РЕШЕН Проблем с регистри

[lastchy]

Здравейте,сканирах с superantispyware :

http://prikachi.com/images/704/6092704t.jpg

премахвам ги , но след като се рестартира компютъра пак се появяват наново ..

таск мениджъра и регистрите не ми позволява да ги отворя..

някои сайтове като фейсбук също не ми позволява да вляза..

Какво да правя ? пробвах и с malware премахва ги , но след рестарта пак са там ..

[dan40o]

Направете стъпките от този коментар.

[lastchy]

log.rar   :?

[dan40o]

Изтеглете програмата: Eset Online Scanner

• Стартирайте esetsmartinstaller_enu.exe
• Сложете отметка на YES, I accept the Terms of Use и изберете Start:

• http://store.picbg.net/pubpic/E8/43/04ed1c15c0abe843.jpg

• Скенерът ще започне да изтегля компонентите, които са му необходими:

• http://store.picbg.net/pubpic/D7/13/3b734079c5ccd713.jpg

Уверете се, че е премахната отметката от:

• Remove found threats

Уверете се че са маркирани следните позиции:

• Scan Archives

Кликнете върху Advanced Settings и маркирайте следните опции:

• Scan for potentially unwanted applications
• Scan for potentially unsafe applications
• Enable Anti-Stealth Technology

Накрая изберете Start
Скенерът ще започне да изтегля последните дефиниции.

• След, като сканирането завърши изберете Finish.
• Отидете в: C:\Program Files\ESET\Eset Online Scanner
• Прикачете log.txt към следващия ви коментар.

[lastchy]

програмата не може да ми зареди докрай още на втората картинка както е показано.. забива явно 

..............?

[B-boy/StyLe/]

Здравейте,

 

 

 

Опасявам се, че имам лоши новини. Имаме си работа с полиморфен вирус Sality...

Sality е опасен вирус, защото заразява всички scr и exe файлове на всички дялове...В повечето случаи се препоръчва формат с изтриване на всички дялове, но да се опитаме да закърпим положението...

 

 

 

1. Спрете Autorun функцията.
 

Изтеглете и стартирайте следния файл http://support.microsoft.com/library/images/support/EN-US/Button_FixIt_Silver.jpg

Стартирайте го и се съгласете с лицензионното споразумение.
Натиснете Next и изчакайте да си свърпи работата.



2. Спрете System Restore функцията.


Щракнете с десен бутон върху My Computer, след това изберете Properties => отидете на System Restore => изберете опцията Turn off System Restore on all drives => натиснете Apply и затворете прозореца.

 

http://vubnet.vub.ac.be/images/stories/security/system-restore-xp.png

 

3. Изтеглете SalityKiller и го запазете на десктопа.
Изключете интернет достъпа и след това сканирайте с него по описания по-надолу начин:

• Изтеглете SalityKiller и запазете инструмента на десктопа.
• Отворете Start => Run в полето въведете CMD => натиснете Enter => след това  с copy/paste копирайте командата и я поставете в черния прозорец на CMD с десен бутон на мишката => paste "%userprofile%\desktop\salitykiller.exe" -n -r -x -a -j -k -l c:\report.txt
• Изчакайте проверката да завърши.
• След като тя приключи, публикувайте съдържанието на лог файла C:\report.txt в следващия си пост.

 

 

4.Направете една проверка с Kaspersky Virus Removal Tool

След като изтеглите инструмента, изключете достъпа до интернет.

След като стартирате инструмента, отидете до Settings (Иконата, която прилича на звездичка) сложете отметка пред My Computer.
http://support.kaspersky.com/images/support_new/6187_01.gif

От опциите за почистване изберете Disinfect => но не избирайте delete if disinfection fails.
http://support.kaspersky.com/images/support_new/6187_03.gif

Върнете се до Automatic Scan и натиснете Start Scanning.
http://support.kaspersky.com/images/support_new/6183_01.gif

Ако по време на сканирането ви попита за дадено действие изберете skip.

След като приключи проверката изберете Report (Иконата която прилича на листче) => Detected Threats изберете SAVE и запазете документа на десктопа.
http://support.kaspersky.com/images/support_new/6192_02.gif

Kопирайте съдържанието му в следващия си пост.
Затворете инструмента - това ще до деинсталира автоматично.

Това е засега...Имайте предвид, че ни чака доста работа!

[lastchy]

logs.rar

това са логовете.. 

не разбрах какво трябва да дам на това ..? Delete или Skip

[B-boy/StyLe/]

Моля четете внимателно инструкциите...

 

Ако по време на сканирането ви попита за дадено действие изберете skip.

