РЕШЕН Не мога да сваля антивирусна ?!?!

[Night_Raven]

Предполагам, че това може и да не е достатъчно в случая, защото не виждам места за автоматично стартиране, но не пречи да се опита.

 

Изпълни следното:

- изтегли прикрепения файл fixlist.txt и го запази в същата папка, където се намира FRST/FRST64 (това трябва да е работния плот, ако си следвал точно инструкциите в предишния коментар);

- стартирай FRST/FRST64;

- кликни бутон Fix и изчакай инструмента да извърши поправките;

- ако случайно има нужда от рестарт, се съгласи и остави системата да се рестартира нормално, след което остави инструментът да си довърши работата;

- когато всичко приключи, в същата папка ще се създаде Fixlog.txt, копирай съдържанието му в или го прикрепи към следващия си коментар.

 

След това опитай отново да изтеглиш, инсталираш и сканираш с Malwarebytes Anti-Malware, както е описано в другата тема.

[zhelyazkov]

Файла

A Malwarebytes Anti-Malware не се тегли все още

Fixlog.txt

[Night_Raven]

Изтегли OTL и го запази на работния плот:

- стартирай инструмента;

- постави отметка в горната част на Scan All Users;

- в поле Standard Registry избери All;

- от падащо меню File Age избери 90 Days;

- постави отметки още на: Skip Microsoft Files, LOP Check и Purity Check;

