Нападнаха ме гадове!

[Zoookey]

Здравейте!

 

Вчера открих в поцесите на Windows-a имена като:

hqyynm.exe

msiexec.exe

NclMSBTSrv.exe

 

Има и други такива с имена от разбъркани букви следвани от .еxe.

Мисля, че тези процеси не ми позволяват да си сложа антивирусна програма. Просто ми затварят прозореца и не ми дават да я инсталирам. В google написах името на един от процесите и веднага ми се затвори browser-a... Даже и програма да намеря, която може би ще успее да ги премахне, пак ми затваря browser-a...

Някой може ли да предложи програма, с която да ги изчистя, без гада да се усети? Или ако не програма, то някакъв метод,с който да ги накарам да се махнат. (преинсталиране не помага).

 

Благодаря ви!

[draco_volans]

Пробвай това:

Сканирай с Malwarebytes' Anti-Malware и SUPERAntiSpyware Free. Ако вече имаш програмите, провери дали имаш последните версии и ако нямаш, премахни твоите и инсталирай най-новите. Ако тепърва инсталираш програмите, след инсталацията те ще предложат да се обновят автоматично, съгласи се. В противен случай обнови дефинициите им ръчно.

 

За Malwarebytes' Anti-Malware:

- стартирай програмата;

- избери Perform quick scan (Бързо сканиране) и кликни бутон Scan (Сканиране);

- след като приключи сканирането, ако не са открити заплахи, ще се отвори автоматично текстов файл (който можеш да затвориш) и програмата ще те уведоми, че не е открила нищо, след което можеш да кликнеш бутон OK и да я затвориш;

- ако са открити заплахи, кликни бутон OK и после Show results (Покажи резултатите);

- кликни бутон Remove Selected (Премахни избраните);

- ще се появи текстов файл (дневник/лог), копирай съдържанието му тук.

 

За SUPERAntiSpyware:

- стартирай програмата;

- кликни бутон Scan your Computer (Сканиране на компютъра);

- вляво избери само дял C:, а вдясно избери Perform Complete Scan (Извърши пълно сканиране);

- кликни Next и изчакай програмата да сканира;

- кликни OK на съобщението;

- ако има засечени заплахи, кликни Next, за да се премахнат гадинките, OK на потвърждението и накрая Finish;

- кликни бутон Preferences... (Настройки) и иди на подпрозорец Statistics/Logs (Дневници), маркирай последния лог по дата и кликни бутон View Log... (Покажи дневника);

- копирай съдържанието му тук.

 

Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага.

[Zoookey]

Изобщо не ми позволява да отворя линковете, които ми даде ;( Browser-a просто се затваря веднага щом ги усети...

[draco_volans]

Изтегли DDS от тук.

Запази го на десктопа.

Изключи защитата в реално време на антивирусната си програма (ако е инсталирана такава).Накрая, стартирай инструмента.

 

• Когато DDS приключи успешно анализа на системата ще отвори два лог файла.

1. 
   
2. DDS.txt
   
3. Attach.txt
   

• Запази ги на десктопа и след това ги прикачи към следващия си пост. Може да ги събереш в архив и така да ги прикачиш.

[Zoookey]

Ето ги файловете.

 

Desktop.rar

[Night_Raven]

Установихме гадинката. За нея обаче ще ползваме OTL...

 

Изтегли OTL и го запази на работния плот:

- стартирай инструмента;

- в поле Custom Scans/Fixes (в долната част на програмата) постави следния текст (маркирай го или кликни "Избери всичко", натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
CREATERESTOREPOINT
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%PROGRAMFILES%\*.
%userprofile%\Desktop\*.*
%userprofile%\Desktop\*.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

- в поле Output избери Minimal Output;

- увери се, че е избрана опцията Use SafeList във всичките 6 полета в лявата половина на прозореца;

- увери се, че е избрана опцията File Age в двете полета в дясната половина на прозореца;

- постави отметки на всички опции, налични в прозореца на програмата;

- кликни бутон Run Scan;

Изчакай сканирането да приключи. След края на сканирането автоматично ще се отворят двата новосъздадени на работния плот файла: OTL.txt и Extras.txt.

