РЕШЕН Проблем с вируси

[pranjev]

Здравейте, Kaspersky ми засича вируси:

Trojan.Win32.Genome.gpqx

Backdoor.Win32.Ruski.qfr

Trojan.Win32.Tedroo.cjy

Trojan-Ransom.Win32.PornoAset.bthd

Heur:Trojan.Win32.Generic

Trojan.Win32.Genome.aigtc

и се опитва да ги изтрие или дезифенктира но се появяват непрекъснато

Това СА лог файловете на програмата DDS:

dds.log:

DDS (Ver_2011-09-30.01) - NTFS_x86
Internet Explorer: 6.0.2900.5512
Run by Spunki at 17:44:41 on 2013-02-20
Microsoft Windows XP Professional 5.1.2600.3.1251.359.1033.18.2047.1367 [GMT 2:00]
.
AV: Kaspersky Internet Security *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *Disabled*
.
============== Running Processes ================
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ZSSnp211.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Domino.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\svchost.exe -k imgsvc
.
============== Pseudo HJT Report ===============
.
BHO: IDM integration (IDMIEHlprObj Class): {0055C089-8582-441B-A0BF-17B458C2A3A8} - c:\program files\internet download manager\IDMIECC.dll
BHO: Skype add-on (mastermind): {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - c:\program files\skype\toolbars\internet explorer\SkypeIEPlugin.dll
BHO: Content Blocker Plugin: {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} - c:\program files\kaspersky lab\kaspersky internet security 2013\ieext\contentblocker\ie_content_blocker_plugin.dll
BHO: Virtual Keyboard Plugin: {73455575-E40C-433C-9784-C78DC7761455} - c:\program files\kaspersky lab\kaspersky internet security 2013\ieext\virtualkeyboard\ie_virtual_keyboard_plugin.dll
BHO: Safe Money Plugin: {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - c:\program files\kaspersky lab\kaspersky internet security 2013\ieext\onlinebanking\online_banking_bho.dll
BHO: URL Advisor Plugin: {E33CF602-D945-461A-83F0-819F76A199F8} - c:\program files\kaspersky lab\kaspersky internet security 2013\ieext\urladvisor\klwtbbho.dll
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [skype] "c:\program files\skype\phone\Skype.exe" /nosplash /minimized
mRun: [startCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [NVRaidService] c:\windows\system32\nvraidservice.exe
mRun: [soundMan] SOUNDMAN.EXE
mRun: [AVP] "c:\program files\kaspersky lab\kaspersky internet security 2013\avp.exe"
mRun: [ZSSnp211] c:\windows\ZSSnp211.exe
mRun: [Domino] c:\windows\Domino.exe
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
uPolicies-Explorer: NoDriveTypeAutoRun = dword:255
mPolicies-Explorer: NoDriveTypeAutoRun = dword:255
mPolicies-Explorer: NoDriveTypeAutoRun = dword:145
IE: Свали всички линкове с IDM - c:\program files\internet download manager\IEGetAll.htm
IE: Свали с IDM - c:\program files\internet download manager\IEExt.htm
IE: {0C4CC089-D306-440D-9772-464E226F6539} - {0BA14598-4178-4CE5-B1F1-B5C6408A3F2E} - c:\program files\kaspersky lab\kaspersky internet security 2013\ieext\virtualkeyboard\ie_virtual_keyboard_plugin.dll
IE: {77BF5300-1474-4EC7-9980-D32B190E9B07} - {77BF5300-1474-4EC7-9980-D32B190E9B07} - c:\program files\skype\toolbars\internet explorer\SkypeIEPlugin.dll
IE: {CCF151D8-D089-449F-A5A4-D9909053F20F} - {CCF151D8-D089-449F-A5A4-D9909053F20F} - c:\program files\kaspersky lab\kaspersky internet security 2013\ieext\urladvisor\klwtbbho.dll
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\program files\common files\skype\Skype4COM.dll
Notify: AtiExtEvent - Ati2evxx.dll
Notify: klogon - c:\windows\system32\klogon.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\documents and settings\spunki\application data\mozilla\firefox\profiles\nqw4si20.default\
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_5_502_146.dll
.
============= SERVICES / DRIVERS ===============
.
R0 kl1;kl1;c:\windows\system32\drivers\kl1.sys [2012-6-19 136024]
R1 IDMTDI;IDMTDI;c:\windows\system32\drivers\idmtdi.sys [2012-11-21 112480]
R1 KLIF;Kaspersky Lab Driver;c:\windows\system32\drivers\klif.sys [2013-1-6 586584]
R1 kltdi;kltdi;c:\windows\system32\drivers\kltdi.sys [2012-6-8 43608]
R1 kneps;kneps;c:\windows\system32\drivers\kneps.sys [2012-8-13 144344]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2012-6-27 35672]
R3 klkbdflt;Kaspersky Lab KLKBDFLT;c:\windows\system32\drivers\klkbdflt.sys [2012-5-25 24408]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [2012-7-25 24920]
S2 AVP;Kaspersky Anti-Virus Service;c:\program files\kaspersky lab\kaspersky internet security 2013\avp.exe [2012-8-17 356376]
.
=============== Created Last 30 ================
.
2013-02-19 18:06:55 -------- d-----w- c:\documents and settings\all users\CyberLink
2013-02-19 18:06:02 -------- d-----w- c:\documents and settings\spunki\local settings\application data\Xenocode
2013-01-29 17:16:34 74248 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-01-29 17:16:34 697864 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-01-23 18:38:16 -------- d-----w- c:\documents and settings\spunki\local settings\application data\Google
.
==================== Find3M ====================
.
2013-01-06 20:56:09 43608 ----a-w- c:\windows\system32\drivers\kltdi.sys
2013-01-06 20:56:07 24920 ----a-w- c:\windows\system32\drivers\klmouflt.sys
2013-01-06 20:56:07 24408 ----a-w- c:\windows\system32\drivers\klkbdflt.sys
2013-01-06 16:27:23 0 ----a-w- c:\windows\ativpsrm.bin
.
============= FINISH: 17:45:06.50 ===============

