Jump to content

Препоръчан пост

Здравейте. Компютърът ми има някакъв ужасно коварен вирус/и. Не мога да ви пратя никакъв скрийн, но ще се опитам максимално добре да обясня.

Мога да взлизам в My Computur /c,d,e/, но ако реша в контролния панел да вляза, или да отворя таск мениджъра или която и да е програма на пс-то, не става. Имам 7 прозареца в момента на които пише, че в момента сканира с някаква програма която даже и не съм чувал/System Security/. Пише на всеки прозорец, че е инфектиран компа... току що още два прозореца излязоха и на целия десктоп пише с големи букви...

.....Warning! You'are in danger! Your computer is infected with spyware! Ужас, току ще се появи и онзи син екран, който на дали някой обича.

Пс-то е лаптоп с win XP, беше с нод 32 антивирусна с-ма, ще се радвам ако ми дадете някакъв съвет, дали може да се коригира проблема без преинсталация, да се надявам и да не изгори нищо.

Link to comment
Сподели другаде

Сканирай със SUPERAntiSpyware Free и Malwarebytes' Anti-Malware. Ако вече имаш програмите, провери дали имаш последните версии и ако нямаш, премахни твоите и инсталирай най-новите. Ако тепърва инсталираш програмите, след инсталацията те ще предложат да се обновят автоматично, съгласи се. В противен случай обнови дефинициите им ръчно.

 

За SUPERAntiSpyware:

- стартирай програмата;

- кликни бутон Scan your Computer (Сканиране на компютъра);

- вляво избери само дял C:, а вдясно избери Perform Complete Scan (Извърши пълно сканиране);

- кликни Next и изчакай програмата да сканира;

- ако има засечени заплахи, кликни OK на съобщението;

- кликни Next, за да се премахнат гадинките, OK на потвърждението и накрая Finish;

- кликни бутон Preferences... (Настройки) и иди на подпрозорец Statistics/Logs (Дневници), маркирай последния лог по дата и кликни бутон View Log... (Покажи дневника);

- копирай съдържанието му тук.

 

За Malwarebytes' Anti-Malware:

- стартирай програмата;

- избери Perform quick scan (Бързо сканиране) и кликни бутон Scan (Сканирай);

- като приключи сканирането кликни бутон OK и после Show results (Покажи резултатите);

- кликни бутон Remove Selected;

- ще се появи текстов файл (лог), копирай съдържанието му тук.

 

Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага.

Link to comment
Сподели другаде

Не, за мое голямо съжаление и след преименуване няма резултат. Ето две груби снимки на това което сега се показа като г включих отново.

И постоянно издава звук, все едно като отваряш прозорчета и другия звук, както когато правим грешка. Даже сега ви пиша от друг пс, защото моя даже и в нета не влиза.

post-787-1249843199_thumb.jpg

post-787-1249843204_thumb.jpg

Link to comment
Сподели другаде

Един лог от ESET SysInspector може да е от помощ:

1) стартирай я, скролирай до долу и кликни I Agree, след което изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си (не го разархивирай).

 

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

Link to comment
Сподели другаде

Не, за мое голямо съжаление и след преименуване няма резултат. Ето две груби снимки на това което сега се показа като г включих отново.

И постоянно издава звук, все едно като отваряш прозорчета и другия звук, както когато правим грешка. Даже сега ви пиша от друг пс, защото моя даже и в нета не влиза.

Ти си инсталирал фалшива програма за защита - System Security 2009 и затова сега береш ядове...

Link to comment
Сподели другаде

Един лог от ESET SysInspector може да е от помощ:

1) стартирай я, скролирай до долу и кликни I Agree, след което изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си (не го разархивирай).

 

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

 

Благодаря ти за възможностите, които ми предлагаш, не се и съмнявам в тебе, но не иска явно въобще никакви програми да задейства.