[B-boy/StyLe/]

Дотук добре...сега:

 

 

Отворете My Computer => Tools => Folder Options => View и сложете отметка пред Show hidden files and folders и премахнете отметката пред Hide protected operating system files (recommended).

 

http://i.imgur.com/4Rz6TXl.png

 

Потвърдете с Apply

 

След това отворете C:\Windows\inf => и отворете sysoc.inf файла.

 

Намерете този ред:

msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7

и премахнете hide => така че да се получи това:

msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,7

Затворете документа и запазете промените.

 

Отворете Control Panel-a:

 

http://www.microcentertech.com/tech_center/DB/HowTos/images2/HOW5005592B_001.gif

 

Изберете Switch to Category View

 

http://www.microcentertech.com/tech_center/DB/HowTos/images2/HOW5005592B_002.gif

 

Изберете Add or Remove Programs

 

http://www.microcentertech.com/tech_center/DB/HowTos/images2/HOW5005592B_003.gif

 

и намерете от списъка Windows Messenger и го деинсталирайте.

 

След това изберете Add/Remove Windows Components

 

http://www.microcentertech.com/tech_center/DB/HowTos/images2/HOW5005592B_004.gif

 

Махнете отметката пред Windows Messenger и натиснете Next

 

http://3.bp.blogspot.com/--sgoGWspbic/TeufY1I1CBI/AAAAAAAAAcE/Q4e49vKwp-w/s1600/Add++Remove+Windows+components-uncheck+Windows+Messenger+checkbox.jpg

Затворете всички прозорци.

 

 

 

1. Изтеглете ComboFix от BleepingComputer
и го запазете (бутон Save -> Save as) ComboFix на вашия десктоп:
http://i46.tinypic.com/2exprgh.jpg
След приключване на изтеглянето на ComboFix, иконката на програмата би трябвало да изглежда така:
http://i46.tinypic.com/29eqjuq.jpg

2. Затворете всички работещи приложения, отворени прозорци и програми работещи във фонов режим. Спрете временно защитата в реално време на антивирусната програма и на другите програми за сигурност, ако има такива.


3. Стартирайте с двоен клик Combofix.exe. Изберете YES, за да се съгласите с условията за използване на програмата. Важно: По време на работата на ComboFix не бива да се движи мишката и да се натискат клавиши от клавиатурата. Просто търпеливо оставете ComboFix да си свърши работата, без да използвате компютъра за други цели.


4. ComboFix ще провери дали Windows Recovery Console e инсталиранa.


*Ако Windows Recovery Console не е инсталирана, ще е необходимо да използвате YES за инсталация на Windows Recovery Console
*Ако Windows Recovery Console е инсталирана, ComboFix ще продължи работата си.
http://i46.tinypic.com/33wr6us.jpg


Забележка: Необходимо е да сте свързани към Интернет за да може Windows Recovery Console да се изтегли.


След инсталация на Windows Recovery Console потвърдете с YES, за да продължите напред. Снимка:
http://i45.tinypic.com/m9lvnk.jpg


5. ComboFix ще спре временно Интернет връзката, но след като приключи работата на програмата тази връзка ще бъде възстановена автоматично. ComboFix ще сканира за проблеми и за заразени файлове, като това може да отнеме известно време. Моля да бъдете търпеливи. Ако има проблем с Интернет връзката след приключване на работата на ComboFix, моля да прочетете това: Manually restoring the Internet connection section.


6. Когато работата на ComboFix приключи, ще се появи текстов документ (log) в Notepad:
http://i49.tinypic.com/157m978.jpg

Копирайте с (Copy) и поставете с (Paste) съдържанието на лога в следващия си коментар.

[lastchy]

ComboFix.txt

[B-boy/StyLe/]

Дотук добре...

Сега изтеглете прикачения файл 2x.zip и го разархивирайте на десктопа.

 

Стартирайте файла fix.reg и изберете YES на диалоговия прозорец.

Стартирайте файла delete.bat и кажете какво ви изписва на екрана след като приключи.

 

[lastchy]

Deleted Successfully  Благодаря ти много ..! Мисля ,че всичко е наред вече.

[B-boy/StyLe/]

Далеч не сме приключили, не бързайте да бягате. Това, че няма повече признаци, не означава, че всичко е наред.

 

 

 

http://www.techsupportforum.com/forums/images/smilies/i_arrow-r.gif Изтеглете и стартирайте програмата AdwCleaner (by Xplode).
 

• Затворете всички стартирани програми и браузъри
• Кликнете два пъти върху adwcleaner.exe за да стартирате инструмента.
• Този път маркирайте Delete
• Вашият компютър ще се рестартира автоматично. Текстовия файл ще се отвори след рестарта.
• Моля, да публикувате съдържанието на този лог в отговора си
• Можете да намерите лога,който автоматично се запомня тук C:\AdwCleaner[s1].txt.