- в поле Custom Scans/Fixes (в долната част на програмата) постави следния текст (маркирай го, натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.
%USERPROFILE%\*.*
%USERPROFILE%\*.
%USERPROFILE%\*.exe /s
%USERPROFILE%\My Documents\*.*
%USERPROFILE%\My Documents\*.
%USERPROFILE%\Application Data\*.*
%USERPROFILE%\Application Data\*.
%USERPROFILE%\Local Settings\*.*
%USERPROFILE%\Local Settings\*.
%USERPROFILE%\Local Settings\Application Data\*.*
%USERPROFILE%\Local Settings\Application Data\*.
%USERPROFILE%\Local Settings\Temp\*.tlb
%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\*.*
%AllUsersProfile%\*.
%AllUsersProfile%\*.exe /s
%AllUsersProfile%\DRM\*.tmp
%AllUsersProfile%\Microsoft\Windows\DRM\*.tmp
%AllUsersProfile%\Application Data\Microsoft\Windows\DRM\*.tmp
%AllUsersProfile%\Application Data\*.*
%AllUsersProfile%\Application Data\*.
C:\Documents and Settings\Default User\*.exe /s
C:\Documents and Settings\Default User\Application Data\*.*
C:\Documents and Settings\Default User\Application Data\*.
C:\Documents and Settings\Default User\Local Settings\*.*
C:\Documents and Settings\Default User\Local Settings\*.
C:\Documents and Settings\Default User\Local Settings\Application Data\*.*
C:\Documents and Settings\Default User\Local Settings\Application Data\*.
C:\Documents and Settings\Default User\Local Settings\Temp\*.tlb
C:\Documents and Settings\LocalService\*.exe /s
C:\Documents and Settings\LocalService\*.*
C:\Documents and Settings\LocalService\Application Data\*.*
C:\Documents and Settings\LocalService\Application Data\*.
C:\Documents and Settings\LocalService\Local Settings\*.*
C:\Documents and Settings\LocalService\Local Settings\*.
C:\Documents and Settings\LocalService\Local Settings\Application Data\*.*
C:\Documents and Settings\LocalService\Local Settings\Application Data\*.
C:\Documents and Settings\LocalService\Local Settings\temp\*.tlb
C:\Documents and Settings\NetworkService\*.exe /s
C:\Documents and Settings\NetworkService\*.*
C:\Documents and Settings\NetworkService\Application Data\*.*
C:\Documents and Settings\NetworkService\Application Data\*.
C:\Documents and Settings\NetworkService\Local Settings\*.*
C:\Documents and Settings\NetworkService\Local Settings\*.
C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.*
C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.
C:\Documents and Settings\NetworkService\Local Settings\temp\*.tlb
C:\Documents and Settings\Guest Access\*.exe /s
C:\Documents and Settings\Guest Access\*.*
C:\Documents and Settings\Guest Access\Application Data\*.*
C:\Documents and Settings\Guest Access\Application Data\*.
C:\Documents and Settings\Guest Access\Local Settings\*.*
C:\Documents and Settings\Guest Access\Local Settings\*.
C:\Documents and Settings\Guest Access\Local Settings\Application Data\*.*
C:\Documents and Settings\Guest Access\Local Settings\Application Data\*.
C:\Documents and Settings\Guest Access\Local Settings\temp\*.tlb
%CommonProgramFiles%\*.exe
%CommonProgramFiles%\ComObjects\*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
%systemroot%\system32\config\systemprofile\*.*
%systemroot%\system32\config\systemprofile\*.
%systemroot%\system32\config\systemprofile\*.exe /s
%systemroot%\system32\config\systemprofile\Application Data\*.*
%systemroot%\system32\config\systemprofile\Application Data\*.
%systemroot%\system32\config\systemprofile\Local Settings\*.*
%systemroot%\system32\config\systemprofile\Local Settings\*.
%systemroot%\system32\config\systemprofile\Local Settings\Application Data\*.*
%systemroot%\system32\config\systemprofile\Local Settings\Application Data\*.
%systemroot%\system32\config\systemprofile\Local Settings\Temp\*.tlb
%windir%\temp\*.exe /s
%windir%\temp\*.*
%windir%\temp\*.
%windir%\*.
%windir%\AppPatch\*.exe
%windir%\ShellNew\*.exe
%windir%\installer\*.
%windir%\system32\*.
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%Temp%\smtmp\3\*.*
%Temp%\smtmp\4\*.*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%SYSTEMDRIVE%\*. /rp /s
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\temp\*.* /S /MD5
%systemroot%\assembly\GAC\*.ini
%systemroot%\assembly\GAC_32\*.ini
%SystemRoot%\assembly\GAC_MSIL\*.ini
wsSystemRoot|l,n,u,@;True;False;True;$,{ /fn
%systemdrive%\$Recycle.Bin|@;true;true;true /fp
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor /s
HKCU\Software\Classes\CLSID\{ECD4FC4D-521C-11D0-B792-00A0C90312E1}\InprocServer32 /s
HKLM\Software\Classes\CLSID\{E6BB64BE-0618-4353-9193-0AFE606D6F0C}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scsimap /s
HKEY_CLASSES_ROOT\CLSID\{118BEDCC-A901-4203-B4F2-ADCB957D1887} /s
HKEY_CLASSES_ROOT\CLSID\{312BED3C-A901-4203-B4F2-ADCB957D1887} /s
HKEY_CLASSES_ROOT\CLSID\{F12BE2CC-A901-4203-B4F2-ADCB957D1887} /s
HKEY_CLASSES_ROOT\CLSID\{312BFDCE-A901-4203-B4F2-ADCB957D1887} /s
HKEY_CLASSES_ROOT\CLSID\{212B3DCC-A901-4203-B4F2-ADCB957D1887} /s
HKEY_CLASSES_ROOT\CLSID\{A12BEDCC-A901-4203-B4F2-ADCB957D1887} /s
HKEY_CLASSES_ROOT\CLSID\{118BEDCA-A901-4203-B4F2-ADCB957D188F} /s
HKEY_CLASSES_ROOT\CLSID\{118BEDCA-A901-4203-B4F2-ADCB957D188B} /s
HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A} /s
HKEY_CLASSES_ROOT\Directory\shellex\CopyHookHandlers /s
HKEY_CLASSES_ROOT\Directory\Shellex\CopyHookHandlers\MSCopy /s
HKEY_CURRENT_USER\Software\Classes\Directory\shellex\CopyHookHandlers /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\CopyHookHandlers /s
HKEY_CURRENT_USER\Software\MSOLoad /s
type C:\WINDOWS\system.ini >> test.txt /c
>C:\commands.txt echo list vol /raw /hide /c
/wait
>C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c
/wait
type c:\diskreport.txt /c
/wait
erase c:\commands.txt /hide /c
/wait
erase c:\diskreport.txt /hide /c
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
consrv.dll
services.exe
explorer.exe
lsass.exe
svchost.exe
winlogon.exe
userinit.exe
smss.exe
imapi.sys
fastfat.sys
atapi.sys
serial.sys
volsnap.sys
disk.sys
redbook.sys
i8042prt.sys
afd.sys
netbt.sys
tcpip.sys
ipsec.sys
kbdclass.sys
mouclass.sys
mouhid.sys
hlp.dat
str.sys
crexv.ocx
crexvx.ocx
msseedir.dll
msdr.dll
lmbd.dll
wsse.dll
intel.exe
WService.dll
/md5stop

