проблем с антивирусната

[AnnaPetkova]

Здравейте,

лаптопът ми се е заразил с много гадини (плюс едно РС и две флашки и може би цифровият фотоапарат, но първо да решим проблема с лаптопа). При опит за сканиране антивирусната се затваря, по никакъв начин не мога да сканирам и online, защото браузърът също се затваря. Моля, ако някой може да помогне. Мерси предварително.

[Night_Raven]

Моля, обърни внимание на следните забележки. Те са доброто на потребителите:

1. Премахването на зловреден код не винаги е бързо и лесно. В зависимост от количеството и вида на заразите процесът на почистване може да отнеме известно време. Аз съм готов да издържа докрай, но ако ти не си и има вероятност в един момент да зарежеш всичко това и директно да преинс.талираш, то по-добре директно прибегни до това.

2. Следвай само инструкции от едно място. Т.е. ако си потърсила помощ за същия проблем в друг форум, то тогава ще трябва да избереш само единия. Обикновено почистването на зловреден код включва използването на по-нестандартни инструменти и методи (спрямо традиционните антивирусни) и ако се следват едновременно инструкции на повече от един специалист, е възможно да се създадат проблеми, вместо да се решат.

3. Следвай инструкциите точно и не предприемай своеволия, защото това може да доведе до усложнения. Ако имаш въпроси и не си сигурен(на) в нещо, е по-добре първо да помолиш за доизяснения, вместо да продължаваш на сляпо.

 

Ако все още искаш да продължиш, продължи с четенето.

 

Не свързвай никакви външни носители, докато не се убедим, че системата е чиста. Едва тогава ще се заемем с тях.

 

Преди да продължа ще ми трябва информация с каква операционна система си.

[AnnaPetkova]

Благодаря за бързия отговор. Не съм търсила помощ в други форуми. Операционната система е Windows Vista Home Premium, Service Pack 2. А относно продължителността на процеса, ще бъде и още по-бавен, тъй като мога да работя на компютъра само, когато бебето спи

[Night_Raven]

Изтегли OTL и го запази на работния плот:

- стартирай инструмента;

- постави отметка в горната част на Scan All Users;

- в поле Standard Registry избери All;

- от падащо меню File Age избери 90 Days;

- постави отметки още на: Skip Microsoft Files, LOP Check и Purity Check;

- в поле Custom Scans/Fixes (в долната част на програмата) постави следния текст (маркирай го, натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):

netsvcs
netsvcs
msconfig
safebootminimal
safebootnetwork
%SYSTEMDRIVE%\*.*
%USERPROFILE%\*.*
%USERPROFILE%\AppData\Local\*.*
%USERPROFILE%\AppData\Roaming\*.*
%ProgramData%\*.*
%CommonProgramFiles%\*.*
%PROGRAMFILES%\*.*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\Spool\prtprocs\w32x86\*.dll
/md5start
hlp.dat
winlogon.exe
wininit.exe
userinit.exe
explorer.exe
volsnap.sys
/md5stop

- кликни бутон Run Scan;

Изчакай сканирането да приключи. След края на сканирането автоматично ще се отворят двата новосъздадени на работния плот файла: OTL.txt и Extras.txt.

 

Моля, прикачи тези два файла (поотделно или в архив) към следващия си коментар.

[AnnaPetkova]

Ето файловете

OTL.Txt

Extras.Txt

[Night_Raven]

Стартирай отново OTL. В празното поле "Custom Scans/Fixes" (в долната част на програмата) постави следния текст (маркирай го, натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):

 

