РЕШЕН Имам вируси

[B-boy/StyLe/]

А сега защо толкова бързо...и лога пак не е пълен. Стартирате ли CMD.exe като администратор?

 

Я въведете само тази команда:

 

"%userprofile%\desktop\salitykiller" -k -l "%systemdrive%\sality.txt" -v

 

И след това прикачете рапорта C:\Sality.txt в следващия си коментар.

[lubomir955]

Да винаги го стартирам като администратор

 

Ето този лог.

sality.txt

[B-boy/StyLe/]

Да продължим така.

 

 

СТЪПКА 1 - Запушете дупките в сигурността използвани от червея.

 

 

Първо да направим бекъп на регистрите:

• Изтеглете и инсталирайте Tweaking.com-Registry Backup
• Отворете Tweaking.com-Registry Backup и натиснете Backup Now.
• Затворете приложението.

 

Изтеглете прикачения файл и го разархивирайте на десктопа => disable_dangerous_services_7.zip

Стартирайте файла и изберете с YES на диалоговия прозорец и след това рестартирайте.

 

 

СТЪПКА 2 - Направете проверка със специализиран инструмент за остатъци:

 

• Стартирайте файла http://billy-oneal.com/forums/Canned%20Speeches/speechimages/OTL/otlDesktopIcon.png с двукратен клик на мишката (ако е необходимо, потвърдете през UAC).
• Направете следните настройки:
• Сложете отметка пред Scan All Users
• Под менюто File Age изберете 90 days
• Под менюто Standard Registry променете на ALL
• Сложете отметки пред LOP и Purity Check

Под http://store.picbg.net/pubpic/0A/C1/c814d031472c0ac1.png с Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето):

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%USERPROFILE%\*.*
%USERPROFILE%\temp\*.exe
%USERPROFILE%\AppData\Local\*.*
%USERPROFILE%\AppData\Local\*.
%USERPROFILE%\AppData\Local\temp\*.exe
%USERPROFILE%\AppData\Roaming\*.*
%USERPROFILE%\AppData\Roaming\*.
%Public%\Documents\Fonts\*.exe
%Public%\Documents\Config\*.exe
%Public%\Documents\*.*
%ProgramData%\*.*
%ProgramData%\*.
%CommonProgramFiles%\*.*
%CommonProgramFiles%\ComObjects*.exe
%commonprogramfiles(x86)%\*.*
%ProgramFiles%\*.*
%ProgramFiles%\*.
%ProgramFiles(x86)%\*.*
%ProgramFiles(x86)%\*.
%programdata%\Microsoft\Windows\DRM\*.tmp
%programdata%\Microsoft\DRM\*.tmp
%systemroot%\system32\config\systemprofile\AppData\Local\*.*
%systemroot%\system32\config\systemprofile\AppData\Roaming\*.*
%windir%\SysWOW64\config\systemprofile\AppData\Local\*.*
%windir%\SysWOW64\config\systemprofile\AppData\Roaming\*.*
%windir%\ServiceProfiles\LocalService\AppData\Local\Temp\*.tlb
%windir%\ServiceProfiles\NetworkService\AppData\Local\Temp\*.tlb
%windir%\temp\*.exe
%windir%\*.
%windir%\installer\*.
%windir%\system32\*.
%windir%\sysnative\*.
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%Temp%\smtmp\3\*.*
%Temp%\smtmp\4\*.*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /90
%systemroot%\syswow64\drivers\*.sys /lockedfiles
%systemroot%\system32\Spool\prtprocs\w32x86\*.dll
%SYSTEMDRIVE%\*. /rp /s
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\temp\*.* /S /MD5
%systemroot%\assembly\GAC\*.ini
%systemroot%\assembly\GAC_32\*.ini
%systemroot%\assembly\GAC_64\*.ini
%SystemRoot%\assembly\GAC_MSIL\*.ini
wsSystemRoot|l,n,u,@;True;False;True;$,{ /fn
%systemdrive%\$Recycle.Bin|@;true;true;true /fp
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{12d0253a-7c96-815c-11e0-3034bbd97cc0}] /s
HKEY_CLASSES_ROOT\CLSID\{312BFDCE-A901-4203-B4F2-ADCB957D1887} /s
HKEY_CLASSES_ROOT\Directory\Shellex\CopyHookHandlers\MSCopy /s
HKEY_CURRENT_USER\Software\MSOLoad /s