attach.txt:

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-09-30.01)
.
Microsoft Windows XP Professional
Boot Device: \Device\HarddiskVolume1
Install Date: 06.1.2013 г. 17:24:30
System Uptime: 20.2.2013 г. 14:52:51 (3 hours ago)
.
Motherboard: | | K8Upgrade-NF3
Processor: AMD Sempron™ Processor 2600+ | CPUSocket | 1607/200mhz
.
==== Disk Partitions =========================
.
A: is Removable
C: is FIXED (NTFS) - 20 GiB total, 12,763 GiB free.
D: is FIXED (NTFS) - 65 GiB total, 56,099 GiB free.
E: is FIXED (NTFS) - 65 GiB total, 64,045 GiB free.
F: is FIXED (NTFS) - 93 GiB total, 50,688 GiB free.
G: is FIXED (NTFS) - 93 GiB total, 93,087 GiB free.
H: is CDROM ()
.
==== Disabled Device Manager Items =============
.
Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Realtek RTL8139 Family PCI Fast Ethernet NIC
Device ID: PCI\VEN_10EC&DEV_8139&SUBSYS_813910EC&REV_10\4&22775069&0&4070
Manufacturer: Realtek
Name: Realtek RTL8139 Family PCI Fast Ethernet NIC #2
PNP Device ID: PCI\VEN_10EC&DEV_8139&SUBSYS_813910EC&REV_10\4&22775069&0&4070
Service: rtl8139
.
==== System Restore Points ===================
.
RP1: 06.1.2013 г. 17:52:45 - System Checkpoint
RP2: 06.1.2013 г. 18:25:50 - Installed ATI Catalyst Control Center
RP3: 06.1.2013 г. 19:47:16 - Installed Athlon 64 Processor Driver
RP4: 06.1.2013 г. 19:47:48 - Installed Realtek AC'97 Audio
RP5: 06.1.2013 г. 19:51:23 - First Restore Point
RP6: 06.1.2013 г. 20:27:58 - Installed Bulgarian (Phonetic) - Huku
RP7: 06.1.2013 г. 20:28:37 - Installed Пакет за езиков интерфейс на Windows
RP8: 06.1.2013 г. 21:28:05 - Installed Microsoft Fix it 50471
RP9: 06.1.2013 г. 22:12:45 - Before uninstalling mIRC
RP10: 06.1.2013 г. 22:56:46 - First Restore Point
RP11: 06.1.2013 г. 22:57:29 - First Restore Point
RP12: 07.1.2013 г. 19:01:48 - Installed Windows Media Format 9 Series Runtime Setup
RP13: 07.1.2013 г. 22:49:35 - Актуализация с неподписан драйвер
RP14: 08.1.2013 г. 23:06:31 - Before uninstalling Opera 12.12
RP15: 10.1.2013 г. 21:30:58 - Контролна точка на системата
RP16: 11.1.2013 г. 23:04:34 - Контролна точка на системата
RP17: 12.1.2013 г. 23:01:49 - Before uninstalling Mozilla Maintenance Service
RP18: 12.1.2013 г. 23:04:06 - Before uninstalling Mozilla Firefox 16.0.2 (x86 bg)
RP19: 13.1.2013 г. 01:53:26 - Before uninstalling Mozilla Maintenance Service
RP20: 13.1.2013 г. 01:54:00 - Before uninstalling Mozilla Firefox 14.0.1 (x86 bg)
RP21: 14.1.2013 г. 21:17:54 - Контролна точка на системата
RP22: 15.1.2013 г. 22:35:25 - Контролна точка на системата
RP23: 16.1.2013 г. 18:03:44 - Before uninstalling Mozilla Maintenance Service
RP24: 16.1.2013 г. 18:21:21 - Before uninstalling Adobe Flash Player 11 Plugin
RP25: 17.1.2013 г. 20:18:10 - Контролна точка на системата
RP26: 18.1.2013 г. 23:31:56 - Контролна точка на системата
RP27: 20.1.2013 г. 10:41:44 - Контролна точка на системата
