Въпрос относно Spyware вирус

[coojoe_213]

Здравейте. Компютърът ми има някакъв ужасно коварен вирус/и. Не мога да ви пратя никакъв скрийн, но ще се опитам максимално добре да обясня.

Мога да взлизам в My Computur /c,d,e/, но ако реша в контролния панел да вляза, или да отворя таск мениджъра или която и да е програма на пс-то, не става. Имам 7 прозареца в момента на които пише, че в момента сканира с някаква програма която даже и не съм чувал/System Security/. Пише на всеки прозорец, че е инфектиран компа... току що още два прозореца излязоха и на целия десктоп пише с големи букви...

.....Warning! You'are in danger! Your computer is infected with spyware! Ужас, току ще се появи и онзи син екран, който на дали някой обича.

Пс-то е лаптоп с win XP, беше с нод 32 антивирусна с-ма, ще се радвам ако ми дадете някакъв съвет, дали може да се коригира проблема без преинсталация, да се надявам и да не изгори нищо.

[Night_Raven]

Сканирай със SUPERAntiSpyware Free и Malwarebytes' Anti-Malware. Ако вече имаш програмите, провери дали имаш последните версии и ако нямаш, премахни твоите и инсталирай най-новите. Ако тепърва инсталираш програмите, след инсталацията те ще предложат да се обновят автоматично, съгласи се. В противен случай обнови дефинициите им ръчно.

 

За SUPERAntiSpyware:

- стартирай програмата;

- кликни бутон Scan your Computer (Сканиране на компютъра);

- вляво избери само дял C:, а вдясно избери Perform Complete Scan (Извърши пълно сканиране);

- кликни Next и изчакай програмата да сканира;

- ако има засечени заплахи, кликни OK на съобщението;

- кликни Next, за да се премахнат гадинките, OK на потвърждението и накрая Finish;

- кликни бутон Preferences... (Настройки) и иди на подпрозорец Statistics/Logs (Дневници), маркирай последния лог по дата и кликни бутон View Log... (Покажи дневника);

- копирай съдържанието му тук.

 

За Malwarebytes' Anti-Malware:

- стартирай програмата;

- избери Perform quick scan (Бързо сканиране) и кликни бутон Scan (Сканирай);

- като приключи сканирането кликни бутон OK и после Show results (Покажи резултатите);

- кликни бутон Remove Selected;

- ще се появи текстов файл (лог), копирай съдържанието му тук.

 

Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага.

[coojoe_213]

Не мога да ги инсталирам. Нито Spyware, нито Malware.

[Night_Raven]

Опитай да промениш имената на инсталационните файлове на нещо произволно.

[bratobg]

Device Manager и опитай да спреш процеса който ти запълва Екрана.Под Safe Mode опита ли? Подобен проблем съм виждал с Antivirus 2008.

[coojoe_213]

Не, за мое голямо съжаление и след преименуване няма резултат. Ето две груби снимки на това което сега се показа като г включих отново.

И постоянно издава звук, все едно като отваряш прозорчета и другия звук, както когато правим грешка. Даже сега ви пиша от друг пс, защото моя даже и в нета не влиза.

[Night_Raven]

Един лог от ESET SysInspector може да е от помощ:

1) стартирай я, скролирай до долу и кликни I Agree, след което изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си (не го разархивирай).

 

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

[avalon72]

Не, за мое голямо съжаление и след преименуване няма резултат. Ето две груби снимки на това което сега се показа като г включих отново.

И постоянно издава звук, все едно като отваряш прозорчета и другия звук, както когато правим грешка. Даже сега ви пиша от друг пс, защото моя даже и в нета не влиза.

Ти си инсталирал фалшива програма за защита - System Security 2009 и затова сега береш ядове...

[coojoe_213]

Един лог от ESET SysInspector може да е от помощ:

1) стартирай я, скролирай до долу и кликни I Agree, след което изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си (не го разархивирай).

 

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

 

Благодаря ти за възможностите, които ми предлагаш, не се и съмнявам в тебе, но не иска явно въобще никакви програми да задейства.

Интересно е, че под Safe Mode всичко е добре..., но само под Safe Mode

 

............Oпаа, влязах в сейф мод и от run/msconfig махнах доста процеси, които не сум и чувал. Сега когато стартирах Уиндовс нормално няма ги съобщенията и ми зарежда програмите. Започвам сега сканиране по-твоя начин, както си описал. Единствено което остана поне видимо..., са онези звуци за които споменах, все едно отварях прозорчета

[nikikom]

Спри процеса на System Security от Task Manager или ProcessExplorer. След това не би трябвало да има проблем с инсталирането на SUPERAntiSpyware Free и Malwarebytes' Anti-Malware. Търсиш процес със странно име или само от числа с раширение .exe ProcessExplorer ще ти покаже и иконата на програмата за да се ориантираш по-добре.

