РЕШЕН Не мога да сваля антивирусна ?!?!

[zhelyazkov]

На така приложения линк, няма секция за сваляне. Може и аз вече от умора да не го виждам.

[Night_Raven]

Има такава секция. Намира се отдолу и в нея има 4 бутона.

[Night_Raven]

Извинявам се. Не съм видял, че все пак си успял да стартираш Malwarebytes Anti-Rootkit.

 

Положението е ясно, има Sality. Това е упорит полиморфен вирус, който се не се маха лесно. По принцип по-бързият и лесен начин може да се окаже преинсталация с изтриване на системния дял. В зависимост от това дали можеш и имаш желание да преинсталираш или искаш да се лекува без преинсталация, ще ти дам различни инструкции. Кажи какво предпочиташ.

[zhelyazkov]

Нека пробваме без преинсталация. Ако разбира се не ти коства много усилия и време

[Night_Raven]

В такъв случай направи следното. Кликни с десния бутон върху My Computer -> Properties -> System Restore -> постави отметка на Turn off System Restore on all drives -> OK.

 

След това следвай инструкциите в този коментар. Прескочи т.2, защото е за Windows 7, а аз вече ти обясних в предния абзац как да го направиш това под Windows XP.

[zhelyazkov]

делл

[Night_Raven]

Моля?

[zhelyazkov]

Пробвах, това, което ми каза

1. Махнах Систем рестора.

2. Пуснах Фикса

3. Стартирах СалитиКилара и бацила го спря.

4. Опитах се да страртирам КВРТ, а бацила завзе цялото място на Ц; и не ми даде

За това направих:

1. Рестартирах.

2. Спрях нета

3.Пуснах Р-Килъра

4.Пуснах СалитиКилара

5. Пуснах КВРТ

Салити Килъра не можа да си направи репорт, защото вируса взе цялото място на Ц, което беше около 1Гб за това съм копирал това, което се случи в ЦМД, надявам се да помогне.

Сканирането на КВРТ-то отне някъде повече от 24 часа

kav.txt

repoort.txt

[Night_Raven]

Все пак има някакъв напредък. Изтрий стария report.txt.

 

Изтегли портативната версия (за да си спестиш инсталация) на Registry Backup тази страница. Разархивирай я на удобно място, стартирай я и кликни бутон Backup Now. Изчакай да приключи архивирането на обектите, след което затвори програмата.

 

Изтегли прикрепения архив disable_dangerous_services_xp.zip, разархивирай го, кликни два пъти върху .reg файла, потвърди с Yes и после OK.

 

Рестартирай компютъра. След това повтори инструкциите за SalityKiller (без Kaspersky Virus Removal Tool).

 

След като приключи SalityKiller, изпълни следното...

 

Изтегли OTL и го запази на работния плот:

- стартирай инструмента;

- постави отметка в горната част на Scan All Users;

- в поле Standard Registry избери All;

- от падащо меню File Age избери 90 Days;

- постави отметки още на: Skip Microsoft Files, LOP Check и Purity Check;