RP28: 21.1.2013 г. 19:35:19 - Контролна точка на системата
RP29: 22.1.2013 г. 19:40:49 - Контролна точка на системата
RP30: 23.1.2013 г. 08:42:21 - Before uninstalling Mozilla Firefox 12.0 (x86 bg)
RP31: 24.1.2013 г. 23:09:05 - Контролна точка на системата
RP32: 26.1.2013 г. 11:29:58 - Контролна точка на системата
RP33: 27.1.2013 г. 14:40:51 - Контролна точка на системата
RP34: 28.1.2013 г. 15:19:00 - Контролна точка на системата
RP35: 29.1.2013 г. 16:39:46 - Контролна точка на системата
RP36: 29.1.2013 г. 18:43:27 - Before uninstalling Mozilla Maintenance Service
RP37: 29.1.2013 г. 18:44:02 - Before uninstalling Adobe Flash Player 11 Plugin
RP38: 30.1.2013 г. 20:15:54 - Контролна точка на системата
RP39: 31.1.2013 г. 21:56:29 - Контролна точка на системата
RP40: 01.2.2013 г. 23:23:13 - Контролна точка на системата
RP41: 03.2.2013 г. 19:39:11 - Контролна точка на системата
RP42: 04.2.2013 г. 20:26:54 - Контролна точка на системата
RP43: 05.2.2013 г. 21:07:46 - Контролна точка на системата
RP44: 07.2.2013 г. 01:31:53 - Контролна точка на системата
RP45: 08.2.2013 г. 20:02:20 - Контролна точка на системата
RP46: 09.2.2013 г. 20:52:01 - Контролна точка на системата
RP47: 12.2.2013 г. 14:30:45 - Контролна точка на системата
RP48: 13.2.2013 г. 18:21:14 - Контролна точка на системата
RP49: 16.2.2013 г. 17:18:42 - Контролна точка на системата
RP50: 19.2.2013 г. 18:42:05 - Контролна точка на системата
.
==== Installed Programs ======================
.
Архиватор WinRAR
µTorrent
Пакет за езиков интерфейс на Windows
AdFender
Adobe Flash Player 11 Plugin
Athlon 64 Processor Driver
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
BSPlayer
Bulgarian (Phonetic) - Huku
Catalyst Control Center - Branding
Catalyst Control Center Core Implementation
Catalyst Control Center Graphics Full Existing
Catalyst Control Center Graphics Full New
Catalyst Control Center Graphics Light
Catalyst Control Center Graphics Previews Common
Catalyst Control Center HydraVision Full
Catalyst Control Center Localization All
ccc-core-preinstall
ccc-core-static
ccc-utility
CCC Help Chinese Standard
CCC Help Chinese Traditional
CCC Help Czech
CCC Help Danish
CCC Help Dutch
CCC Help English
CCC Help Finnish
CCC Help French
CCC Help German
CCC Help Greek
CCC Help Hungarian
CCC Help Italian
CCC Help Japanese
CCC Help Korean
CCC Help Norwegian
CCC Help Polish
CCC Help Portuguese
CCC Help Russian
CCC Help Spanish
CCC Help Swedish
CCC Help Thai
CCC Help Turkish
Internet Download Manager
K-Lite Mega Codec Pack 7.6.0
Kaspersky Internet Security 2013
Microsoft .NET Framework 2.0
mIRC
Mozilla Firefox 18.0.1 (x86 bg)
NVIDIA Drivers
Opera 11.01
Realtek AC'97 Audio
Skins
Skype™ 3.8
Streamripper (Remove only)
TeraCopy 2.12
Total Screen Recorder Gold 1.5
Unlocker 1.9.0
WebFldrs XP
.
==== End Of File ===========================