- кликни бутон Run Scan;

Изчакай сканирането да приключи. След края на сканирането автоматично ще се отворят двата новосъздадени на работния плот файла: OTL.txt и Extras.txt.

 

Моля, прикачи тези два файла (поотделно или в архив) към следващия си коментар.

[zhelyazkov]

Приложно Ви качвам файловете

OTL.Txt

Extras.Txt

[Night_Raven]

Стартирай отново OTL. В празното поле "Custom Scans/Fixes" (в долната част на програмата) постави следния текст (маркирай го, натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):
 

:processes
killallprocesses
:OTL
MOD - [2014.03.24 08:37:35 | 000,016,384 | ---- | M] () -- C:\Documents and Settings\joropc\Local Settings\Temp\winjors.exe
MOD - [2014.03.24 08:37:28 | 000,023,552 | ---- | M] () -- C:\Documents and Settings\joropc\Local Settings\Temp\windtsbak.exe
MOD - [2014.03.24 08:37:19 | 000,011,776 | ---- | M] () -- C:\Documents and Settings\joropc\Local Settings\Temp\windtlesp.exe
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..searchreset.backup.browser.search.defaultenginename: "Ask.com"
FF - prefs.js..searchreset.backup.keyword.URL: "http://search.qip.ru/search?from=FF&query="
O2 - BHO: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - No CLSID value found.
O32 - AutoRun File - [2014.01.24 11:56:38 | 000,000,225 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2014.01.24 09:01:23 | 000,000,274 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
[2014.01.24 11:56:38 | 000,111,616 | RHS- | M] () -- C:\rhbhe.pif
[2014.01.24 11:56:38 | 000,000,225 | RHS- | M] () -- C:\autorun.inf
[2014.01.24 09:01:23 | 000,197,120 | RHS- | M] () -- C:\mpxk.exe
[2014.01.23 18:39:23 | 000,001,536 | RHS- | M] () -- C:\ctfdp.pif
[2014.01.23 11:30:41 | 000,001,945 | ---- | M] () -- C:\WINDOWS\epplauncher.mif
[2014.01.23 11:20:23 | 000,201,216 | RHS- | M] () -- C:\guwxcu.exe
[2014.01.23 11:19:23 | 000,205,312 | RHS- | M] () -- C:\kqlw.exe
[2014.01.23 11:18:30 | 000,201,216 | RHS- | M] () -- C:\jggkhy.exe
[2014.01.23 11:17:21 | 000,111,616 | RHS- | M] () -- C:\jxqiax.pif
[2014.01.23 11:16:25 | 000,111,616 | RHS- | M] () -- C:\tqigp.pif
[2014.01.16 08:56:02 | 000,111,616 | ---- | M] () -- C:\owpv.pif
[2014.03.24 08:37:19 | 000,011,776 | ---- | M] () -- C:\Documents and Settings\joropc\Local Settings\Temp\windtlesp.exe
[2014.03.24 08:37:28 | 000,023,552 | ---- | M] () -- C:\Documents and Settings\joropc\Local Settings\Temp\windtsbak.exe
[2014.03.24 08:37:35 | 000,016,384 | ---- | M] () -- C:\Documents and Settings\joropc\Local Settings\Temp\winjors.exe
[2014.03.24 08:41:59 | 000,050,176 | ---- | M] () -- C:\Documents and Settings\joropc\Local Settings\Temp\winvdhv.exe
[2014.02.26 09:21:26 | 000,011,776 | ---- | M] () -- C:\WINDOWS\temp\svxve.exe
[2014.02.26 09:21:38 | 000,023,552 | ---- | M] () -- C:\WINDOWS\temp\windddsl.exe
[2014.02.26 18:00:10 | 000,011,776 | ---- | M] () -- C:\WINDOWS\temp\winhsij.exe
[2014.02.26 18:00:16 | 000,015,872 | ---- | M] () -- C:\WINDOWS\temp\winocdi.exe
[2014.02.26 09:25:37 | 000,050,176 | ---- | M] () -- C:\WINDOWS\temp\winuoliqb.exe
[2014.02.26 18:00:22 | 000,023,552 | ---- | M] () -- C:\WINDOWS\temp\yqnacc.exe
@Alternate Data Stream - 88 bytes -> C:\Documents and Settings\All Users\Documents\device.mrk.txt:SummaryInformation...
:Commands
[emptytemp]
[reboot]