type C:\WINDOWS\system.ini >> test.txt /c

bcdedit /enum all /v >C:\boot.txt /c
>C:\commands.txt echo list vol /raw /hide /c
/wait
>C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c
/wait
type c:\diskreport.txt /c
/wait
erase c:\commands.txt /hide /c
/wait
erase c:\diskreport.txt /hide /c
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
consrv.dll
services.exe
explorer.exe
lsass.exe
svchost.exe
wininit.exe
winlogon.exe
userinit.exe
igdkmd64.sys
imapi.sys
fastfat.sys
atapi.sys
iaStor.sys
serial.sys
volsnap.sys
disk.sys
redbook.sys
i8042prt.sys
afd.sys
netbt.sys
csc.sys
tcpip.sys
kbdclass.sys
kbdhid.sys
mouclass.sys
mouhid.sys

spldr.sys

dfsc.sys
hlp.dat
str.sys
crexv.ocx
/md5stop

• Натиснете маркираният в синьо бутон: Run Scan.
• Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt. Прикачете тези два файла в следващия си коментар (погледнете опцията Прикачени файлове, когато публикувате мнение).

[lubomir955]

Извинявам се, но когато разархивирам рар-а и отворя рег файла ми изписва този ерор:

 

http://prikachi.com/images.php?images/943/6378943I.jpg

[B-boy/StyLe/]

Мда...защото се е върнал бацила. Направете пълна проверка с MBAM (първо обновете дефинициите) и премахнете намерените неща.

След това веднага стартирайте reg файла и се съгласете с диалоговия прозорец и рестартирайте и после продължете с OTL.

Доста коварен вариант...

[lubomir955]

Уфф 

Сканирах с MBAM (обнових дефицините) и премахнах всичко намерено.

След това реснах (искаше се от МВАМ) и след това отворих рег файла и пак грешка, като натиснах Yes ми изписа това:

 

http://prikachi.com/images.php?images/127/6379127I.jpg

[B-boy/StyLe/]

Този път е друго...грешката е нормална, защото включиш SafeBoot ключовете за поправка.

Сега стартирайте само този файл и всичко трябва да е наред с него => disable_dangerous_services_7.zip

След като се съгласите с YES, рестартирайте компютъра и продължете с OTL сканирането.

Бих искал да видя и последния лог от Malwarebytes.

[lubomir955]

Извинявам се за закъснението, но вчера имах малко работа навънка.

 

Така ето двата файла от OTL:

И ето LOG-a от последния скан на MBAM:

Extras.Txt

OTL.Txt

mbam-log-2013-07-27 (16-04-25).txt

[B-boy/StyLe/]

Много добре...изтритите файлове са били от карантинната папка на OTL и са били безвредни. Добре е, че не са се генерирали нови такива.

 

Докато прегледам логовете изтрийте ръчно следния файл:

 

C:\Users\Lubcho\Downloads\FreeMouseAutoClickerSetup.exe

 

Също така имате и BrowserDefender паразита и затова направете следното:

 

 

СТЪПКА 1
 

http://free4world.free.fr/images/adwcleaner.png Изтеглете и стартирайте програмата AdwCleaner (by Xplode).

• Затворете всички стартирани програми и браузъри
• Кликнете два пъти върху adwcleaner.exe за да стартирате инструмента.
• Този път маркирайте Delete
• Вашият компютър ще се рестартира автоматично. Текстовия файл ще се отвори след рестарта.
• Моля, да публикувате съдържанието на този лог в отговора си
• Можете да намерите лога,който автоматично се запомня тук C:\AdwCleaner[s1].txt.