Интересно е, че под Safe Mode всичко е добре..., но само под Safe Mode

 

............Oпаа, влязах в сейф мод и от run/msconfig махнах доста процеси, които не сум и чувал. Сега когато стартирах Уиндовс нормално няма ги съобщенията и ми зарежда програмите. Започвам сега сканиране по-твоя начин, както си описал. Единствено което остана поне видимо..., са онези звуци за които споменах, все едно отварях прозорчета

Link to comment
Сподели другаде

Спри процеса на System Security от Task Manager или ProcessExplorer. След това не би трябвало да има проблем с инсталирането на SUPERAntiSpyware Free и Malwarebytes' Anti-Malware. Търсиш процес със странно име или само от числа с раширение .exe ProcessExplorer ще ти покаже и иконата на програмата за да се ориантираш по-добре.
Link to comment
Сподели другаде

Тогава инсталирай програмите под Safe Mode и опитай да ги стартираш под нормален режим. Ако не се стартират директно опитай да преименуваш самия изпълним файл на Malwarebytes' Anti-Malware, а SUPERAntiSpyware опитай да стартираш от Start менюто, където има линк за алтернативно стартиране.
Link to comment
Сподели другаде

Здравейте отново. От Spyware се получи това:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 08/09/2009 at 10:35 PM

 

Application Version : 4.27.1002

 

Core Rules Database Version : 4046

Trace Rules Database Version: 1986

 

Scan type : Quick Scan

Total Scan Time : 00:03:02

 

Memory items scanned : 365

Memory threats detected : 4

Registry items scanned : 301

Registry threats detected : 35

File items scanned : 3440

File threats detected : 60

 

Trojan.Downloader-Gen/LSASS-Fake

C:\WINDOWS\LSASS.EXE

C:\WINDOWS\LSASS.EXE

 

Trojan.CTFMon-Fake

C:\WINDOWS\CTFMON.EXE

C:\WINDOWS\CTFMON.EXE

[ctfmon] C:\WINDOWS\CTFMON.EXE

C:\WINDOWS\Prefetch\CTFMON.EXE-1AFEF9C4.pf

 

Trojan.Unclassified/MSXML71-Packed

C:\WINDOWS\SYSTEM32\MSXML71.DLL

C:\WINDOWS\SYSTEM32\MSXML71.DLL

 

Rogue.Agent/Gen

C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\18842184\18842184.EXE

C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\18842184\18842184.EXE

[18842184] C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\18842184\18842184.EXE

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN#18842184

C:\Documents and Settings\All Users\Application Data\18842184

C:\RECYCLER\S-1-5-21-1177238915-1220945662-725345543-1003\DC1.LNK

C:\WINDOWS\Prefetch\18842184.EXE-11C330F7.pf

 

Trojan.Dropper/Win-NV

[odby] C:\WINDOWS\ODB.EXE

C:\WINDOWS\ODB.EXE

[wdmon] C:\WINDOWS\WDMON.EXE

C:\WINDOWS\WDMON.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\Run#vlc [ C:\WINDOWS\vlc.exe ]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run#netx [ C:\WINDOWS\svx.exe ]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run#netw [ C:\WINDOWS\svw.exe ]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run#netc [ C:\WINDOWS\svc.exe ]

C:\WINDOWS\Prefetch\WDMON.EXE-149D69E5.pf

 

Rogue.Unclassified/Mutli-Installer

[netc] C:\WINDOWS\SVC.EXE

C:\WINDOWS\SVC.EXE

[vlc] C:\WINDOWS\VLC.EXE

C:\WINDOWS\VLC.EXE

[netw] C:\WINDOWS\SVW.EXE

C:\WINDOWS\SVW.EXE

[netx] C:\WINDOWS\SVX.EXE

C:\WINDOWS\SVX.EXE

C:\WINDOWS\Prefetch\SVW.EXE-295219E6.pf

C:\WINDOWS\Prefetch\VLC.EXE-209D3A36.pf

 

Trojan.Agent/Gen-LSASS/Fake

[lsass] C:\WINDOWS\LSASS.EXE

 

Trojan.Agent/Gen-FakeAlert[AMOUMAIN]

[amoumain] C:\WINDOWS\AMOUMAIN.EXE

C:\WINDOWS\AMOUMAIN.EXE

 

Trojan.Agent/Gen-FakeAlert[seviceLayer]

[servicelayer] C:\WINDOWS\SERVICELAYER.EXE

C:\WINDOWS\SERVICELAYER.EXE

 

Trojan.Unclassified/MSXML71

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500BCA15-57A7-4eaf-8143-8C619470B13D}

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}#Install

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}\InprocServer32

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}\InprocServer32#ThreadingModel

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}\ProgID

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}\Programmable

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}\TypeLib

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}\VersionIndependentProgID

HKCR\XML.XML.1

HKCR\XML.XML.1\CLSID

HKCR\XML.XML

HKCR\XML.XML\CLSID

HKCR\XML.XML\CurVer

HKCR\TypeLib\{E24211B3-A78A-C6A9-D317-70979ACE5058}

HKCR\TypeLib\{E24211B3-A78A-C6A9-D317-70979ACE5058}\_.0

HKU\S-1-5-21-1177238915-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{500BCA15-57A7-4EAF-8143-8C619470B13D}