 

Моля, прикачи тези два файла (поотделно или в архив) към следващия си коментар.

[Zoookey]

Ето и тези два файла:

 

OTL files.rar

[Night_Raven]

Стартирай отново OTL. В празното поле "Custom Scans/Fixes" (в долната част на програмата) постави следния текст (маркирай го или натисни бутон Избери всичко, натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):

 

:Processes
C:\Documents and Settings\Freak\Local Settings\Temp\heaorewvptttrlfkpmiw.exe
C:\Documents and Settings\Freak\Local Settings\Temp\hqyynm.exe
:OTL
O4 - HKLM..\Run: [kapwsyjbolexo] C:\WINDOWS\System32\aunyyixtklifarikm.exe ()
O4 - HKLM..\Run: [uqlyamdbuxwvsleimid] C:\Documents and Settings\Freak\Local Settings\Temp\aunyyixtklifarikm.exe ()
O4 - HKU\.DEFAULT..\Run: [kapwsyjbolexo] C:\Documents and Settings\Freak\Local Settings\Temp\heaorewvptttrlfkpmiw.exe ()
O4 - HKU\.DEFAULT..\Run: [tmeonwkfvvrnhxno] C:\WINDOWS\System32\heaorewvptttrlfkpmiw.exe ()
O4 - HKU\S-1-5-18..\Run: [kapwsyjbolexo] C:\Documents and Settings\Freak\Local Settings\Temp\heaorewvptttrlfkpmiw.exe ()
O4 - HKU\S-1-5-18..\Run: [tmeonwkfvvrnhxno] C:\WINDOWS\System32\heaorewvptttrlfkpmiw.exe ()
O4 - HKU\S-1-5-21-2000478354-1303643608-1177238915-1003..\Run: [kapwsyjbolexo] C:\Documents and Settings\Freak\Local Settings\Temp\jeyklwmjbdbzvnfilg.exe ()
O4 - HKU\S-1-5-21-2000478354-1303643608-1177238915-1003..\Run: [tmeonwkfvvrnhxno] C:\WINDOWS\System32\aunyyixtklifarikm.exe ()
O4 - HKLM..\RunOnce: [jeyklwmjbdbzvnfilg] C:\Documents and Settings\Freak\Local Settings\Temp\tmeonwkfvvrnhxno.exe ()
O4 - HKLM..\RunOnce: [lcsaxeqjxvpjbp] C:\WINDOWS\System32\tmeonwkfvvrnhxno.exe ()
O4 - HKU\.DEFAULT..\RunOnce: [aunyyixtklifarikm] C:\WINDOWS\System32\aunyyixtklifarikm.exe ()
O4 - HKU\.DEFAULT..\RunOnce: [lcsaxeqjxvpjbp] C:\Documents and Settings\Freak\Local Settings\Temp\tmeonwkfvvrnhxno.exe ()
O4 - HKU\S-1-5-18..\RunOnce: [aunyyixtklifarikm] C:\WINDOWS\System32\aunyyixtklifarikm.exe ()
O4 - HKU\S-1-5-18..\RunOnce: [lcsaxeqjxvpjbp] C:\Documents and Settings\Freak\Local Settings\Temp\tmeonwkfvvrnhxno.exe ()
O4 - HKU\S-1-5-21-2000478354-1303643608-1177238915-1003..\RunOnce: [aunyyixtklifarikm] C:\WINDOWS\System32\jeyklwmjbdbzvnfilg.exe ()
O4 - HKU\S-1-5-21-2000478354-1303643608-1177238915-1003..\RunOnce: [lcsaxeqjxvpjbp] C:\Documents and Settings\Freak\Local Settings\Temp\aunyyixtklifarikm.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: ogxgemztihcxqfu = wurgkyrrmrstsniouspei.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: laoupuevhdvn = C:\DOCUME~1\Freak\LOCALS~1\Temp\uqlyamdbuxwvsleimid.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableInstallerDetection = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableVirtualization = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\S-1-5-21-2000478354-1303643608-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} O32 - AutoRun File - [2010.08.21 10:29:30 | 000,000,845 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010.08.21 10:29:31 | 000,000,843 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{a4e122d2-ac85-11df-a28c-806d6172696f}\Shell\AutoRun\command - "" = D:\ocpuosbrcxo.bat -- [2009.02.20 07:05:35 | 000,634,880 | RHS- | M] ()
O33 - MountPoints2\{a4e122d2-ac85-11df-a28c-806d6172696f}\Shell\explore\Command - "" = D:\ogxgemztihcxqfu.bat -- [2010.08.21 10:29:30 | 000,634,880 | RHS- | M] ()
O33 - MountPoints2\{a4e122d2-ac85-11df-a28c-806d6172696f}\Shell\open\Command - "" = D:\kapwsyjbolexo.bat -- [2009.02.05 05:19:10 | 000,634,880 | RHS- | M] ()
O33 - MountPoints2\{a4e122d4-ac85-11df-a28c-806d6172696f}\Shell\AutoRun\command - "" = C:\ocpuosbrcxo.bat -- [2010.08.21 10:29:30 | 000,634,880 | RHS- | M] ()
O33 - MountPoints2\{a4e122d4-ac85-11df-a28c-806d6172696f}\Shell\explore\Command - "" = C:\ogxgemztihcxqfu.bat -- [2009.04.04 13:07:46 | 000,634,880 | RHS- | M] ()
O33 - MountPoints2\{a4e122d4-ac85-11df-a28c-806d6172696f}\Shell\open\Command - "" = C:\kapwsyjbolexo.bat -- [2009.05.15 06:10:19 | 000,634,880 | RHS- | M] ()
[2010.08.21 15:19:25 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\wurgkyrrmrstsniouspei.exe
[2010.08.21 15:19:25 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\nmkafuoplrtvvrnubayoti.exe
[2010.08.21 15:19:25 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\heaorewvptttrlfkpmiw.exe
[2010.08.21 15:19:24 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\uqlyamdbuxwvsleimid.exe
[2010.08.21 15:19:24 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\tmeonwkfvvrnhxno.exe