Моля за помощ.

Благодаря.

[s.feradov]

Здравейте,

 

Изтеглете Malwarebytes' Anti-Malware Free.

• Стартирайте инсталационния файл и инсталирайте програмата.
  
• Уверете се, че са поставени отметки пред Update Malwarebytes' Anti-Malware и Launch Malwarebytes'Anti-Malware.
  
• Програмата ще изтегли и инсталира автоматично наличните обновявания.
  
• Стартирайте програмата.
  
• Изберете Perform Quick Scan -> Scan.
  
• След края на сканирането, натиснете бутон OK
  
• Натиснете бутона Show Results, за да видите резултата от сканирането.
  
• Уверете се, че има отметки на всеки ред.
  
• Натиснете бутона Remove Selected.

В Notepad ще бъде отворен log-файл. Моля, прикачете файла към следващия Ви коментар.

 

Забележка: MalwareBytes' Anti-Malware може да поиска да рестартира Вашата система. При подобно запитване от страна на програмата се съгласете и позволете рестартирането на системата.

[pranjev]

Изпълних стъпките и изтрих всички маркирани обекти. Това е лога, нямам представа защо на руски се появи:

 

 

Malwarebytes Anti-Malware (PRO) 1.70.0.1100

www.malwarebytes.org

 

Версия базы данных: v2013.02.21.10

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 6.0.2900.5512

Spunki :: SPUNKI-92E9AAFC [администратор]

 

Защитный модуль : Отключен

 

2/21/2013 22:40:32

mbam-log-2013-02-21 (22-40-32).txt

 

Тип сканирования: Быстрое сканирование

Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM

Опции сканирования отключены: P2P

Просканированные объекты: 183492

Времени прошло: 9 минут , 40 секунд

 

Обнаруженные процессы в памяти: 0

(Вредоносных программ не обнаружено)

 

Обнаруженные модули в памяти: 0

(Вредоносных программ не обнаружено)

 

Обнаруженные ключи в реестре: 0

(Вредоносных программ не обнаружено)

 

Обнаруженные параметры в реестре: 0

(Вредоносных программ не обнаружено)

 

Объекты реестра обнаружены: 3

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.

 

Обнаруженные папки: 1

C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> Помещено в карантин и успешно удалено.

 

Обнаруженные файлы: 1

C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> Помещено в карантин и успешно удалено.

 

(конец)

[s.feradov]

Изтеглете OTL

• 
  
• Запазете файла на Вашия десктоп.
  
• Стартирайте инструмента.
  
• Уверете се, че процесът на сканиране няма да бъде прекъснат.
  
• В главния прозорец на програмата сложете отметка пред Scan All Users.
  
• В полето Standart Registry изберете All.
  
• Сложете отметки пред LOP Check и Purity Check.
  
• От падащото меню File Age изберете 90 days.
  
• Уверете се, че има отметкa пред Skip Microsoft Files.
  