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\MSXML71.DLL

 

Adware.Tracking Cookie

C:\Documents and Settings\svet\Cookies\svet@teensxxxstars[2].txt

C:\Documents and Settings\svet\Cookies\svet@www.maturepornoblog[1].txt

C:\Documents and Settings\svet\Cookies\svet@advertising[1].txt

C:\Documents and Settings\svet\Cookies\svet@adultadworld[1].txt

C:\Documents and Settings\svet\Cookies\svet@traffic[1].txt

C:\Documents and Settings\svet\Cookies\svet@fuckthislady[2].txt

C:\Documents and Settings\svet\Cookies\svet@doubleclick[1].txt

C:\Documents and Settings\svet\Cookies\svet@baluporn[2].txt

C:\Documents and Settings\svet\Cookies\svet@clicks.adengage[1].txt

C:\Documents and Settings\svet\Cookies\svet@adultfriendfinder[2].txt

C:\Documents and Settings\svet\Cookies\svet@www.fuckthisteen[1].txt

C:\Documents and Settings\svet\Cookies\svet@cgi-bin[2].txt

C:\Documents and Settings\svet\Cookies\svet@sexvideomix[2].txt

C:\Documents and Settings\svet\Cookies\svet@www.private-teen-sex[1].txt

C:\Documents and Settings\svet\Cookies\svet@mediaplex[1].txt

C:\Documents and Settings\svet\Cookies\svet@st[3].txt

C:\Documents and Settings\svet\Cookies\svet@www.hentaimedia[2].txt

C:\Documents and Settings\svet\Cookies\svet@private-teen-sex[1].txt

C:\Documents and Settings\svet\Cookies\svet@greatsexmoms[2].txt

C:\Documents and Settings\svet\Cookies\svet@ad.yieldmanager[1].txt

C:\Documents and Settings\svet\Cookies\svet@apmebf[2].txt

C:\Documents and Settings\svet\Cookies\svet@teensexporns[2].txt

 

Trojan.Agent/Gen

HKU\S-1-5-21-1177238915-1220945662-725345543-1003\SOFTWARE\XML

C:\WINDOWS\system32\lowsec\local.ds

C:\WINDOWS\system32\lowsec\user.ds

C:\WINDOWS\system32\lowsec

 

Trojan.Downloader-Gen/A

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\A.EXE

 

Trojan.Agent/Gen-RogueDrop[AntiVirFix]

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\E.EXE

 

Trojan.Agent/Gen-Backdoor[FakeAlert]

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q1.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q2.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q3.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q4.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q5.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q6.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q7.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q8.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q9.EXE

 

Trojan.Dropper/Gen-NV

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\TESTE1_P.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\TESTE2_P.EXE

 

Trojan.Agent/Gen-SDRA

C:\WINDOWS\SYSTEM32\SDRA64.EXE

C:\WINDOWS\Prefetch\SDRA64.EXE-22920778.pf

От Malware се получи това:

 

Database version: 2586

Windows 5.1.2600 Service Pack 3

 

8/9/2009 10:45:34 PM

mbam-log-2009-08-09 (22-45-34).txt

 

Scan type: Quick Scan

Objects scanned: 88405

Time elapsed: 3 minute(s), 50 second(s)

 

Memory Processes Infected: 1

Memory Modules Infected: 0

Registry Keys Infected: 6

Registry Values Infected: 11

Registry Data Items Infected: 2

Folders Infected: 1

Files Infected: 18

 

Memory Processes Infected:

C:\Documents and Settings\svet\Local Settings\Temp\b.exe (Trojan.Downloader) -> Unloaded process successfully.

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Registry Values Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.

 

Registry Data Items Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

 

Folders Infected:

C:\Documents and Settings\svet\Start Menu\Programs\System Security (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

 

Files Infected:

C:\Documents and Settings\svet\Local Settings\Temp\b.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\teste3_p.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\5_odb.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\avto.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\avto1.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\avto2.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\avto3.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\avto4.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\c.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\teste4_p.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\d.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\f.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Start Menu\Programs\System Security\System Security (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\4_pinnew.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\6_ldr3.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\60325cahp25ca0.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\1033x.exe (Backdoor.Bot) -> Delete on r

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
×
  • Създай ново...