[Night_Raven]

Тогава инсталирай програмите под Safe Mode и опитай да ги стартираш под нормален режим. Ако не се стартират директно опитай да преименуваш самия изпълним файл на Malwarebytes' Anti-Malware, а SUPERAntiSpyware опитай да стартираш от Start менюто, където има линк за алтернативно стартиране.

[coojoe_213]

Здравейте отново. От Spyware се получи това:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 08/09/2009 at 10:35 PM

 

Application Version : 4.27.1002

 

Core Rules Database Version : 4046

Trace Rules Database Version: 1986

 

Scan type : Quick Scan

Total Scan Time : 00:03:02

 

Memory items scanned : 365

Memory threats detected : 4

Registry items scanned : 301

Registry threats detected : 35

File items scanned : 3440

File threats detected : 60

 

Trojan.Downloader-Gen/LSASS-Fake

C:\WINDOWS\LSASS.EXE

C:\WINDOWS\LSASS.EXE

 

Trojan.CTFMon-Fake

C:\WINDOWS\CTFMON.EXE

C:\WINDOWS\CTFMON.EXE

[ctfmon] C:\WINDOWS\CTFMON.EXE

C:\WINDOWS\Prefetch\CTFMON.EXE-1AFEF9C4.pf

 

Trojan.Unclassified/MSXML71-Packed

C:\WINDOWS\SYSTEM32\MSXML71.DLL

C:\WINDOWS\SYSTEM32\MSXML71.DLL

 

Rogue.Agent/Gen

C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\18842184\18842184.EXE

C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\18842184\18842184.EXE

[18842184] C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\18842184\18842184.EXE

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN#18842184

C:\Documents and Settings\All Users\Application Data\18842184

C:\RECYCLER\S-1-5-21-1177238915-1220945662-725345543-1003\DC1.LNK

C:\WINDOWS\Prefetch\18842184.EXE-11C330F7.pf

 

Trojan.Dropper/Win-NV

[odby] C:\WINDOWS\ODB.EXE

C:\WINDOWS\ODB.EXE

[wdmon] C:\WINDOWS\WDMON.EXE

C:\WINDOWS\WDMON.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\Run#vlc [ C:\WINDOWS\vlc.exe ]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run#netx [ C:\WINDOWS\svx.exe ]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run#netw [ C:\WINDOWS\svw.exe ]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run#netc [ C:\WINDOWS\svc.exe ]

C:\WINDOWS\Prefetch\WDMON.EXE-149D69E5.pf

 

Rogue.Unclassified/Mutli-Installer

[netc] C:\WINDOWS\SVC.EXE

C:\WINDOWS\SVC.EXE

[vlc] C:\WINDOWS\VLC.EXE

C:\WINDOWS\VLC.EXE

[netw] C:\WINDOWS\SVW.EXE

C:\WINDOWS\SVW.EXE

[netx] C:\WINDOWS\SVX.EXE

C:\WINDOWS\SVX.EXE

C:\WINDOWS\Prefetch\SVW.EXE-295219E6.pf

C:\WINDOWS\Prefetch\VLC.EXE-209D3A36.pf

 

Trojan.Agent/Gen-LSASS/Fake

[lsass] C:\WINDOWS\LSASS.EXE

 

Trojan.Agent/Gen-FakeAlert[AMOUMAIN]

[amoumain] C:\WINDOWS\AMOUMAIN.EXE

C:\WINDOWS\AMOUMAIN.EXE

 

Trojan.Agent/Gen-FakeAlert[seviceLayer]

[servicelayer] C:\WINDOWS\SERVICELAYER.EXE

C:\WINDOWS\SERVICELAYER.EXE

 

Trojan.Unclassified/MSXML71

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500BCA15-57A7-4eaf-8143-8C619470B13D}

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}#Install

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}\InprocServer32

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}\InprocServer32#ThreadingModel

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}\ProgID

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}\Programmable

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}\TypeLib

HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}\VersionIndependentProgID

HKCR\XML.XML.1

HKCR\XML.XML.1\CLSID

HKCR\XML.XML

HKCR\XML.XML\CLSID

HKCR\XML.XML\CurVer

HKCR\TypeLib\{E24211B3-A78A-C6A9-D317-70979ACE5058}

HKCR\TypeLib\{E24211B3-A78A-C6A9-D317-70979ACE5058}\_.0

HKU\S-1-5-21-1177238915-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{500BCA15-57A7-4EAF-8143-8C619470B13D}

