Какво е това и как се маха?

[pandox]

Привет!! Опитах се с три програми но не го засече ,,само нода го засича в карантина изчиствам и пак се появява--даже като отворя папката където е ту се появявя ту изчезва--опитам ли се да го изтрия не ми дава ?? Помогнете!! Пограмите са Malwarebytes' Anti-Malware,,,SUPERAntiSpyware Free Edition,,DR.WEB

[avalon72]

Привет!! Опитах се с три програми но не го засече ,,само нода го засича в карантина изчиствам и пак се появява--даже като отворя папката където е ту се появявя ту изчезва--опитам ли се да го изтрия не ми дава ?? Помогнете!!

И к'во е т'ва сега - нищо не се разбира. Забавило се е качването на картинката... не я видях... Пусни GMER да видим, дали ще го засече тоя драйвер, изкарай го от карантината. Стартирай GMER, тя ще направи начално сканиране за секунди. Не натискай пълно сканиране. Натисни Copy-бутона и направи нов текстов документ. Постави съдържанието с Ctrl+V и качи документа тук.

[pandox]

Видя ли се сега? Да не би да си е нещо обикновенно ама като го маркирам и забегва и после пак се появява ??

 

 

ето това ли? направих го в jpeg ли не трябва така

[avalon72]

Видя ли се сега? Да не би да си е нещо обикновенно ама като го маркирам и забегва и после пак се появява ??

 

 

ето това ли? направих го в jpeg ли не трябва така

Има там един бутон Copy, натисни го, за да се запомни лога в клипборда. После го поставяш в нов текстов документ и - тук. Ама като гледам го е засякла програмата. Възможно е да е rootkit.

[pandox]

и какво да правя сега?? Дай да го убием или да смачкаме ако не с сопа с нещо друго

gadnqra.txt

[avalon72]

и какво да правя сега?? Дай да го убием или да смачкаме ако не с сопа с нещо друго

Еми освен пусни пак GMER да сканира с бутон Scan и като свърши ще ти излязат с червени редове, ако има. Маркираш ги с мишката един по един и натискаш Kill Process да ги "убие". После може да направиш пълно сканиране с нода и МВАМ, да видиш какво ще излезе. Тия рууткити прикриват вируси с тези драйвери, GMER ги разкъсва и вирусите лъсват евентуално. Антивирусната ги хваща вече и ги изтрива.

[pandox]

Еми не става! Чистя го с тоя гамер ама после като сканира пак е там С НОДА също??Помощ!!

[avalon72]

Еми не става! Чистя го с тоя гамер ама после като сканира пак е там

Имаше тука писано по подобни случаи като твоя... Поразгледай в раздела или изчакай за по-късно. Аз не съм навътре с тия работи. Или пък пробвай в Safe Mode да видим. Иначе по-рано съм чистил компютър пълен с рууткити, ама с програмата Avast! Antivirus и тя рестартира, и сканира в Safe Mode, защото бяха заредени процеси в паметта. Изчисти ги.

[pandox]

Благодаря ти !! Ще изчакам че имам малко работа навън след час ше погледна --Дано някой който РАЗБИРА се отзове!!!! Ще съм благодарен на всеки помогнал и дал съвет!!

[Night_Raven]

Ако разполагаш с DAEMON Tools, можеш да опиташ да я деинсталираш, защото допускам, че е възможно нейниният драйвер да се засича.

А иначе ще е полезно, ако предоставиш логове от MBAM и SAS да видим какво откриват по-точно.

 

Лог от ESET SysInspector би бил полезен също:

Един лог от ESET SysInspector може да е от помощ:

1) стартирай я, скролирай до долу и кликни I Agree, след което изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си (не го разархивирай).

[B-boy/StyLe/]

Не мисля, че е от DTools този път. Щеше да се види ясно в лога Hook-натите процеси (а и в повечето случай там името на услугата щеше да започва с a).

Това си е типичен Rustock и има два основни проблема:

 

1. Променен код в MBR.

2. Rootkit услуга.

 

СТЪПКА 1

 

1. Изтегли MBR.exe и го запази на дял C:\.

 

2. След това въведи командата : Start => Run => напиши CMD => натисни Enter и сега напиши C:\mbr.exe -f и натисни Enter.

 

3. След края на процедурата ще се появи лог файл. Копирай съдържанието му в следващия си пост.

 

СТЪПКА 2

 

1. След това спри временно защитата на антивирусната си програма.

 

2. Изтегли Combofix и го запази на десктопа.

 

3. Въведи следната команда в Start => Run менюто :

 

"%userprofile%\desktop\combofix.exe" /killall

 

4. По време на проверката с инструмента не стартирай други приложения, не натискай клавиши на клавиатурата и не мести мишката. ComboFix ще рестартира системата ти и след това ще създаде текстов (лог) файл. Копирай съдържанието му в следващия си пост. (логът може да бъде намерен и в директорията C:\Combofix.txt).

[pandox]

Изпълних ВСИЧКО което ми казахте и сега Ш..бания червяк бе смачкан и наказан -т.е НЯМА ГООООО!!! Благодаря ви !!! Благодаря ВИ!!! Тази програма на деска какво да я правя --как да я махна с деинсталация ли -незнам?? Да пращам ли тук лог както ми казахте или е излишнно вече?? БЛАГОДАРЯ ВИ ОЩЕ ВЕДНЪЖ!!!

 

 

Тези ли файлове??

ComboFix.txt

[B-boy/StyLe/]

Моля публикувайте и двата лог файла...

 

C:\Combofix.txt и логчето от MBR.exe (трябва също да е разположен някъде на дял C:\)

 

Може да имате още остатъци и системата Ви да не е напълно чиста все още.

 

Така...както и подозирах системата все още е заразена.

[pandox]

Е сега какво да правя ??

[B-boy/StyLe/]

Е сега какво да правя ??

 

Изтеглете този инструмент Norman_Sinowal_Cleaner.exe и направете проверка на системата си, докато анализирам лог файла от ComboFix.

 

=> След това отидете на сайта VirusTotal , изберете Browse и намерете файла c:\windows\system32\drivers\SDPIOSYS.SYS и натиснете send file. Когато анализа завърши публикувайте резултатите за проверения файл.