[2010.08.21 15:19:24 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\jeyklwmjbdbzvnfilg.exe
[2010.08.21 15:19:24 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\aunyyixtklifarikm.exe
[2010.08.21 15:19:15 | 000,000,280 | -H-- | M] () -- C:\WINDOWS\System32\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.21 15:19:15 | 000,000,280 | -H-- | M] () -- C:\WINDOWS\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.21 15:19:15 | 000,000,280 | -H-- | M] () -- C:\Program Files\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.21 15:19:15 | 000,000,280 | -H-- | M] () -- C:\Documents and Settings\Freak\Local Settings\Application Data\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.21 10:29:30 | 000,634,880 | RHS- | M] () -- C:\ocpuosbrcxo.bat
[2010.08.21 10:26:47 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\wurgkyrrmrstsniouspei.exe
[2010.08.21 10:26:47 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\nmkafuoplrtvvrnubayoti.exe
[2010.08.21 10:26:46 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\uqlyamdbuxwvsleimid.exe
[2010.08.21 10:26:46 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\heaorewvptttrlfkpmiw.exe
[2010.08.21 10:26:45 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\tmeonwkfvvrnhxno.exe
[2010.08.21 10:26:45 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\jeyklwmjbdbzvnfilg.exe
[2010.08.21 10:26:45 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\aunyyixtklifarikm.exe
[2010.08.20 19:51:34 | 000,004,248 | -H-- | M] () -- C:\WINDOWS\System32\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.20 19:51:34 | 000,004,248 | -H-- | M] () -- C:\WINDOWS\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.20 19:51:34 | 000,004,248 | -H-- | M] () -- C:\Program Files\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.20 19:51:34 | 000,004,248 | -H-- | M] () -- C:\Documents and Settings\Freak\Local Settings\Application Data\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.20 20:01:19 | 000,000,845 | RHS- | C] () -- C:\autorun.inf
[2010.08.20 19:51:34 | 000,004,248 | -H-- | C] () -- C:\WINDOWS\System32\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.20 19:51:34 | 000,004,248 | -H-- | C] () -- C:\WINDOWS\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.20 19:51:34 | 000,004,248 | -H-- | C] () -- C:\Program Files\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.20 19:51:34 | 000,004,248 | -H-- | C] () -- C:\Documents and Settings\Freak\Local Settings\Application Data\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.20 19:51:34 | 000,000,280 | -H-- | C] () -- C:\WINDOWS\System32\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.20 19:51:34 | 000,000,280 | -H-- | C] () -- C:\WINDOWS\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.20 19:51:34 | 000,000,280 | -H-- | C] () -- C:\Program Files\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.20 19:51:34 | 000,000,280 | -H-- | C] () -- C:\Documents and Settings\Freak\Local Settings\Application Data\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\wurgkyrrmrstsniouspei.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\wurgkyrrmrstsniouspei.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\uqlyamdbuxwvsleimid.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\uqlyamdbuxwvsleimid.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\tmeonwkfvvrnhxno.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\nmkafuoplrtvvrnubayoti.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\jeyklwmjbdbzvnfilg.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\jeyklwmjbdbzvnfilg.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\heaorewvptttrlfkpmiw.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\aunyyixtklifarikm.exe
[2010.08.20 19:51:24 | 000,634,880 | ---- | C] () -- C:\WINDOWS\nmkafuoplrtvvrnubayoti.exe
[2010.08.20 19:51:24 | 000,634,880 | ---- | C] () -- C:\WINDOWS\heaorewvptttrlfkpmiw.exe
[2010.08.20 19:51:23 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\tmeonwkfvvrnhxno.exe
[2010.08.20 19:51:23 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\aunyyixtklifarikm.exe
[2009.05.15 06:10:19 | 000,634,880 | RHS- | M] () -- C:\kapwsyjbolexo.bat
[2010.08.21 10:29:30 | 000,634,880 | RHS- | M] () -- C:\ocpuosbrcxo.bat
[2009.04.04 13:07:46 | 000,634,880 | RHS- | M] () -- C:\ogxgemztihcxqfu.bat
:Files
C:\Documents and Settings\Freak\Local Settings\Temp\heaorewvptttrlfkpmiw.exe
C:\Documents and Settings\Freak\Local Settings\Temp\hqyynm.exe
C:\WINDOWS\*.tmp
C:\WINDOWS\System32\*.tmp
:Commands
[purity]
[emptytemp]
[reboot]

