Проблем с червей

[vegito]

Така какав е проблема появи ми се папка с име add451bab550c6719ebb6eac83d2 ,вредата която нанася е че доста често ми изписва съобщение че компютара ще се рестартира след 1 минута .Папката не може да се изтрие и нод 32 не я лови като вирус.

[draco_volans]

Защо не пробваш едно сканиране с Malwarebyte's AM и SAS? Сваляш и инсталираш програмите, ъпдейтваш дефинициите и пускаш по едно пълно сканиране, да видим дали ще открият нещо. После постваш логовете от сканирането в коментара си.

 

Edit: А къде се намира тази папка?

[avalon72]

Така какав е проблема появи ми се папка с име add451bab550c6719ebb6eac83d2 ,вредата която нанася е че доста често ми изписва съобщение че компютара ще се рестартира след 1 минута .Папката не може да се изтрие и нод 32 не я лови като вирус.

И-и-и... какво има в тая папка... видя ли? Щото и аз имам две подобни, ама няма проблеми с тях.

[vegito]

ето това са папките http://vegito.snimka.bg/hobby/rabota.421065.14795119.big

http://vegito.snimka.bg/hobby/rabota.421065.14795051.big

http://vegito.snimka.bg/hobby/rabota.421065.14795059.big

Това е от едната програма .

Malwarebytes' Anti-Malware 1.41

Версия на базата от данни: 2785

Windows 5.1.2600 Service Pack 2

 

13.8.2009 г. 21:15:11

mbam-log-2009-08-13 (21-15-04).txt

 

Тип сканиране: Пълно сканиране (C:\|D:\|)

Сканирани обекти: 121415

Изминало време: 21 minute(s), 12 second(s)

 

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 6

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 1

Заразени файлове: 0

 

Заразени процеси в паметта:

(Не бяха открити заплахи)

 

Заразени модули в паметта:

(Не бяха открити заплахи)

 

Заразени ключове в регистратурата:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

 

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

 

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

 

Заразени папки:

C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

 

Заразени файлове:

(Не бяха открити заплахи)

 

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 08/13/2009 at 09:32 PM

 

Application Version : 4.28.1010

 

Core Rules Database Version : 4096

Trace Rules Database Version: 2036

 

Scan type : Complete Scan

Total Scan Time : 00:23:06

 

Memory items scanned : 576

Memory threats detected : 0

Registry items scanned : 4471

Registry threats detected : 0

File items scanned : 13486

File threats detected : 5

 

Adware.Tracking Cookie

C:\Documents and Settings\Slav4o\Cookies\slav4o@doubleclick[1].txt

C:\Documents and Settings\Slav4o\Cookies\slav4o@ak[2].txt

C:\Documents and Settings\Slav4o\Cookies\slav4o@content.yieldmanager[2].txt

C:\Documents and Settings\Slav4o\Cookies\slav4o@ad.yieldmanager[2].txt

 

Trojan.Agent/Gen

C:\WINDOWS\system32\lowsec

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 08/13/2009 at 09:09 PM

 

Application Version : 4.28.1010

 

Core Rules Database Version : 4096

Trace Rules Database Version: 2036

 

Scan type : Custom Scan

Total Scan Time : 00:00:02

 

Memory items scanned : 0

Memory threats detected : 0

Registry items scanned : 0

Registry threats detected : 0

File items scanned : 8

File threats detected : 0

[The Graverobber]

имаш заразени ключове в регистратурата, следователно трябва да ги премахнеш с МБАМ, + САС е открила Trojan.Agent/Gen, който се намира в C:\WINDOWS\system32\lowsec

[vegito]

изтрих ги но тази папак си седи и мисля че от нея идва проблема защото и преди сам го имал просто не си спомням с какво го изтрих и си спомням че беше няккакъв червей

[draco_volans]

Нещо не можах да ти видя снимките, щото ми иска парола... Не можа ли да ги качиш примерно на Tynipic.com? Премахни гадинките, които програмите са открили. Можеш да дадеш и един лог от Gmer: Стартирай птограмата. Тя ще направи бързо сканиране за секунди. Ако ти предложи да направиш пълно сканиране, откажи. Натисни Copy и пейстни лога в коментара си.

[vegito]

GMER 1.0.15.15077 [dzwq3r68.exe] - http://www.gmer.net

Rootkit quick scan 2009-08-13 22:04:24

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.15 ----

 

SSDT spws.sys ZwEnumerateKey [0xF72EECA2]

SSDT spws.sys ZwEnumerateValueKey [0xF72EF030]

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 84B6E1F8

 

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

 

---- Threads - GMER 1.0.15 ----

 

Thread System [4:436] 841CF790

 

---- EOF - GMER 1.0.15 ----

 

паролата е 123

[draco_volans]

Можеш да направиш едно сканиране с Windows Malicious Software Removal Tool, щом мислиш че си имаш работа с червей.

 

Edit: Можеш да постнеш едно логче от програмата или шот да видим дали е открила нещо.

 

След това можеш да почистиш точките на възстановяване:

1. Десен бутон на My Computer

2. Properties

3. System Restore

4. Слагаш отметка пред Turn Off System Restore

5. Start => Run => cleanmgr => More Options => System Restore => Clean Up

6. Включваш System Restore от посочения път (махаш отметката от т.4)

[The Graverobber]

http://www.eset.bg/download/sysinspector.html

ще провери дали нямаш зловредни активни процеси.

[vegito]

еми папката си седи благодаря се пак за отделеното време и помоща АКО ИМА НЯКОЙ ИДЕЯ ПРОГРАМАТА ЗА ЧЕРВЕУТЕ ПИЩЕЧЕ КАТО ОТКРИЕ И БЕШЕ В ЛЕВИЯ ЪГАЛ ТВА СИ СПОМНЯМ САМО

[draco_volans]

Програмата, към която дадох линк нищо ли не откри? Точките на възстановяване три ли ги?

 

Някой, ако я знае тая програма за червей да казва, щото и на мен ми е любопитно!!

[vegito]

нищо не намира

 

значи програмата не откри нищо но аз направих стапките но точки не сма трил

[draco_volans]

Как така не си трил? Като цъкнеш Clean Up и се изпаряват! Можеш да ги махнеш и с CCleaner (има я в каталога на сайта) Tools => System Restore и триеш всички без последната. Можеш да пробваш да сканираш с първите 2 програми (MBAM и SAS) под Safe Mode:

Рестваш компа и почваш да припомпваш F8; Излиза ти екран откъдето избираш със стрелките Safe Mode (без връзка с интернет) и натискаш Enter. Като влезеш в него почваш да сканираш с двете програми и ако намерят нещо, го постваш тук, след като рестартираш и влезеш в нормален режим. След това можеш да пробваш да махнеш въпросната папка...

 

Edit: Може да постнеш и пътя до тази папка - копираш го от Address-бара и да ползваш инструментчето което The Graverobber посочи, правиш сканирането и прикачаш архивчето към коментара си.

[vision of life]

Изтегли eset online scanner и сканирай с него.