• В полето Custom Scans/Fixes поставете следния текст:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%USERPROFILE%\*.*
%USERPROFILE%\Application Data\*.*
%USERPROFILE%\Application Data\*.
%USERPROFILE%\Local Settings\*.*
%USERPROFILE%\Local Settings\temp\*.exe
%USERPROFILE%\Local Settings\Temporary Internet Files\*.exe
%USERPROFILE%\Local Settings\Application Data\*.*
%AllUsersProfile%\*.*
%AllUsersProfile%\Application Data\*.*
%AllUsersProfile%\Application Data\*.
%AllUsersProfile%\Application Data\Local Settings\*.*
%AllUsersProfile%\Application Data\Local Settings\Temp\*.exe
%ALLUSERSPROFILE%\Documents\My Music\*.exe
%ALLUSERSPROFILE%\Documents\My Pictures\*.exe
%ALLUSERSPROFILE%\Documents\My Videos\*.exe
%ALLUSERSPROFILE%\Documents\*.exe
%USERPROFILE%\My Documents\*.*
%CommonProgramFiles%\*.*
%CommonProgramFiles%\ComObjects*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
%systemroot%\system32\config\systemprofile\*.*
%systemroot%\system32\config\systemprofile\Application Data\*.*
%systemroot%\system32\config\systemprofile\\Local Settings\*.*
%systemroot%\system32\config\systemprofile\\Local Settings\Application Data\*.*
%systemroot%\system32\config\systemprofile\\Local Settings\Temp\*.exe
%systemroot%\system32\config\systemprofile\\Local Settings\Temporary Internet Files\*.exe
C:\Documents and Settings\LocalService\Application Data\*.*
C:\Documents and Settings\LocalService\Local Settings\Application Data\*.*
C:\Documents and Settings\LocalService\Local Settings\temp\*.exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\*.exe
C:\Documents and Settings\LocalService\Local Settings\*.*
C:\Documents and Settings\LocalService\*.*
C:\Documents and Settings\NetworkService\Application Data\*.*
C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.*
C:\Documents and Settings\NetworkService\Local Settings\temp\*.exe
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\*.exe
C:\Documents and Settings\NetworkService\Local Settings\*.*
C:\Documents and Settings\NetworkService\*.*
%windir%\temp\*.exe
%windir%\*.
%windir%\installer\*.
%windir%\system32\*.
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%Temp%\smtmp\3\*.*
%Temp%\smtmp\4\*.*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\Spool\prtprocs\w32x86\*.dll
%systemroot%\*. /rp /s
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\temp\*.* /S /MD5
%systemroot%\assembly\GAC\*.ini
%systemroot%\assembly\GAC_32\*.ini
%SystemRoot%\assembly\GAC_MSIL\*.ini
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CURRENT_USER\Software\MSOLoad /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
consrv.dll
services.exe
svchost.exe
explorer.exe
userinit.exe
winlogon.exe
smss.exe
lsass.exe
atapi.sys
iaStor.sys
serial.sys
disk.sys
volsnap.sys
redbook.sys
i8042prt.sys
afd.sys
netbt.sys
tcpip.sys
ipsec.sys
hlp.dat
str.sys
crexv.ocx
/md5stop

Копирайте кода точно както е даден. Уверете се, че всяка от командите е на нов ред, както е в полето.

 

Натиснете бутона Run Scan. Ще започне сканиране, което няма да продължи дълго.Когато сканирането приключи автоматично ще се отворят два Notepad log-файла - OTL.txt и Extras.txt.

 

Моля, прикачете тези два файла към следващия Ви коментар.

[Night_Raven]

Само да вмъкна едно въпросче: да не би да се използвал някаква кретенска кракната портативна руска версия на Malwarebytes Anti-Malware?

[pranjev]

Да, точно такава изтеглих от някакъв сайт поради причината че компютъра ми е по-слаб и като инсталирам и нея заедно с Касперски и се товари и става бавен много. Ако трябва да я изтегля от линка и да я инсталирам и да пусна сканирането отново?

 

Това са логовете на OTL:

 

И нещо друго: Касперски непрекъснато ми изписва съобщение че е блокирал сваляне на опасен обект от някакъв опасен адрес (май фишинг) състоящ се от числа само - htttp://146.185.246.86/ а аз на компютъра нищо не съм му дал да сваля.

Extras.Txt

OTL.Txt

[Night_Raven]

Да, моля, изтегли я от линка и сканирай отново.