 

http://imageshack.us/a/img841/7292/thisisujrt.gif Моля изтеглете Junkware Removal Tool на вашия десктоп.
 

• Спрете временно работата на защитните програми.
• Стартирайте инструмента JRT.exe
• Ще се отвори ДОС прозорец. Натиснете което и да е копче от клавиатурата.
• Затворете излишните приложения и всички браузъри и изчакайте проверката да завърши.
• Ще се появи лог файл (който можете да намерите и ръчно на десктопа с името JRT.txt).
• Моля копирайте съдържанието на лог файла в следващия си пост.

 

 

Изтеглете OTL.exe и го запазете на десктопа.
 

• Стартирайте OTL (ако е необходимо, потвърдете през UAC).
• Направете следните настройки:
• Сложете отметка пред Scan All Users
• Под менюто File Age изберете 90 days
• Под менюто Standard Registry променете на ALL
• Сложете отметки пред LOP и Purity Check

Под http://store.picbg.net/pubpic/0A/C1/c814d031472c0ac1.png с Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето):

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%USERPROFILE%\*.*
%USERPROFILE%\Application Data\*.*
%USERPROFILE%\Application Data\*.
%USERPROFILE%\Local Settings\*.*
%USERPROFILE%\Local Settings\temp\*.exe
%USERPROFILE%\Local Settings\Temporary Internet Files\*.exe
%USERPROFILE%\Local Settings\Application Data\*.*
%AllUsersProfile%\*.*
%AllUsersProfile%\Application Data\*.*
%AllUsersProfile%\Application Data\*.
%AllUsersProfile%\Application Data\Local Settings\*.*
%AllUsersProfile%\Application Data\Local Settings\Temp\*.exe
%ALLUSERSPROFILE%\Documents\My Music\*.exe
%ALLUSERSPROFILE%\Documents\My Pictures\*.exe
%ALLUSERSPROFILE%\Documents\My Videos\*.exe
%ALLUSERSPROFILE%\Documents\*.exe
%USERPROFILE%\My Documents\*.*
%CommonProgramFiles%\*.*
%CommonProgramFiles%\ComObjects*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
%systemroot%\system32\config\systemprofile\*.*
%systemroot%\system32\config\systemprofile\Application Data\*.*
%systemroot%\system32\config\systemprofile\\Local Settings\*.*
%systemroot%\system32\config\systemprofile\\Local Settings\Application Data\*.*
%systemroot%\system32\config\systemprofile\\Local Settings\Temp\*.exe
%systemroot%\system32\config\systemprofile\\Local Settings\Temporary Internet Files\*.exe
C:\Documents and Settings\LocalService\Application Data\*.*
C:\Documents and Settings\LocalService\Local Settings\Application Data\*.*
C:\Documents and Settings\LocalService\Local Settings\temp\*.exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\*.exe
C:\Documents and Settings\LocalService\Local Settings\*.*
C:\Documents and Settings\LocalService\*.*
C:\Documents and Settings\NetworkService\Application Data\*.*
C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.*
C:\Documents and Settings\NetworkService\Local Settings\temp\*.exe
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\*.exe
C:\Documents and Settings\NetworkService\Local Settings\*.*
C:\Documents and Settings\NetworkService\*.*
%windir%\temp\*.exe
%windir%\*.
%windir%\installer\*.
%windir%\system32\*.
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%Temp%\smtmp\3\*.*
%Temp%\smtmp\4\*.*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\Spool\prtprocs\w32x86\*.dll
%systemroot%\*. /rp /s
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\temp\*.* /S /MD5
%systemroot%\assembly\GAC\*.ini
%systemroot%\assembly\GAC_32\*.ini
%SystemRoot%\assembly\GAC_MSIL\*.ini
wsSystemRoot|l,n,u,@;True;False;True;$,{ /fn
%systemdrive%\$Recycle.Bin|@;true;true;true /fp
c:|incredibar;true;true;true; /FP
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{12d0253a-7c96-815c-11e0-3034bbd97cc0}] /s
HKEY_CURRENT_USER\Software\MSOLoad /s
type C:\WINDOWS\system.ini >> test.txt /c
>C:\commands.txt echo list vol /raw /hide /c
/wait
>C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c
/wait
type c:\diskreport.txt /c
/wait
erase c:\commands.txt /hide /c
/wait
erase c:\diskreport.txt /hide /c
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
consrv.dll
services.exe
svchost.exe
explorer.exe
userinit.exe
winlogon.exe
smss.exe
lsass.exe
atapi.sys
iaStor.sys
serial.sys
disk.sys
volsnap.sys
redbook.sys
i8042prt.sys
afd.sys
netbt.sys
tcpip.sys
ipsec.sys
hlp.dat
str.sys
crexv.ocx
winmgr.exe
/md5stop

• Натиснете Run SCAN
• Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt. Прикачете тези два файла в следващия си коментар (погледнете опцията Прикачени файлове, когато публикувате мнение).