 

 

СТЪПКА 2

 
http://imageshack.us/a/img841/7292/thisisujrt.gif Моля изтеглете Junkware Removal Tool на вашия десктоп.

• Спрете временно работата на защитните програми.
• Стартирайте инструмента JRT.exe
• Ще се отвори ДОС прозорец. Натиснете което и да е копче от клавиатурата.
• Затворете излишните приложения и всички браузъри и изчакайте проверката да завърши.
• Ще се появи лог файл (който можете да намерите и ръчно на десктопа с името JRT.txt).
• Моля копирайте съдържанието на лог файла в следващия си пост.

[lubomir955]

Ето двата лог файла:

AdwCleanerS1.txt

JRT.txt

[B-boy/StyLe/]

Много добре...

 

Сега:

 

1. Изтеглете прикачения файл => disable_task_scheduler.zip и го разархивирайте на десктопа.

Стартирайте го и изберете YES на диалоговия прозорец.

 

2. Отворете C:\Windows\system.ini и премахнете следните два реда от документа:

 

[MCIDRV_VER]
DEVICEMB=27036687792

 

Затворете документа и запазете промените.

 

3. Изпълнете следния скрипт за OTL:

• Стартирайте файла http://billy-oneal.com/forums/Canned%20Speeches/speechimages/OTL/otlDesktopIcon.png с двукратен клик на мишката.
• Под http://store.picbg.net/pubpic/0A/C1/c814d031472c0ac1.png с Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето като не забравяте и :OTL):
  