Ако маркираш текста ръчно, го копирай точно както е в полето. Внимавай да не изтървеш началното двуеточие и всяка команда да е на отделен ред, както е в полето.

 

Кликни бутон Run Fix. Потвърди с OK на съобщението, че е нужен рестарт на системата.

 

След рестарта ще се появи текстов дневник/лог. Същият файл се намира в C:\_OTL\MovedFiles. Моля, прикачи го към следващия си коментар.

[Zoookey]

Ето го и него. Ако съм разбрал правилно, тази програма изчисти предполагаемите файлове на вируса, нали така?

И, докато не съм забравил, да питам, може ли тази буба да се прехвърли на флашката ми или на ipod-а или на каквото и да било свързано с компа (телефон и т.н.)?

 

08212010_170747.rar

[Night_Raven]

Да, чрез скрипта беше указано на програмата кои файлове да изтрие. Да, гадинката може да се разпространява чрез външни USB памети. Опасяваш, че имаш заразени такива? Ако да, не ги свързвай, докато не приключим със самия компютър.

 

В момента системата работи ли нормално? Можеш ли да стартираш Task Manager или антивирусна и т.н. Ако да, изпълни инструкциите от коментара на draco_volans (№2 в темата).

 

Освен това, моля, отвори дял C:\, архивирай папката _OTL и прикачи архива към коментара си. Ако файлът е прекалено голям, го качи на Rapidshare и дай линк.

[Zoookey]

За жалост, обаче, процесите все още си вървят и не ми дават да отворя линковете от втория коментар в темата. Не ми позволява и да си сложа антвирусна програма. Общо взето, сякаш нищо не се е променило :(

[Night_Raven]

Дай отново логове от OTL, както направи вече веднъж, да опитаме второ почистване, за да видим дали ще има напредък.

[Zoookey]

Те ги те.

 

otl - new.rar

[Night_Raven]

Стартирай отново OTL. В празното поле "Custom Scans/Fixes" (в долната част на програмата) постави следния текст (маркирай го или натисни бутон Избери всичко, натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):

 