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\MSXML71.DLL

 

Adware.Tracking Cookie

C:\Documents and Settings\svet\Cookies\svet@teensxxxstars[2].txt

C:\Documents and Settings\svet\Cookies\svet@www.maturepornoblog[1].txt

C:\Documents and Settings\svet\Cookies\svet@advertising[1].txt

C:\Documents and Settings\svet\Cookies\svet@adultadworld[1].txt

C:\Documents and Settings\svet\Cookies\svet@traffic[1].txt

C:\Documents and Settings\svet\Cookies\svet@fuckthislady[2].txt

C:\Documents and Settings\svet\Cookies\svet@doubleclick[1].txt

C:\Documents and Settings\svet\Cookies\svet@baluporn[2].txt

C:\Documents and Settings\svet\Cookies\svet@clicks.adengage[1].txt

C:\Documents and Settings\svet\Cookies\svet@adultfriendfinder[2].txt

C:\Documents and Settings\svet\Cookies\svet@www.fuckthisteen[1].txt

C:\Documents and Settings\svet\Cookies\svet@cgi-bin[2].txt

C:\Documents and Settings\svet\Cookies\svet@sexvideomix[2].txt

C:\Documents and Settings\svet\Cookies\svet@www.private-teen-sex[1].txt

C:\Documents and Settings\svet\Cookies\svet@mediaplex[1].txt

C:\Documents and Settings\svet\Cookies\svet@st[3].txt

C:\Documents and Settings\svet\Cookies\svet@www.hentaimedia[2].txt

C:\Documents and Settings\svet\Cookies\svet@private-teen-sex[1].txt

C:\Documents and Settings\svet\Cookies\svet@greatsexmoms[2].txt

C:\Documents and Settings\svet\Cookies\svet@ad.yieldmanager[1].txt

C:\Documents and Settings\svet\Cookies\svet@apmebf[2].txt

C:\Documents and Settings\svet\Cookies\svet@teensexporns[2].txt

 

Trojan.Agent/Gen

HKU\S-1-5-21-1177238915-1220945662-725345543-1003\SOFTWARE\XML

C:\WINDOWS\system32\lowsec\local.ds

C:\WINDOWS\system32\lowsec\user.ds

C:\WINDOWS\system32\lowsec

 

Trojan.Downloader-Gen/A

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\A.EXE

 

Trojan.Agent/Gen-RogueDrop[AntiVirFix]

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\E.EXE

 

Trojan.Agent/Gen-Backdoor[FakeAlert]

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q1.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q2.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q3.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q4.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q5.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q6.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q7.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q8.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\Q9.EXE

 

Trojan.Dropper/Gen-NV

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\TESTE1_P.EXE

C:\DOCUMENTS AND SETTINGS\SVET\LOCAL SETTINGS\TEMP\TESTE2_P.EXE

 

Trojan.Agent/Gen-SDRA

C:\WINDOWS\SYSTEM32\SDRA64.EXE

C:\WINDOWS\Prefetch\SDRA64.EXE-22920778.pf

От Malware се получи това:

 

Database version: 2586

Windows 5.1.2600 Service Pack 3

 

8/9/2009 10:45:34 PM

mbam-log-2009-08-09 (22-45-34).txt

 

Scan type: Quick Scan

Objects scanned: 88405

Time elapsed: 3 minute(s), 50 second(s)

 

Memory Processes Infected: 1

Memory Modules Infected: 0

Registry Keys Infected: 6

Registry Values Infected: 11

Registry Data Items Infected: 2

Folders Infected: 1

Files Infected: 18

 

Memory Processes Infected:

C:\Documents and Settings\svet\Local Settings\Temp\b.exe (Trojan.Downloader) -> Unloaded process successfully.

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Registry Values Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.

 

Registry Data Items Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

 

Folders Infected:

C:\Documents and Settings\svet\Start Menu\Programs\System Security (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

 

Files Infected:

C:\Documents and Settings\svet\Local Settings\Temp\b.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\teste3_p.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\5_odb.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\avto.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\avto1.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\avto2.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\avto3.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\avto4.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\c.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\teste4_p.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\d.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\f.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Start Menu\Programs\System Security\System Security (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\4_pinnew.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\6_ldr3.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\svet\Local Settings\Temp\60325cahp25ca0.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\1033x.exe (Backdoor.Bot) -> Delete on r

[Night_Raven]

И след рестартирането как е положението?

[coojoe_213]

Перфектно , наистина. Много ти благодаря, не бях попадал и на такива вируси или каквото е.

[Night_Raven]

Rogue софтуер се нарича и става все по-често срещана заплаха.