  :OTL
  PRC - [2013.05.23 12:09:59 | 002,827,728 | ---- | M] () -- C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe
  MOD - [2013.05.23 12:09:59 | 002,827,728 | ---- | M] () -- C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe
  SRV - [2013.05.23 12:09:59 | 002,827,728 | ---- | M] () [Auto | Running] -- C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe -- (BrowserDefendert)
  DRV - File not found [Kernel | On_Demand | Unknown] --  -- (ay7dps83)
  IE - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=8C55CCAF780959C4&affID=123884&tsp=4956
  IE - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=8C55CCAF780959C4&affID=123884&tsp=4956
  IE - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
  IE - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
  IE - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
  IE - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8C55CCAF780959C4&affID=123884&tsp=4956
  IE - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://blekko.com/ws/?source=c3348dd4&tbp=rbox&toolbarid=blekkotb_031&u=81A2E03A6DE38F94114FEB500A8BBB84&q={searchTerms}
  IE - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = https://isearch.avg.com/search?cid={FF80CD5C-31CC-4F55-A533-FDA41E770AF6}&mid=0667063ed30c47d0aab86939b2439fda-7a2d41b5293ae1c51f267ac6a0a71ea9b493dba7&lang=en&ds=gl011&pr=sa&d=2012-08-03 03:24:26&v=12.2.5.32&sap=dsp&q={searchTerms}
  IE - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\..\SearchScopes\Moikrug: "URL" = http://moikrug.ru/persons/?clid=143107&charset=utf-8&keywords={searchTerms}&submitted=1
  IE - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\..\SearchScopes\Yandex: "URL" = http://yandex.ru/yandsearch?clid=143107&text={searchTerms}
  IE - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 84.22.27.129:8080
  [2012.06.23 10:20:46 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Lubcho\AppData\Roaming\Mozilla\Firefox\Profiles\uuzt3p7q.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
  [2013.07.27 03:42:51 | 000,000,000 | ---D | M] (AppsHat) -- C:\Users\Lubcho\AppData\Roaming\Mozilla\Firefox\Profiles\uuzt3p7q.default\extensions\{97A78363-B868-4B48-AC91-A783A31215AF}
  [2012.08.03 02:32:30 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Lubcho\AppData\Roaming\Mozilla\Firefox\Profiles\uuzt3p7q.default\extensions\ffxtlbr@babylon.com
  [2013.07.27 03:41:48 | 000,006,507 | ---- | M] () -- C:\Users\Lubcho\AppData\Roaming\Mozilla\Firefox\Profiles\uuzt3p7q.default\searchplugins\babylon.xml
  CHR - Extension: http://5nagradi.net/ = C:\Users\Lubcho\AppData\Local\Google\Chrome\User Data\Default\Extensions\clkjdcklnppegplcjciphhcddgganoeh\2012.5.22.26454_0\
  CHR - Extension: http://grabi.me/ = C:\Users\Lubcho\AppData\Local\Google\Chrome\User Data\Default\Extensions\djfdbpkiekpfkabdpmbhmdkahdbgjdch\2012.5.22.26476_0\
  CHR - Extension: http://www.grabvai-nagradi.de/account.php = C:\Users\Lubcho\AppData\Local\Google\Chrome\User Data\Default\Extensions\fikgjmooaahceahfncebombeahnaafmm\2012.5.22.26439_0\
  CHR - Extension: http://golemi-nagradi.de/ = C:\Users\Lubcho\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnfhbllolojlbjnlcjlengjkamfkmpnb\2012.5.22.26437_0\
  CHR - Extension: Pobedi.info -      ! = C:\Users\Lubcho\AppData\Local\Google\Chrome\User Data\Default\Extensions\inefanblfhoecknkppgdgmllcjfinohn\2012.5.22.26435_0\
  CHR - Extension: http://www.specheli-nagradi.de/ = C:\Users\Lubcho\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkknpfohojgbnlnblpifjlgebdnbmfmi\2012.5.22.26440_0\
  CHR - Extension: http://pokerwibg.eu/ = C:\Users\Lubcho\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojelpgjbimgkjanlhnmmndcogfagkanl\2012.5.22.27288_0\
  CHR - Extension: uTorrentControl2 = C:\Users\Lubcho\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.19.11_0\
  O2 - BHO: (no name) - {0456DBCC-55CB-4529-AC20-D06C4D0E7691} - No CLSID value found.
  O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
  O3 - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
  O3 - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
  O3 - HKU\S-1-5-21-2317253139-1030925113-2558091570-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
  O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
  O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DISABLETASKMGR = 1
  O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
  O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DISABLETASKMGR = 1
  O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe File not found
  O20 - AppInit_DLLs: (c:\progra~2\browse~1\261339~1.144\{c16c1~1\browse~1.dll) -  File not found
  O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Program Files\SUPERAntiSpyware\SASSEH.DLL File not found
  O33 - MountPoints2\{17b815da-c8b9-11e0-b97e-806e6f6e6963}\Shell - "" = AutoRun
  O33 - MountPoints2\{360802c2-d8b5-11e1-8544-b870f4a77629}\Shell - "" = AutoRun
  O33 - MountPoints2\{d418b0ea-b54e-11e2-8a79-b870f4a77629}\Shell - "" = AutoRun
  [2013.07.27 03:43:18 | 000,000,000 | ---D | C] -- C:\Users\Lubcho\AppData\Local\Bundled software uninstaller
  [2013.07.27 03:42:07 | 000,000,000 | ---D | C] -- C:\Users\Lubcho\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserDefender
  [2013.07.27 03:42:01 | 000,000,000 | ---D | C] -- C:\ProgramData\BrowserDefender
  [2013.07.27 03:42:00 | 000,000,000 | ---D | C] -- C:\Users\Lubcho\AppData\Roaming\BabSolution
  [2012.08.03 02:31:53 | 000,000,000 | ---D | M] -- C:\Users\Lubcho\AppData\Roaming\Babylon
  [2012.07.21 14:00:08 | 000,000,000 | ---D | M] -- C:\Users\Lubcho\AppData\Local\blekkotb_031
  [2012.08.30 16:30:41 | 000,000,000 | ---D | M] -- C:\Users\Lubcho\AppData\Local\Conduit
  [2012.05.21 23:07:35 | 000,000,000 | ---D | M] -- C:\Users\Lubcho\AppData\Local\CRE
  [2012.09.13 17:14:22 | 000,000,000 | ---D | M] -- C:\Users\Lubcho\AppData\Local\PackageAware
  [2012.08.03 02:31:53 | 000,000,000 | ---D | M] -- C:\ProgramData\Babylon
  [2012.08.02 10:55:31 | 000,000,000 | ---D | M] -- C:\ProgramData\blekko toolbars
  [2013.07.27 03:42:01 | 000,000,000 | ---D | M] -- C:\ProgramData\BrowserDefender
  [2012.05.21 23:07:31 | 000,000,000 | ---D | M] -- C:\Program Files\Conduit
  @Alternate Data Stream - 112 bytes -> C:\Users\All Users\Temp:D1B5B4F1
  @Alternate Data Stream - 112 bytes -> C:\ProgramData\Temp:D1B5B4F1
  :commands
  [emptytemp]