:Processes
killallprocesses
:OTL
O4 - HKLM..\Run: [kapwsyjbolexo] C:\WINDOWS\System32\jeyklwmjbdbzvnfilg.exe ()
O4 - HKLM..\Run: [uqlyamdbuxwvsleimid] C:\Documents and Settings\Freak\Local Settings\Temp\uqlyamdbuxwvsleimid.exe ()
O4 - HKU\S-1-5-21-2000478354-1303643608-1177238915-1003..\Run: [kapwsyjbolexo] C:\Documents and Settings\Freak\Local Settings\Temp\tmeonwkfvvrnhxno.exe ()
O4 - HKU\S-1-5-21-2000478354-1303643608-1177238915-1003..\Run: [tmeonwkfvvrnhxno] C:\WINDOWS\System32\aunyyixtklifarikm.exe ()
O4 - HKLM..\RunOnce: [jeyklwmjbdbzvnfilg] C:\Documents and Settings\Freak\Local Settings\Temp\aunyyixtklifarikm.exe ()
O4 - HKLM..\RunOnce: [lcsaxeqjxvpjbp] C:\WINDOWS\System32\aunyyixtklifarikm.exe ()
O4 - HKU\S-1-5-21-2000478354-1303643608-1177238915-1003..\RunOnce: [aunyyixtklifarikm] C:\WINDOWS\System32\aunyyixtklifarikm.exe ()
O4 - HKU\S-1-5-21-2000478354-1303643608-1177238915-1003..\RunOnce: [lcsaxeqjxvpjbp] C:\Documents and Settings\Freak\Local Settings\Temp\jeyklwmjbdbzvnfilg.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: ogxgemztihcxqfu = uqlyamdbuxwvsleimid.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: laoupuevhdvn = C:\DOCUME~1\Freak\LOCALS~1\Temp\aunyyixtklifarikm.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableInstallerDetection = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableVirtualization = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2000478354-1303643608-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 1
O7 - HKU\S-1-5-21-2000478354-1303643608-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O32 - AutoRun File - [2010.08.21 17:10:37 | 000,000,849 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010.08.21 17:10:38 | 000,000,838 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{a4e122d2-ac85-11df-a28c-806d6172696f}\Shell\AutoRun\command - "" = D:\ocpuosbrcxo.bat -- [2009.03.04 07:07:38 | 000,634,880 | RHS- | M] ()
O33 - MountPoints2\{a4e122d2-ac85-11df-a28c-806d6172696f}\Shell\explore\Command - "" = D:\ogxgemztihcxqfu.bat -- [2010.08.21 17:10:38 | 000,634,880 | RHS- | M] ()
O33 - MountPoints2\{a4e122d2-ac85-11df-a28c-806d6172696f}\Shell\open\Command - "" = D:\kapwsyjbolexo.bat -- [2009.02.15 11:18:52 | 000,634,880 | RHS- | M] ()
O33 - MountPoints2\{a4e122d4-ac85-11df-a28c-806d6172696f}\Shell\AutoRun\command - "" = C:\ocpuosbrcxo.bat -- [2009.02.20 06:49:01 | 000,634,880 | RHS- | M] ()
O33 - MountPoints2\{a4e122d4-ac85-11df-a28c-806d6172696f}\Shell\explore\Command - "" = C:\ogxgemztihcxqfu.bat -- [2009.05.10 04:07:40 | 000,634,880 | RHS- | M] ()
O33 - MountPoints2\{a4e122d4-ac85-11df-a28c-806d6172696f}\Shell\open\Command - "" = C:\kapwsyjbolexo.bat -- [2009.02.13 12:45:19 | 000,634,880 | RHS- | M] ()
[2010.08.21 20:04:56 | 000,000,280 | -H-- | M] () -- C:\WINDOWS\System32\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.21 20:04:56 | 000,000,280 | -H-- | M] () -- C:\WINDOWS\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.21 20:04:56 | 000,000,280 | -H-- | M] () -- C:\Program Files\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.21 20:04:56 | 000,000,280 | -H-- | M] () -- C:\Documents and Settings\Freak\Local Settings\Application Data\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.21 20:04:56 | 000,000,014 | -H-- | M] () -- C:\WINDOWS\System32\laoupuevhdvndpbyvkyezeofrnfxnzlifu.ojo