- в поле Custom Scans/Fixes (в долната част на програмата) постави следния текст (маркирай го, натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.
%USERPROFILE%\*.*
%USERPROFILE%\*.
%USERPROFILE%\*.exe /s
%USERPROFILE%\My Documents\*.*
%USERPROFILE%\My Documents\*.
%USERPROFILE%\Application Data\*.*
%USERPROFILE%\Application Data\*.
%USERPROFILE%\Local Settings\*.*
%USERPROFILE%\Local Settings\*.
%USERPROFILE%\Local Settings\Application Data\*.*
%USERPROFILE%\Local Settings\Application Data\*.
%USERPROFILE%\Local Settings\Temp\*.tlb
%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\*.*
%AllUsersProfile%\*.
%AllUsersProfile%\*.exe /s
%AllUsersProfile%\DRM\*.tmp
%AllUsersProfile%\Microsoft\Windows\DRM\*.tmp
%AllUsersProfile%\Application Data\Microsoft\Windows\DRM\*.tmp
%AllUsersProfile%\Application Data\*.*
%AllUsersProfile%\Application Data\*.
C:\Documents and Settings\Default User\*.exe /s
C:\Documents and Settings\Default User\Application Data\*.*
C:\Documents and Settings\Default User\Application Data\*.
C:\Documents and Settings\Default User\Local Settings\*.*
C:\Documents and Settings\Default User\Local Settings\*.
C:\Documents and Settings\Default User\Local Settings\Application Data\*.*
C:\Documents and Settings\Default User\Local Settings\Application Data\*.
C:\Documents and Settings\Default User\Local Settings\Temp\*.tlb
C:\Documents and Settings\LocalService\*.exe /s
C:\Documents and Settings\LocalService\*.*
C:\Documents and Settings\LocalService\Application Data\*.*
C:\Documents and Settings\LocalService\Application Data\*.
C:\Documents and Settings\LocalService\Local Settings\*.*
C:\Documents and Settings\LocalService\Local Settings\*.
C:\Documents and Settings\LocalService\Local Settings\Application Data\*.*
C:\Documents and Settings\LocalService\Local Settings\Application Data\*.
C:\Documents and Settings\LocalService\Local Settings\temp\*.tlb
C:\Documents and Settings\NetworkService\*.exe /s
C:\Documents and Settings\NetworkService\*.*
C:\Documents and Settings\NetworkService\Application Data\*.*
C:\Documents and Settings\NetworkService\Application Data\*.
C:\Documents and Settings\NetworkService\Local Settings\*.*
C:\Documents and Settings\NetworkService\Local Settings\*.
C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.*
C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.
C:\Documents and Settings\NetworkService\Local Settings\temp\*.tlb
C:\Documents and Settings\Guest Access\*.exe /s
C:\Documents and Settings\Guest Access\*.*
C:\Documents and Settings\Guest Access\Application Data\*.*
C:\Documents and Settings\Guest Access\Application Data\*.
C:\Documents and Settings\Guest Access\Local Settings\*.*
C:\Documents and Settings\Guest Access\Local Settings\*.
C:\Documents and Settings\Guest Access\Local Settings\Application Data\*.*
C:\Documents and Settings\Guest Access\Local Settings\Application Data\*.
C:\Documents and Settings\Guest Access\Local Settings\temp\*.tlb
%CommonProgramFiles%\*.exe
%CommonProgramFiles%\ComObjects\*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
%systemroot%\system32\config\systemprofile\*.*
%systemroot%\system32\config\systemprofile\*.
%systemroot%\system32\config\systemprofile\*.exe /s
%systemroot%\system32\config\systemprofile\Application Data\*.*
%systemroot%\system32\config\systemprofile\Application Data\*.
%systemroot%\system32\config\systemprofile\Local Settings\*.*
%systemroot%\system32\config\systemprofile\Local Settings\*.
%systemroot%\system32\config\systemprofile\Local Settings\Application Data\*.*
%systemroot%\system32\config\systemprofile\Local Settings\Application Data\*.
%systemroot%\system32\config\systemprofile\Local Settings\Temp\*.tlb
%windir%\temp\*.exe /s
%windir%\temp\*.*
%windir%\temp\*.
%windir%\*.
%windir%\AppPatch\*.exe
%windir%\ShellNew\*.exe
%windir%\installer\*.
%windir%\system32\*.
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%Temp%\smtmp\3\*.*
%Temp%\smtmp\4\*.*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%SYSTEMDRIVE%\*. /rp /s
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\temp\*.* /S /MD5
%systemroot%\assembly\GAC\*.ini
%systemroot%\assembly\GAC_32\*.ini
%SystemRoot%\assembly\GAC_MSIL\*.ini
wsSystemRoot|l,n,u,@;True;False;True;$,{ /fn
%systemdrive%\$Recycle.Bin|@;true;true;true /fp
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor /s
HKCU\Software\Classes\CLSID\{ECD4FC4D-521C-11D0-B792-00A0C90312E1}\InprocServer32 /s
HKLM\Software\Classes\CLSID\{E6BB64BE-0618-4353-9193-0AFE606D6F0C}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scsimap /s
HKEY_CLASSES_ROOT\CLSID\{118BEDCC-A901-4203-B4F2-ADCB957D1887} /s
HKEY_CLASSES_ROOT\CLSID\{312BED3C-A901-4203-B4F2-ADCB957D1887} /s
HKEY_CLASSES_ROOT\CLSID\{F12BE2CC-A901-4203-B4F2-ADCB957D1887} /s
HKEY_CLASSES_ROOT\CLSID\{312BFDCE-A901-4203-B4F2-ADCB957D1887} /s
HKEY_CLASSES_ROOT\CLSID\{212B3DCC-A901-4203-B4F2-ADCB957D1887} /s
HKEY_CLASSES_ROOT\CLSID\{A12BEDCC-A901-4203-B4F2-ADCB957D1887} /s
HKEY_CLASSES_ROOT\CLSID\{118BEDCA-A901-4203-B4F2-ADCB957D188F} /s
HKEY_CLASSES_ROOT\CLSID\{118BEDCA-A901-4203-B4F2-ADCB957D188B} /s
HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A} /s
HKEY_CLASSES_ROOT\Directory\shellex\CopyHookHandlers /s
HKEY_CLASSES_ROOT\Directory\Shellex\CopyHookHandlers\MSCopy /s
HKEY_CURRENT_USER\Software\Classes\Directory\shellex\CopyHookHandlers /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\CopyHookHandlers /s
HKEY_CURRENT_USER\Software\MSOLoad /s
type C:\WINDOWS\system.ini >> test.txt /c
>C:\commands.txt echo list vol /raw /hide /c
/wait
>C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c
/wait
type c:\diskreport.txt /c
/wait
erase c:\commands.txt /hide /c
/wait
erase c:\diskreport.txt /hide /c
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
consrv.dll
services.exe
explorer.exe
lsass.exe
svchost.exe
winlogon.exe
userinit.exe
smss.exe
imapi.sys
fastfat.sys
atapi.sys
serial.sys
volsnap.sys
disk.sys
redbook.sys
i8042prt.sys
afd.sys
netbt.sys
tcpip.sys
ipsec.sys
kbdclass.sys
mouclass.sys
mouhid.sys
hlp.dat
str.sys
crexv.ocx
crexvx.ocx
msseedir.dll
msdr.dll
lmbd.dll
wsse.dll
intel.exe
WService.dll
/md5stop