• След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено: Run Fix
• Windows ще се рестартира и ще се създаде лог файл - OTL fix log. Публикувайте съдържанието му с Copy/Paste в следващия си коментар.

4. Направете нова проверка с MBAM и публикувайте резултатите.

 

5. Направете и нова проверка с Kaspersky Virus Removal Tool и прикачете само по-късия лог файл със засечените обекти и след това ако всичко е наред, приключваме.

За финал изпълнете и следния фикс с OTL, защото забравих да затворя портовете използвани от зловредните файлове през които "хакер" е пращал командите с инструкциите затова какви действия да изпълняват те:

 

• Стартирайте файла http://billy-oneal.com/forums/Canned%20Speeches/speechimages/OTL/otlDesktopIcon.png с двукратен клик на мишката.
• Под http://store.picbg.net/pubpic/0A/C1/c814d031472c0ac1.png с Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето като не забравяте и :OTL):
  

   

   :files
  C:\users\lubcho\appdata\local\temp\winhdjwxk.exe
  C:\users\lubcho\appdata\local\temp\wintletik.exe
  C:\users\lubcho\appdata\local\temp\ufdg.exe
  C:\users\lubcho\appdata\local\temp\nxerga.exe
  :reg
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
  "TCP Query User{1E1B7CFC-EA3E-4C95-A8D6-C7177B9BE30A}C:\users\lubcho\appdata\local\temp\winhdjwxk.exe"=-
  "TCP Query User{824C65C2-F39A-4D33-A3A9-D2A183812ADD}C:\users\lubcho\appdata\local\temp\ufdg.exe"=-
  "TCP Query User{84029753-8244-410A-BF42-680990CA6B93}C:\users\lubcho\appdata\local\temp\wintletik.exe"=-
  "TCP Query User{DB31EF47-EF10-4CCE-AE55-C8AFFE954333}C:\users\lubcho\appdata\local\temp\nxerga.exe"=-
  "UDP Query User{6418447E-5DCF-4E89-BC17-881E9D28DBA9}C:\users\lubcho\appdata\local\temp\winhdjwxk.exe"=-
  "UDP Query User{D8205739-D96F-44CC-8E92-7779C6863C22}C:\users\lubcho\appdata\local\temp\ufdg.exe"=-
  "UDP Query User{E92ED5D0-41BE-4C01-879A-3265EF4A445C}C:\users\lubcho\appdata\local\temp\wintletik.exe"=-
  "UDP Query User{1A3D6354-D79F-4860-B1E5-FAD42934D751}C:\users\lubcho\appdata\local\temp\nxerga.exe"=-

  :commands
  [emptytemp]

   

• След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено: Run Fix
• Windows ще се рестартира и ще се създаде лог файл - OTL fix log. Публикувайте съдържанието му с Copy/Paste в следващия си коментар.