[2010.08.21 20:04:56 | 000,000,014 | -H-- | M] () -- C:\WINDOWS\laoupuevhdvndpbyvkyezeofrnfxnzlifu.ojo
[2010.08.21 20:04:56 | 000,000,014 | -H-- | M] () -- C:\Program Files\laoupuevhdvndpbyvkyezeofrnfxnzlifu.ojo
[2010.08.21 20:04:56 | 000,000,014 | -H-- | M] () -- C:\Documents and Settings\Freak\Local Settings\Application Data\laoupuevhdvndpbyvkyezeofrnfxnzlifu.ojo
[2010.08.21 20:03:08 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\wurgkyrrmrstsniouspei.exe
[2010.08.21 20:03:08 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\uqlyamdbuxwvsleimid.exe
[2010.08.21 20:03:08 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\tmeonwkfvvrnhxno.exe
[2010.08.21 20:03:08 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\nmkafuoplrtvvrnubayoti.exe
[2010.08.21 20:03:08 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\jeyklwmjbdbzvnfilg.exe
[2010.08.21 20:03:08 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\heaorewvptttrlfkpmiw.exe
[2010.08.21 20:03:08 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\aunyyixtklifarikm.exe
[2010.08.21 17:10:37 | 000,000,849 | RHS- | M] () -- C:\autorun.inf
[2010.08.21 17:09:27 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\uqlyamdbuxwvsleimid.exe
[2010.08.21 17:09:27 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\tmeonwkfvvrnhxno.exe
[2010.08.21 17:09:27 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\nmkafuoplrtvvrnubayoti.exe
[2010.08.21 17:09:27 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\jeyklwmjbdbzvnfilg.exe
[2010.08.21 17:09:27 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\heaorewvptttrlfkpmiw.exe
[2010.08.21 17:09:27 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\aunyyixtklifarikm.exe
[2010.08.21 17:07:55 | 000,004,248 | -H-- | M] () -- C:\WINDOWS\System32\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.21 17:07:55 | 000,004,248 | -H-- | M] () -- C:\WINDOWS\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.21 17:07:55 | 000,004,248 | -H-- | M] () -- C:\Program Files\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.21 17:07:55 | 000,004,248 | -H-- | M] () -- C:\Documents and Settings\Freak\Local Settings\Application Data\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.21 17:07:52 | 000,634,880 | RHS- | M] () -- C:\WINDOWS\System32\wurgkyrrmrstsniouspei.exe
[2010.08.21 18:59:50 | 000,000,014 | -H-- | C] () -- C:\WINDOWS\System32\laoupuevhdvndpbyvkyezeofrnfxnzlifu.ojo
[2010.08.21 18:59:50 | 000,000,014 | -H-- | C] () -- C:\WINDOWS\laoupuevhdvndpbyvkyezeofrnfxnzlifu.ojo
[2010.08.21 18:59:50 | 000,000,014 | -H-- | C] () -- C:\Program Files\laoupuevhdvndpbyvkyezeofrnfxnzlifu.ojo
[2010.08.21 18:59:50 | 000,000,014 | -H-- | C] () -- C:\Documents and Settings\Freak\Local Settings\Application Data\laoupuevhdvndpbyvkyezeofrnfxnzlifu.ojo