:Processes
killallprocesses
:OTL
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found
O4 - HKLM..\Run: [ygndozhovg] C:\Windows\System32\bumnjfyqieqykzvxrxoof.exe ()
O4 - HKLM..\Run: [ymzvmdreripszjax] C:\Users\Toshiba\AppData\Local\Temp\bumnjfyqieqykzvxrxoof.exe ()
O4 - HKU\S-1-5-21-1960613436-305601458-1855942675-1000..\Run: [pakdrfqakyccg] C:\Windows\System32\mevvqldulgryjxstmrhg.exe ()
O4 - HKU\S-1-5-21-1960613436-305601458-1855942675-1000..\Run: [TOSCDSPD] TOSCDSPD.EXE File not found
O4 - HKU\S-1-5-21-1960613436-305601458-1855942675-1000..\Run: [ygndozhovg] C:\Users\Toshiba\AppData\Local\Temp\oetrkdtixqzenzsril.exe ()
O4 - HKLM..\RunOnce: [tckbnziqykm] C:\Windows\System32\zqgfztkaqkuakxrrjnc.exe ()
O4 - HKLM..\RunOnce: [tgsndtgseuacirh] C:\Users\Toshiba\AppData\Local\Temp\oetrkdtixqzenzsril.exe ()
O4 - HKU\S-1-5-21-1960613436-305601458-1855942675-1000..\RunOnce: [qcnhwlxitinotb] C:\Windows\System32\oetrkdtixqzenzsril.exe ()
O4 - HKU\S-1-5-21-1960613436-305601458-1855942675-1000..\RunOnce: [tckbnziqykm] C:\Users\Toshiba\AppData\Local\Temp\ymzvmdreripszjax.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: BindDirectlyToPropertySetStorage = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: qajbobludqts = bumnjfyqieqykzvxrxoof.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: fmshrbiou = C:\Users\Toshiba\AppData\Local\Temp\oetrkdtixqzenzsril.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 0
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 0
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 0
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 0
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 0
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 0
O7 - HKU\S-1-5-21-1960613436-305601458-1855942675-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 0
O7 - HKU\S-1-5-21-1960613436-305601458-1855942675-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-21-1960613436-305601458-1855942675-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O32 - AutoRun File - [2011.09.28 08:39:14 | 000,000,825 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011.09.28 08:39:14 | 000,000,798 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
[2011.09.28 14:48:29 | 000,000,280 | -H-- | M] () -- C:\Windows\ggfnqttsruncvruderpwuutb.hhg
[2011.09.28 14:48:29 | 000,000,280 | -H-- | M] () -- C:\Users\Toshiba\AppData\Local\ggfnqttsruncvruderpwuutb.hhg
[2011.09.28 14:48:29 | 000,000,280 | -H-- | M] () -- C:\Program Files\ggfnqttsruncvruderpwuutb.hhg
[2011.09.28 14:48:28 | 000,671,744 | RHS- | M] () -- C:\Windows\zqgfztkaqkuakxrrjnc.exe
[2011.09.28 14:48:28 | 000,671,744 | RHS- | M] () -- C:\Windows\ymzvmdreripszjax.exe
[2011.09.28 14:48:28 | 000,671,744 | RHS- | M] () -- C:\Windows\smfhebvoherandadyfxyqk.exe
[2011.09.28 14:48:28 | 000,671,744 | RHS- | M] () -- C:\Windows\oetrkdtixqzenzsril.exe
[2011.09.28 14:48:28 | 000,671,744 | RHS- | M] () -- C:\Windows\mevvqldulgryjxstmrhg.exe
[2011.09.28 14:48:28 | 000,671,744 | RHS- | M] () -- C:\Windows\fuifxpesgygksdvtj.exe
[2011.09.28 14:48:28 | 000,671,744 | RHS- | M] () -- C:\Windows\bumnjfyqieqykzvxrxoof.exe
[2011.09.28 14:48:27 | 000,000,280 | -H-- | M] () -- C:\Windows\System32\ggfnqttsruncvruderpwuutb.hhg
[2011.09.28 14:40:07 | 000,000,244 | -H-- | M] () -- C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2011.09.28 14:39:59 | 000,000,290 | -H-- | M] () -- C:\Windows\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
[2011.09.28 08:06:17 | 000,671,744 | RHS- | M] () -- C:\Windows\System32\ymzvmdreripszjax.exe
[2011.09.28 08:06:17 | 000,671,744 | RHS- | M] () -- C:\Windows\System32\smfhebvoherandadyfxyqk.exe
[2011.09.28 08:06:17 | 000,671,744 | RHS- | M] () -- C:\Windows\System32\mevvqldulgryjxstmrhg.exe
[2011.09.28 08:06:17 | 000,671,744 | RHS- | M] () -- C:\Windows\System32\fuifxpesgygksdvtj.exe
[2011.09.28 08:06:17 | 000,671,744 | RHS- | M] () -- C:\Windows\System32\bumnjfyqieqykzvxrxoof.exe
[2011.09.28 05:47:10 | 000,671,744 | RHS- | M] () -- C:\Windows\System32\zqgfztkaqkuakxrrjnc.exe
[2011.09.28 05:47:10 | 000,671,744 | RHS- | M] () -- C:\Windows\System32\oetrkdtixqzenzsril.exe
[2011.09.23 12:53:25 | 000,004,248 | -H-- | M] () -- C:\Users\Toshiba\AppData\Local\pakdrfqakyccgnbvhfogpakdrfqakyccgnb.hfo
[2009.07.14 10:44:12 | 000,581,632 | RHS- | M] () -- C:\ouznwflq.bat
[2009.03.05 07:02:52 | 000,581,632 | RHS- | M] () -- C:\qajbobludqts.bat
[2009.03.09 09:50:44 | 000,581,632 | RHS- | M] () -- C:\ygndozhovg.bat
@Alternate Data Stream - 102 bytes -> C:\ProgramData\TEMP:D1B5B4F1
:Files
C:\Users\Toshiba\AppData\Local\*.tmp
C:\Windows\*.tmp
C:\Users\Toshiba\Documents\*.tmp
C:\Users\Toshiba\AppData\Local\Temp\zqgfztkaqkuakxrrjnc.exe
C:\Users\Toshiba\AppData\Local\Temp\mqtfmt.exe
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System]
"ConsentPromptBehaviorAdmin" = DWORD:2
"ConsentPromptBehaviorUser" = DWORD:1
"EnableInstallerDetection" = DWORD:1
"EnableLUA" = DWORD:1
"EnableSecureUIAPaths" = DWORD:1
"EnableVirtualization" = DWORD:1
"PromptOnSecureDesktop" = DWORD:1
:Commands
[emptytemp]
[reboot]