- кликни бутон Run Scan;

Изчакай сканирането да приключи. След края на сканирането автоматично ще се отворят двата новосъздадени на работния плот файла: OTL.txt и Extras.txt.

 

Моля, прикачи тези два файла (поотделно или в архив) към следващия си коментар.

[zhelyazkov]

Ето файловете

OTL.Txt

Extras.Txt

[Night_Raven]

А файлът от повторното стартиране на SalityKiller (преди да стартираш OTL)?

[zhelyazkov]

Забравих го. Съжалявам

report.txt

[Night_Raven]

Стартирай отново OTL. В празното поле "Custom Scans/Fixes" (в долната част на програмата) постави следния текст (маркирай го, натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):

 

:OTL
[2014.03.28 15:22:20 | 000,002,414 | -HS- | M] () -- C:\WINDOWS\9138919drv.spi
:Files
NETSH FIREWALL RESET /c
netsh firewall set opmode enable /c
:Commands
[emptytemp]
[reboot]

Копирай текста точно както е в полето. Внимавай да не изтървеш началното двуеточие и всяка команда да е на отделен ред, както е в полето.

 

Кликни бутон Run Fix. Потвърди с OK на съобщението, че е нужен рестарт на системата.

 

---

 

След това отвори файла C:\Windows\system.ini. В него намери и премахни следния ред:

[MCIDRV_VER]

След това го запази (Ctrl+S) и го затвори.

 

---

 

Изтегли ComboFix (ако случайно вече имаш някаква версия, я замени) и го запази на работния плот.

Стартирай го, кликни I Agree, изчакай да се разархивира и сканира докрай. Не кликай по прозореца на инструмента. Ако бъдеш попитан(а) дали да бъде инсталирана Recovery Console, кликни Yes и потвърди след това с OK и отново Yes (два пъти). Сканирането ще продължи. Ако има нужда от рестарт, компютърът ще се рестартира автоматично. След рестарта трябва да продължи сканирането. Отново не закачай прозореца, докато той не се самозатвори. След това постави съдържанието на текстовия файл C:\ComboFix.txt тук или го прикачи към коментара си.

[zhelyazkov]

Ето файлчето

ComboFix.txt

[Night_Raven]

Всичко изглежда чисто.

Нека да направим последна проверка и обиране на някои излишни боклуци...

 

Изтегли RKill и го запази на работния плот. Стартирай го и изчакай да приключи. След това ще се създаде дневник в същата папка (работния плот) и ще се отвори в Notepad. Моля, копирай съдържанието му тук.

 

След това...

 

Изтегли AdwCleaner и го запази на работния плот. Стартирай го и кликни бутон Scan. Изчакай да се сканира, след което кликни бутон Clean. Потвърди с OK на всички прозорци, което ще доведе до рестарт на системата. След рестарта ще се отвори текстов файл. Моля, копирай съдържанието му тук.