[2010.08.21 17:10:37 | 000,000,849 | RHS- | C] () -- C:\autorun.inf
[2010.08.21 17:07:55 | 000,004,248 | -H-- | C] () -- C:\WINDOWS\System32\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.21 17:07:55 | 000,004,248 | -H-- | C] () -- C:\WINDOWS\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.21 17:07:55 | 000,004,248 | -H-- | C] () -- C:\Program Files\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.21 17:07:55 | 000,004,248 | -H-- | C] () -- C:\Documents and Settings\Freak\Local Settings\Application Data\kapwsyjbolexobomkapwsyjbolexobomkap.syj
[2010.08.21 17:07:54 | 000,000,280 | -H-- | C] () -- C:\WINDOWS\System32\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.21 17:07:54 | 000,000,280 | -H-- | C] () -- C:\WINDOWS\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.21 17:07:54 | 000,000,280 | -H-- | C] () -- C:\Program Files\bgkgrmmtvhpxdfhuhmqmxssz.nvd
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\wurgkyrrmrstsniouspei.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\wurgkyrrmrstsniouspei.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\uqlyamdbuxwvsleimid.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\uqlyamdbuxwvsleimid.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\tmeonwkfvvrnhxno.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\nmkafuoplrtvvrnubayoti.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\nmkafuoplrtvvrnubayoti.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\jeyklwmjbdbzvnfilg.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\jeyklwmjbdbzvnfilg.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\heaorewvptttrlfkpmiw.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\heaorewvptttrlfkpmiw.exe
[2010.08.20 19:51:24 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\aunyyixtklifarikm.exe
[2010.08.20 19:51:23 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\tmeonwkfvvrnhxno.exe
[2010.08.20 19:51:23 | 000,634,880 | RHS- | C] () -- C:\WINDOWS\System32\aunyyixtklifarikm.exe
[2010.08.21 17:10:37 | 000,000,849 | RHS- | M] () -- C:\autorun.inf
[2009.02.13 12:45:19 | 000,634,880 | RHS- | M] () -- C:\kapwsyjbolexo.bat
[2009.02.20 06:49:01 | 000,634,880 | RHS- | M] () -- C:\ocpuosbrcxo.bat
[2009.05.10 04:07:40 | 000,634,880 | RHS- | M] () -- C:\ogxgemztihcxqfu.bat
:Files
C:\WINDOWS\*.tmp
C:\WINDOWS\System32\*.tmp
C:\WINDOWS\system32\jeyklwmjbdbzvnfilg.exe
C:\Documents and Settings\Freak\Local Settings\Temp\hqyynm.exe
:Commands
[emptytemp]
[reboot]

Ако маркираш текста ръчно, го копирай точно както е в полето. Внимавай да не изтървеш началното двуеточие и всяка команда да е на отделен ред, както е в полето.

 

Кликни бутон Run Fix. Потвърди с OK на съобщението, че е нужен рестарт на системата.

 

След рестарта ще се появи текстов дневник/лог. Същият файл се намира в C:\_OTL\MovedFiles. Моля, прикачи го към следващия си коментар.

[Zoookey]

Имаме ли напредък? Защото все още си стоят процесите и не ми дават да правя вече посочените неща :(

 

08222010_161729.rar