Копирай текста точно както е в полето. Внимавай да не изтървеш началното двуеточие и всяка команда да е на отделен ред, както е в полето.

 

Кликни бутон Run Fix. Потвърди с OK на съобщението, че е нужен рестарт на системата.

 

След рестарта ще се появи текстов дневник/лог. Същият файл се намира в C:\_OTL\MovedFiles. Моля, прикачи го към следващия си коментар.

 

След това стартирай отново OTL, създай пресни дневници (както бях описал по-рано) и ги прикачи отново. Можеш да архивираш всичките файлове в един архив, а можеш и да ги прикачиш поотделно.

[AnnaPetkova]

Ето log файла. Копирам го тук, защото при опит да го прикача ми изписа съобщение "Не Ви е позволено да качвате такъв тип файлове".

 

All processes killed

========== PROCESSES ==========

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{CCC7A320-B3CA-4199-B1A6-9F516DD69829} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NDSTray.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ygndozhovg deleted successfully.

C:\Windows\System32\bumnjfyqieqykzvxrxoof.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ymzvmdreripszjax deleted successfully.

C:\Users\Toshiba\AppData\Local\Temp\bumnjfyqieqykzvxrxoof.exe moved successfully.

Registry value HKEY_USERS\S-1-5-21-1960613436-305601458-1855942675-1000\Software\Microsoft\Windows\CurrentVersion\Run\\pakdrfqakyccg deleted successfully.

C:\Windows\System32\mevvqldulgryjxstmrhg.exe moved successfully.

Registry value HKEY_USERS\S-1-5-21-1960613436-305601458-1855942675-1000\Software\Microsoft\Windows\CurrentVersion\Run\\TOSCDSPD deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1960613436-305601458-1855942675-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ygndozhovg deleted successfully.

C:\Users\Toshiba\AppData\Local\Temp\oetrkdtixqzenzsril.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\tckbnziqykm deleted successfully.

C:\Windows\System32\zqgfztkaqkuakxrrjnc.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\tgsndtgseuacirh deleted successfully.

File C:\Users\Toshiba\AppData\Local\Temp\oetrkdtixqzenzsril.exe not found.

Registry value HKEY_USERS\S-1-5-21-1960613436-305601458-1855942675-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\qcnhwlxitinotb deleted successfully.

C:\Windows\System32\oetrkdtixqzenzsril.exe moved successfully.

Registry value HKEY_USERS\S-1-5-21-1960613436-305601458-1855942675-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\tckbnziqykm deleted successfully.

C:\Users\Toshiba\AppData\Local\Temp\ymzvmdreripszjax.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\BindDirectlyToPropertySetStorage deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\qajbobludqts deleted successfully.

C:\Windows\System32\bumnjfyqieqykzvxrxoof.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\fmshrbiou deleted successfully.

C:\Users\Toshiba\AppData\Local\Temp\oetrkdtixqzenzsril.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.

Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr not found.

Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools not found.

Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoFolderOptions deleted successfully.

Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.

Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoFolderOptions deleted successfully.

Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1960613436-305601458-1855942675-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoFolderOptions deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1960613436-305601458-1855942675-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1960613436-305601458-1855942675-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.

C:\autorun.inf moved successfully.

E:\autorun.inf moved successfully.

C:\Windows\ggfnqttsruncvruderpwuutb.hhg moved successfully.

C:\Users\Toshiba\AppData\Local\ggfnqttsruncvruderpwuutb.hhg moved successfully.

C:\Program Files\ggfnqttsruncvruderpwuutb.hhg moved successfully.

C:\Windows\zqgfztkaqkuakxrrjnc.exe moved successfully.

C:\Windows\ymzvmdreripszjax.exe moved successfully.

C:\Windows\smfhebvoherandadyfxyqk.exe moved successfully.

C:\Windows\oetrkdtixqzenzsril.exe moved successfully.

C:\Windows\mevvqldulgryjxstmrhg.exe moved successfully.

C:\Windows\fuifxpesgygksdvtj.exe moved successfully.

C:\Windows\bumnjfyqieqykzvxrxoof.exe moved successfully.

C:\Windows\System32\ggfnqttsruncvruderpwuutb.hhg moved successfully.

C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job moved successfully.

C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job moved successfully.

C:\Windows\System32\ymzvmdreripszjax.exe moved successfully.

C:\Windows\System32\smfhebvoherandadyfxyqk.exe moved successfully.

C:\Windows\System32\mevvqldulgryjxstmrhg.exe moved successfully.

C:\Windows\System32\fuifxpesgygksdvtj.exe moved successfully.

File C:\Windows\System32\bumnjfyqieqykzvxrxoof.exe not found.

File C:\Windows\System32\zqgfztkaqkuakxrrjnc.exe not found.

File C:\Windows\System32\oetrkdtixqzenzsril.exe not found.

C:\Users\Toshiba\AppData\Local\pakdrfqakyccgnbvhfogpakdrfqakyccgnb.hfo moved successfully.

C:\ouznwflq.bat moved successfully.

C:\qajbobludqts.bat moved successfully.

C:\ygndozhovg.bat moved successfully.

ADS C:\ProgramData\TEMP:D1B5B4F1 deleted successfully.

========== FILES ==========

C:\Users\Toshiba\AppData\Local\BIT99DF.tmp moved successfully.

C:\Users\Toshiba\AppData\Local\BITB4ED.tmp moved successfully.

C:\Users\Toshiba\AppData\Local\BITE0EB.tmp moved successfully.

C:\Users\Toshiba\AppData\Local\BITE8A9.tmp moved successfully.

C:\Windows\msdownld.tmp folder moved successfully.

C:\Users\Toshiba\Documents\~WRL0005.tmp moved successfully.

C:\Users\Toshiba\AppData\Local\Temp\zqgfztkaqkuakxrrjnc.exe moved successfully.

C:\Users\Toshiba\AppData\Local\Temp\mqtfmt.exe moved successfully.

========== REGISTRY ==========

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"ConsentPromptBehaviorAdmin" | DWORD:2 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"ConsentPromptBehaviorUser" | DWORD:1 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"EnableInstallerDetection" | DWORD:1 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"EnableLUA" | DWORD:1 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"EnableSecureUIAPaths" | DWORD:1 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"EnableVirtualization" | DWORD:1 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"PromptOnSecureDesktop" | DWORD:1 /E : value set successfully!

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

User: Toshiba

->Temp folder emptied: 104825882 bytes

->Temporary Internet Files folder emptied: 935308784 bytes

->Java cache emptied: 62067169 bytes

->FireFox cache emptied: 23618026 bytes

->Google Chrome cache emptied: 38239748 bytes

->Flash cache emptied: 4071078 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 19733697 bytes

RecycleBin emptied: 2335568 bytes

 

Total Files Cleaned = 1 135,00 mb

 

 

OTL by OldTimer - Version 3.2.29.1 log created on 09282011_214748

Files\Folders moved on Reboot...

C:\Users\Toshiba\AppData\Local\Temp\dnsapi.dll moved successfully.

File\Folder C:\Users\Toshiba\AppData\Local\Temp\fuifxpesgygksdvtj.exe not found!

File\Folder C:\Users\Toshiba\AppData\Local\Temp\mevvqldulgryjxstmrhg.exe not found!