Копирай текста точно както е в полето. Внимавай да не изтървеш началното двуеточие и всяка команда да е на отделен ред, както е в полето.

Кликни бутон Run Fix. Потвърди с OK на съобщението, че е нужен рестарт на системата.

След рестарта ще се появи текстов дневник/лог. Същият файл се намира в C:\_OTL\MovedFiles. Моля, прикачи го към следващия си коментар.

След това стартирай отново OTL, създай пресни дневници (както бях описал по-рано) и ги прикачи отново. Можеш да архивираш всичките файлове в един архив, а можеш и да ги прикачиш поотделно.

[zhelyazkov]

Ето файловете, лога го преименувах на тхт, защото не ми даваше да се качава

 

OTL.Txt

Extras.Txt

03242014_144901.txt

[Night_Raven]

Изтегли RKill и го запази на работния плот. Стартирай го и изчакай да приключи. След това ще се създаде дневник в същата папка (работния плот) и ще се отвори в Notepad. Моля, копирай съдържанието му тук.

 

След това...

 

Изтегли RogueKiller (избери 32- или 64-битовата версия, в зависимост това коя от двете операционни системи използваш) и запази файла на работния плот. Стартирай го и изчакай да приключи първоначалното сканиране и кликни бутон Accept, за да се съгласиш с лицензионното споразумение. След това кликни бутон Scan (горе вдясно). На работния плот ще се създаде текстов файл. Моля, копирай съдържанието му в следващия си коментар.

[zhelyazkov]

Rkill 2.6.5 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2014 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 03/24/2014 05:34:17 PM in x86 mode.
Windows Version: Microsoft Windows XP Service Pack 3

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * C:\Documents and Settings\joropc\Application Data\QipGuard\QipGuard.exe (PID: 1708) [uP-HEUR]
 * C:\DOCUME~1\joropc\LOCALS~1\Temp\nwke.exe (PID: 3836) [sUP-HEUR]
 * C:\DOCUME~1\joropc\LOCALS~1\Temp\nwke.exe (PID: 3836) [T-HEUR]
 * C:\DOCUME~1\joropc\LOCALS~1\Temp\hsxbj.exe (PID: 3900) [sUP-HEUR]
 * C:\DOCUME~1\joropc\LOCALS~1\Temp\hsxbj.exe (PID: 3900) [T-HEUR]
 * C:\DOCUME~1\joropc\LOCALS~1\Temp\xpqh.exe (PID: 3952) [sUP-HEUR]
 * C:\DOCUME~1\joropc\LOCALS~1\Temp\xpqh.exe (PID: 3952) [T-HEUR]
 * C:\DOCUME~1\joropc\LOCALS~1\Temp\winnlys.exe (PID: 2864) [sUP-HEUR]
 * C:\DOCUME~1\joropc\LOCALS~1\Temp\winnlys.exe (PID: 2864) [T-HEUR]

9 proccesses terminated!