[lubomir955]

Така готов съм с сканирането.

Тъй като не ми позволява да кача в форума .log файл ги качих в file.bg

Първо сканиране с OTL http://file.bg/c248257uRnqv

Второ сканиране с OTL http://file.bg/c248258sfvtz

Сканирането с МВАМ http://file.bg/c248259GYrvu

И сканирането от Kaspersky:

Файл1: http://file.bg/c248260UFmEj

Файл2: http://file.bg/c248261qYJHk

 

[B-boy/StyLe/]

Всичко изглежда наред засега.

Отворете MBAM => отидете на Quarantine => и натиснете Изтрийте всички (Delete all).

 

След това отворете MSE => отидете на History => Quarantined Items => и натиснете Remove all.

 

Сега вече отворете OTL => и изпълнете следния скрипт:

 

:OTL
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DISABLETASKMGR = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DISABLETASKMGR = 1
@Alternate Data Stream - 112 bytes -> C:\Users\All Users\Temp:D1B5B4F1
@Alternate Data Stream - 112 bytes -> C:\ProgramData\Temp:D1B5B4F1
:files
C:\Documents and Settings\All Users\Microsoft\Microsoft Antimalware\LocalCopy\*.* /s
C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\*.* /s
C:\Users\All Users\Microsoft\Microsoft Antimalware\LocalCopy\*.* /s
:commands
[emptytemp]

 

След рестарта публикувайте лог файла.

 

И за финал стартирайте отново OTL и натиснете бутона CleanUp! Ще поиска рестарт, съгласете се.

 

След това вижте как е положението...можете да направите една проверка и с наличната антивирусна програма и споделете за резултатите.

[lubomir955]

Супер е сега лаптопа, благодаря ти много. Супер си направо...

 

Ето резултатите:

 

All processes killed
========== OTL ==========
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools not found.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DISABLETASKMGR not found.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools not found.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DISABLETASKMGR not found.
Unable to delete ADS C:\Users\All Users\Temp:D1B5B4F1 .
Unable to delete ADS C:\ProgramData\Temp:D1B5B4F1 .
========== FILES ==========
File\Folder C:\Documents and Settings\All Users\Microsoft\Microsoft Antimalware\LocalCopy\*.* not found.
File\Folder C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\*.* not found.
File\Folder C:\Users\All Users\Microsoft\Microsoft Antimalware\LocalCopy\*.* not found.
========== COMMANDS ==========


[EMPTYTEMP]


User: All Users


User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes


User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes


User: Lubcho
->Temp folder emptied: 27122 bytes
->Temporary Internet Files folder emptied: 1249436 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 7184937 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes


User: Public


User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes


%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 7584 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes


Total Files Cleaned = 8,00 mb




OTL by OldTimer - Version 3.2.69.0 log created on 07282013_174246


Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\dsiwmis.log scheduled to be moved on reboot.
File move failed. C:\Windows\temp\LMutilps.log scheduled to be moved on reboot.


PendingFileRenameOperations files...


Registry entries deleted on Reboot...

[B-boy/StyLe/]

Радвам се.

 

Засега ще изчакам с маркирането на случая като Решен. Наблюдавайте как се държи тези дни, дали има проблеми с Task Manager-a, registry editor-a (дали пак ще бъдат забранени за използване), дали антивирусната намира нещо при пълна проверка или защитата и в реално време се обажда, дали има пренасочвания към страници, които не сте въвеждали в адресната лента, дали отново се появяват тези файлове в свободната директория на всеки дял и т.н.

 

Ако след 2 дни продължава да няма проблеми значи можем да считаме проблема за приключен. Засега няма да пускам други проверки (само при съмнение, че са необходими ще го направя).

 

Поздрави и безопасно сърфиране!