File\Folder C:\Users\Toshiba\AppData\Local\Temp\mqtfmt.exe not found!

C:\Users\Toshiba\AppData\Local\Temp\ntmarta.dll moved successfully.

C:\Users\Toshiba\AppData\Local\Temp\samlib.dll moved successfully.

C:\Users\Toshiba\AppData\Local\Temp\secur32.dll moved successfully.

File\Folder C:\Users\Toshiba\AppData\Local\Temp\smfhebvoherandadyfxyqk.exe not found!

C:\Users\Toshiba\AppData\Local\Temp\userenv.dll moved successfully.

C:\Users\Toshiba\AppData\Local\Temp\uxtheme.dll moved successfully.

C:\Users\Toshiba\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IBGT9QC6\fastbutton[1].htm moved successfully.

C:\Users\Toshiba\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CTURZQNQ\13737-проблем-с-антивирусната[1].htm moved successfully.

Registry entries deleted on Reboot...

[Night_Raven]

А пресните нови дневници от OTL?

[AnnaPetkova]

Ето и това, само че този път се появи само OTL.txt без Extras.txt

OTL.Txt

[Night_Raven]

Така е по-добре, но все още има останки.

 

Стартирай отново OTL. В празното поле "Custom Scans/Fixes" (в долната част на програмата) постави следния текст (маркирай го, натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):

 

:OTL
O4 - HKLM..\Run: [ygndozhovg] ymzvmdreripszjax.exe File not found
O4 - HKLM..\Run: [ymzvmdreripszjax] C:\Users\Toshiba\AppData\Local\Temp\bumnjfyqieqykzvxrxoof.exe File not found
O4 - HKU\S-1-5-21-1960613436-305601458-1855942675-1000..\Run: [pakdrfqakyccg] oetrkdtixqzenzsril.exe File not found
O4 - HKU\S-1-5-21-1960613436-305601458-1855942675-1000..\Run: [ygndozhovg] C:\Users\Toshiba\AppData\Local\Temp\bumnjfyqieqykzvxrxoof.exe File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: qajbobludqts = bumnjfyqieqykzvxrxoof.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: fmshrbiou = C:\Users\Toshiba\AppData\Local\Temp\bumnjfyqieqykzvxrxoof.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-21-1960613436-305601458-1855942675-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-21-1960613436-305601458-1855942675-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
[2011.09.28 21:48:44 | 000,000,280 | -H-- | C] () -- C:\Windows\System32\ggfnqttsruncvruderpwuutb.hhg
[2011.09.28 21:48:44 | 000,000,280 | -H-- | C] () -- C:\Windows\ggfnqttsruncvruderpwuutb.hhg
[2011.09.28 21:48:44 | 000,000,280 | -H-- | C] () -- C:\Users\Toshiba\AppData\Local\ggfnqttsruncvruderpwuutb.hhg
[2011.09.28 21:48:44 | 000,000,280 | -H-- | C] () -- C:\Program Files\ggfnqttsruncvruderpwuutb.hhg
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System]
"ConsentPromptBehaviorAdmin" = DWORD:2
"ConsentPromptBehaviorUser" = DWORD:1
"EnableInstallerDetection" = DWORD:1
"EnableLUA" = DWORD:1
"EnableSecureUIAPaths" = DWORD:1
"EnableVirtualization" = DWORD:1
"PromptOnSecureDesktop" = DWORD:1
:Commands
[emptytemp]
[reboot]

Копирай текста точно както е в полето. Внимавай да не изтървеш началното двуеточие и всяка команда да е на отделен ред, както е в полето.

 

Кликни бутон Run Fix. Потвърди с OK на съобщението, че е нужен рестарт на системата.

 

След рестарта ще се появи текстов дневник/лог. Същият файл се намира в C:\_OTL\MovedFiles. Моля, прикачи го към следващия си коментар.

 

След това стартирай отново OTL, създай пресни дневници (както бях описал по-рано) и ги прикачи отново. Можеш да архивираш всичките файлове в един архив, а можеш и да ги прикачиш поотделно.

[AnnaPetkova]

Ето log файла

 

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ygndozhovg deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ymzvmdreripszjax deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1960613436-305601458-1855942675-1000\Software\Microsoft\Windows\CurrentVersion\Run\\pakdrfqakyccg deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1960613436-305601458-1855942675-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ygndozhovg deleted successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Low Rights\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\qajbobludqts deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\fmshrbiou deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.

Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr not found.

Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools not found.

Registry value HKEY_USERS\S-1-5-21-1960613436-305601458-1855942675-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1960613436-305601458-1855942675-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.

C:\Windows\System32\ggfnqttsruncvruderpwuutb.hhg moved successfully.

C:\Windows\ggfnqttsruncvruderpwuutb.hhg moved successfully.

C:\Users\Toshiba\AppData\Local\ggfnqttsruncvruderpwuutb.hhg moved successfully.

C:\Program Files\ggfnqttsruncvruderpwuutb.hhg moved successfully.

========== REGISTRY ==========

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"ConsentPromptBehaviorAdmin" | DWORD:2 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"ConsentPromptBehaviorUser" | DWORD:1 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"EnableInstallerDetection" | DWORD:1 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"EnableLUA" | DWORD:1 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"EnableSecureUIAPaths" | DWORD:1 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"EnableVirtualization" | DWORD:1 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\"PromptOnSecureDesktop" | DWORD:1 /E : value set successfully!

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

User: Toshiba

->Temp folder emptied: 35166216 bytes

->Temporary Internet Files folder emptied: 3724984 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Google Chrome cache emptied: 0 bytes

->Flash cache emptied: 672 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 4062 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 37,00 mb

 

 

OTL by OldTimer - Version 3.2.29.1 log created on 09292011_090010

Files\Folders moved on Reboot...

C:\Users\Toshiba\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KXRTZJ87\13737-проблем-с-антивирусната[1].htm moved successfully.

C:\Users\Toshiba\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EC8KZR9V\fastbutton[1].htm moved successfully.

Registry entries deleted on Reboot...

 

А ето и пресните дневници

OTL.Txt

[valyo_93]

ако имаш време бих искал да ми обясниш как работи програмата защо се копира текста и наи вече какво да търся в прикачените фаилове благодаря ти.

[Night_Raven]

anichka_p, в момента User Account Control работи ли нормално? Ако не, ти ли я спираш или тя сама се изключва?

 

Изтегли TDSSKiller и:

- разархивирай архива на удобно място;

- стартирай TDSSKiller.exe;

- кликни Change paramteres, в долната секция Additional options постави отметки на Verify driver digital signatures и Detect TDLFS file system и потвърди с OK;

- кликни бутон Start scan и изчакай да се извърши сканирането;

- ако не бъдат открити заплахи, просто кликни Close;

- ако бъдат открити подозрителни обекти, кликни Continue и след това Close;

- ако бъдат открити зловредни обекти, се увери, че от падащите менюта е избрана опцята Cure, кликни Continue и след това Reboot computer;

- в дял C: ще се създаде текстов файл дневник от сканирането (името му започва с TDSSKiller), копирай му съдържанието в следващия си коментар.

 

valyo_93, това не е програма, която се обяснява с няколко изречения. Особено пък какво се търси в създадените дневници. Най-общо казано: търсят се обекти, които не трябва да съществуват във формата, в която съществуват, или не трябва да са там въобще. Това обаче идва с опит и не може да се обобщи просто така.

Ако имаш някакъв проблем със зловреден код, си създай отделна тема.

[AnnaPetkova]

За User Account Control не мога да ти кажа нищо (дори не знам какво е).

А това е log файла от TDSSKiller

 

Намерих за User Account Control в Control Panel и е изключена. Аз нищо не съм пипала, така че сигурно сама спира. Трябва ли да я включа. Между другото при стартиране на Windows започнаха да ми се появяват следните грешки: "Vista Registration has stopped working", "Toshiba online product has stopped working" и "TOPI.exe Application Error"

TDSSKiller.2.6.2.0_29.09.2011_15.18.05_log.txt

[Night_Raven]

Нещо гадинката май упорито отказва да се премахне.

 

Изтегли ESET Online Scanner и го запази на удобно място. Стартирай инсталацията, постави отметка на YES, I accept the Terms of Use и кликни Start. Премахни отметката пред Remove found threats, кликни Advanced settings и добави отметки пред Scan archives и Scan for potentially unsafe applications. Кликни бутон Star и изчакай да приключи сканирането. След като то приключи кликни бутон Finish. В папка C:Program FilesESETESET Online Scanner трябва да имаш файл log.txt. Моля, копирай съдържанието му в следващия си коментар или го прикачи.