. И двете версии съвпадаха. - не откри нищо при сканиране. SUPERAntiSpyware Free - изписа ми че съм със същата версия и трябвя да унинсталирам старата, ако искам да кача тази. Оставам със старата и не унинсталирам и инсталирам наново при положение, че става въпрос за същата версия. Пуснах сканиране отново. Ще пиша след като сканирането завърши. Не вярвам да намери нещо защото сканирах точно преди да пиша тук/не откри нищо/ SUPERAntiSpyware Free - също не намира нищо"През това враме...14.03.2009 12:27:22 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CNQ161S9\pdei[1].gif Win32/Conficker.AA worm cleaned by deleting - quarantined YORDAN\user Event occurred during an attempt to run the file by the application: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.14.03.2009 11:29:09 Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe." Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Март 14, 2009 Report Share Публикувано Март 14, 2009 Скоро и BitDefender пуснаха тулче против тази напаст. http://www.bdtools.net/ Провери с тези инструменти за всеки случай: (подбрал съм най-новите версии) http://4storing.com/j1sdm/104df5abf715c33a...1aededffe3.html Някои от инструментите трябва да се разархивират (това на BitDefender)... Ако можеш публикувай логовете от тяхната проверка. (поне от тези които създават такъв). Добре е да се инсталират и следните актуализации: - MS09-001 - MS08-068 - MS08-067 Цитирай Link to comment Сподели другаде More sharing options...
Armageddon8 Публикувано Март 16, 2009 Author Report Share Публикувано Март 16, 2009 EConfickerRemover McAfee Avert Stinger Microsoft Malicious Software Removal Tool KidoKiller И 4-ТЕ ИНСТРУМЕНТА НЕ ОТКРИХА НИЩО. Symantec W32.Downadup Removal Tool 1.0.7 ERROR: Can't change ACL/permissions for file C:\Documents and Settings\user\Desktop\New Folder\oldprog2\Microsoft\Crypto\RSA\MachineKeys\5f33489701509b6b61a14d74ad687ca7_90e188da-2171-4881-8705-a8785eaa3d36; file not scanned ERROR: Can't change ACL/permissions for file C:\Documents and Settings\user\Desktop\New Folder\oldprog2\Microsoft\Crypto\RSA\MachineKeys\62244b8811e4accf1f3bea59b3f5f8c0_90e188da-2171-4881-8705-a8785eaa3d36; file not scanned ERROR: Can't change ACL/permissions for file C:\Documents and Settings\user\Desktop\New Folder\oldprog2\Microsoft\Crypto\RSA\MachineKeys\8212e1f440a0602006bc8741d7e5a821_90e188da-2171-4881-8705-a8785eaa3d36; file not scanned ERROR: Can't change ACL/permissions for file C:\Documents and Settings\user\Desktop\New Folder\oldprog2\Microsoft\Crypto\RSA\MachineKeys\8a2db28352fbd725521cd9d3f51ef0b3_90e188da-2171-4881-8705-a8785eaa3d36; file not scanned ERROR: Can't change ACL/permissions for file C:\Documents and Settings\user\Desktop\New Folder\oldprog2\Microsoft\Crypto\RSA\MachineKeys\d3ce205a68a59c2beaec5a837c097315_90e188da-2171-4881-8705-a8785eaa3d36; file not scanned ERROR: Can't change ACL/permissions for file C:\Documents and Settings\user\Desktop\New Folder\oldprog2\Microsoft\Crypto\RSA\MachineKeys\df64fbe3942a67bc9d4185e1fb93e0cf_90e188da-2171-4881-8705-a8785eaa3d36; file not scannedW32.Downadup has not been found on your computer. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 16, 2009 Report Share Публикувано Март 16, 2009 Изпразни си всички временни папки и пусни едно пълно сканиране с антивирусната. Цитирай Link to comment Сподели другаде More sharing options...
Armageddon8 Публикувано Март 16, 2009 Author Report Share Публикувано Март 16, 2009 C:\Users\Default\AppData\Local\... не ми дава достъп до никя папка там.C:\Users - All Users,Default User - и тук не ми дава достъпПочистих с disk cleanup, с ATF CLEANER не става - изписва че няма почистени обекти. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 16, 2009 Report Share Публикувано Март 16, 2009 Какви са тези папки в C:\Users, за които говориш? Цитирай Link to comment Сподели другаде More sharing options...
Armageddon8 Публикувано Март 16, 2009 Author Report Share Публикувано Март 16, 2009 Папките са hidden. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 16, 2009 Report Share Публикувано Март 16, 2009 Скрити или не, такива папки не са нормално съществуващи под Windows XP. Временните папки се намират в \Documents and Settings\...и т.н. Цитирай Link to comment Сподели другаде More sharing options...
Armageddon8 Публикувано Март 16, 2009 Author Report Share Публикувано Март 16, 2009 Давам sceershot Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Март 16, 2009 Report Share Публикувано Март 16, 2009 Какъв е този Windows ТОЧНО? Цитирай Link to comment Сподели другаде More sharing options...
Armageddon8 Публикувано Март 16, 2009 Author Report Share Публикувано Март 16, 2009 Миналият месец компютърът беше на ремонт. От сервиза го върнаха с този Windows XP service pack 2, преди това на компютърът имаше инсталирана ОС Виста. Възможно ли е да са "останки" от Вистата? Като върнаха компютърът бяха запазили старите програми/папка program files/ и старият windows/папката windows/. Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.