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * Windows Firewall Disabled

   [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
   "EnableFirewall" = dword:00000000

Checking Windows Service Integrity:

 * Security Center (wscsvc) is not Running.
   Startup Type set to: Disabled

Searching for Missing Digital Signatures:

 * No issues found.

Checking HOSTS File:

 * HOSTS file entries found:

  127.0.0.1       localhost

Program finished at: 03/24/2014 05:35:54 PM
Execution time: 0 hours(s), 1 minute(s), and 37 seconds(s)
 

RKreport0_S_03242014_174729.txt

[Night_Raven]

Всъщност, сега има спрени зловредни процеси. Опитай да изпълниш следното:

 

Изтегли Malwarebytes Anti-Rootkit и запази файла на удобно място (обикновено работният плот е удачен избор). Стартирай файла и потвърди с OK, което ще разархивира приложението на работния плот и ще го стартира автоматично.
На първия екран кликни Next. На втория кликни Update, за да се направи проверка за нови дефиниции. Ако има такива, изчакай да се изтеглят. Кликни Next. На третия екран кликни Scan, за да започне сканирането. Бъди търпелив.
Ако не бъдат открити заплахи, просто кликни Exit. Ако бъдат открити такива, кликни бутон Cleanup. Ако ти бъде поискан рестарт, се съгласи.
Ако са били открити заплахи, моля прикачи или публикувай съответния дневник, който ще откриеш в папката на програмата, който ще е под формата на текстов файл с име mbar-log-година-месец-дата (час-минути-секунди).txt.

[zhelyazkov]

не мога да го сваля

[Night_Raven]

Е, ти сигурно си рестирал вече няколко пъти. Идеята беше да опиташ да изтеглиш програмата веднага.

 

Опитай отново. Първо изпълни инструкциите за RKill и веднага след това инструкциите за Malwarebytes Anti-Rootkit.

[zhelyazkov]

Е, ти сигурно си рестирал вече няколко пъти. Идеята беше да опиташ да изтеглиш програмата веднага.

 

Опитай отново. Първо изпълни инструкциите за RKill и веднага след това инструкциите за Malwarebytes Anti-Rootkit.

 

Така и направих, изпълних Rkill, после RougeKiller, но не ми дава да го изтегля.

[Night_Raven]

Не съм споменавал да повтаряш инструкциите за RogueKiller.

 

Опитай да изтеглиш Malwarebytes Anti-Rootkit от тук (файлът е преименуван нарочно), след което продължи с инструкциите както бяха описани по-рано.

[zhelyazkov]

Ето и лога от рооткита

mbar-log-2014-03-25 (15-51-03).txt

[Night_Raven]

Няма логика бацилът да прекъсва изтеглянето тогава и то конкретно на този файл, защото не би трябвало да знае, че става въпрос за подобен продукт.

 

Нека опитаме с друг продукт.

 

Изтегли HitmanPro (използвай обаче нашия сървър) и:

- стартирай файла и кликни Напред;

- постави отметка на Приемам всички условия в лицензионното споразумение и кликни Напред;

- избери Не, искам да извършва еднократно сканиране на компютъра и кликни Напред;

- изчакай да приключи сканирането;

- ако бъдат открити заплахи, кликни Напред, в противен случай кликни Затвори;

- кликни Активирай безплатен лиценз, въведи някаква информация за регистрация (не е нужно да е вярна), потвърди с OK и кликни Напред;

- изчакай да приключи премахването и кликни Next;

- кликни Изнеси резултатите от сканирането в XML файл и запази файла на удобно място с име по желание;

- ако има нужда от рестартиране, ще има бутон Рестартирай, който го кликни; противен случай кликни Затвори.

 

След това архивирай запазения XML файл и го прикачи към коментара си.