По време на сканирането с инструментите, не използвайте компютъра си!

[lastchy]

logg.rar

[B-boy/StyLe/]

• Стартирайте файла http://billy-oneal.com/forums/Canned%20Speeches/speechimages/OTL/otlDesktopIcon.png с двукратен клик на мишката.
• Под http://store.picbg.net/pubpic/0A/C1/c814d031472c0ac1.png с Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето):

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
[2012.06.01 00:45:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\KRASI\Application Data\IObit
[2012.06.01 00:40:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\KRASI\Application Data\Reviversoft
[2012.06.01 22:29:51 | 000,000,854 | ---- | M] () -- C:\AdwCleaner[s1].txt
[2013.04.06 22:36:11 | 000,000,913 | ---- | M] () -- C:\AdwCleaner[s2].txt
[2013.04.06 21:24:59 | 000,007,463 | ---- | M] () -- C:\ComboFix.txt
[2012.06.01 00:45:15 | 000,000,000 | ---D | M] -- C:\Program Files\IObit
[2012.06.01 00:39:55 | 000,000,000 | ---D | M] -- C:\Program Files\Reviversoft
:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
:commands
[emptytemp]

• След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено: Run Fix
• Windows ще се рестартира и ще се създаде лог файл - OTL fix log. Публикувайте съдържанието му с Copy/Paste в следващия си коментар.

 

 

След това отворете файла C:\Windows\system.ini с notepad и премахнете само този ред от него:

[MCIDRV_VER] 

 

Затворете файла и запазете промените.

 

 

 

Отворете Start => Run => въведете командата Combofix /Uninstall => натиснете Enter

 

 

Изтеглете OTC.exe и го стартирайте. Натиснете бутона CleanUp!.

Рестартирайте компютъра, ако ви попита!

 

 

Изтеглете Delfix.exe и го стартирайте. Сложете отметка пред Remove disinfection tools => натиснете бутона Run

Инструмента ще се самоизтрие след като приключи своята задача!

 

 

И две последни проверки за всеки случай, защото Sality е коварен вирус:

 

 

 

СТЪПКА 1

 

 

 

http://img233.imageshack.us/img233/7729/mbamicontw5.gif Изтеглете Malwarebytes' Anti-Malware

 

 

• Кликнете два пъти върху mbam-setup.exe, за да инсталирате програмата.
• Уверете се, че са поставени отметки на Update Malwarebytes' Anti-Malware и Launch Malwarebytes' Anti-Malware. След това кликнете на Finish.
• Ако има намерени обновявания, тя ще ги изтегли и инсталира.
• Стартирайте програмата и изберете "Perform FULL Scan", след това кликнете на Scan.
• Сканирането ще отнеме малко време, затова моля да бъдете търпеливи.
• Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата.
• Уверете се, че на всички редове има отметки, и кликнете на Remove Selected.
• Когато всичко бъде премахнато, в Notepad ще бъде отворен лог.
• Копирайте този лог и го публикувайте в следващия си коментар по темата.

Забележка: Ако MalwareBytes'Anti-Malware се затрудни в премахването на откритите вируси/заплахи, той ще поиска да рестартира компютъра Ви и по време на рестартирането да премахне проблемните вируси/заплахи. Ако бъдете попитани, потвърдете че желаете вашия компютър да бъде рестартиран.

 

 

 

СТЪПКА 2

 

 

 

1) Изтеглете: ESET Online Scanner

2) Стартирайте esetsmartinstaller_enu.exe

3) Сложете отметка на YES, I accept the Terms of Use и изберете Start

4) Скенерът ще започне да изтегля компонентите, които са му необходими.

5) Уверете се, че има отметки на следните редове, включително и тези от менюто Advanced Settings:

• Scan archives
• Scan for potentially unwanted applications
• Scan for potentially unsafe applications
• Enable Anti-Stealth technology

И премахнете отметката пред Remove found threats

И накрая изберете Start

 

6) Скенерът ще започне да изтегля последните дефиниции.

7) След, като сканирането завърши изберете Finish.

8) Отидете в:C:\Program Files\ESET\ESET Online Scanner.

9) Отворете файла log.txt , копирайте съдържанието му и го поставете в следващия си пост.

 

Публикувайте резултатите след като приключи и след това пишете как е положението...и след това приключваме. http://www.kaldata.com/forums/public/style_emoticons/default/smile.gif