[pranjev]

Изтеглих от линка на s.feradov Malwarebytes Anti-Malware и го инсталирах и сканирах отново. Това е лога:

 

 

Malwarebytes Anti-Malware (Пробна версия) 1.70.0.1100

www.malwarebytes.org

 

Версия на базата от данни: v2013.02.22.01

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 6.0.2900.5512

Spunki :: SPUNKI-92E9AAFC [администратор]

 

Защита: включена

 

2/22/2013 15:46:51

mbam-log-2013-02-22 (15-46-51).txt

 

Тип сканиране: Бързо сканиране

Включени опции за сканиране: Памет | Автоматично зареждане | Системен регистър | Файлова система | Евристики/Допълнителни | Евристики/Shuriken | PUP | PUM

Изключени опции за сканиране: P2P

Сканирани обекти: 183512

Изминало време: 7 минута(и), 32 секунда(и)

 

Открити процеси в паметта: 0

(Не бяха открити зловредни обекти)

 

Открити модули в паметта: 0

(Не бяха открити зловредни обекти)

 

Открити ключове в системния регистър: 0

(Не бяха открити зловредни обекти)

 

Открити стойности в системния регистър: 0

(Не бяха открити зловредни обекти)

 

Открити информационни обекти в системния регистър: 0

(Не бяха открити зловредни обекти)

 

Открити папки: 0

(Не бяха открити зловредни обекти)

 

Открити файлове: 0

(Не бяха открити зловредни обекти)

 

(край)

[pranjev]

Това ли беше всичко?

[s.feradov]

Нека направим още няколко проверки на системата.

 

Изтеглете ESET Online Scanner

• Стартирайте esetsmartinstaller_enu.exe
  
• Сложете отметка пред YES, I accept the Terms of
  
• Натиснете бутона Start. Инструментът ще започне да изтегля необходимите му компоненти.
  
• Уверете се, че има отметки пред следните редове, включително и тези от менюто Advanced Settings:

Scan archives
Scan for potentially unwanted applications
Scan for potentially unsafe applications
Enable Anti-Stealth technology

• Натиснете бутона Start.
  
• Не слагайте отметка пред Remove found threats.
  
• Инструментът ще започне да изтегля последните дефиниции.
  
• След като сканирането завърши натиснете бутона Finish.

Намерете директорията C:\Program Files\ESET\ESET Online Scanner

Прикачете файла log.txt към следващия Ви коментар.

[pranjev]

Изтеглих ESET Online Scanner и го пуснах да сканира, като преди това сложих отметки там където сте ми посочили. Докато сканираше Касперски отново засече вируси, същите заради които отворих темата или по-точно всичко се повтори отначало засече ги и се опита да ги дезифенктира или изтрие. Това е което успях да препиша от отчетите му. В тази папка C:\Document and Settings\NetworkService\Local Settings\Temporary Internet Files непрекъснато ми засича и открива вируси, ето тези:

 

 

C:\Document and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4LIF4XIZ\x[1]

 

C:\Document and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WHI30HMV\x[1]

 

C:\Document and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W9M7SPAV\x[1]

 

C:\Document and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5

 

Backdoor.Win32.IRCBot.ghj

 

Trojan.Win32.Genome.aigtc

 

Trojan.Win32.Genome.adqru

 

А това е лога на ЕSET Online Scanner:

log.txt

[s.feradov]

Като за начало, изтеглете и инсталирайте на Вашата система Internet Explorer 8, тъй като към момента използвате Internet Explorer 6, която е стара и компроментираща сигурността версия на съответния софтуер.

 

След това:

 

 

 

Стъпка 1

Изтеглете TFC

• Запазете файла на Вашия десктоп.
  
• Стартирайте TFC.exe.
  
• Натиснете бутона Start за да започне процеса на почистване.
  

Забележка: TFC ще прекрати работата на софтуера, работещ в дадения момент. Също така е възможно инструментът да поиска рестартиране на системата.

 

 

 

Стъпка 2

 

Изтеглете AdwCleaner

• Запазете файла на Вашия десктоп.
  
• Спрете работата на всички програми и браузъри.
  
• Стартирайте инструмента.
  
• Изберете бутон Delete.
  
• Вашата система ще се рестартира автоматично.
  

Моля, прикачете log-файла, създаден от инструмента, в следващия Ви коментар.

 

Log-файлът е наименован AdwCleaner[s1].txt и се намира в следната директория:

C:\

 

 

Стъпка 3

 

Изтеглете JRT

• Запазете файла на Вашия десктоп.
  

Спрете временно работата на всички приложения, включително и на защитните програми, които са инсталирани на системата.

• Стартирайте JRT.exe.
  
• При новопоявилия се прозорец, натиснете който и да е клавиш от клавиатурата.
  
• Инструментът ще сканира системата.
  
• След края на процеса, ще се създаде log-файл с наименования JRT.txt
  

Моля, прикачете този файл към следващия Ви коментар.

[pranjev]

Аз Internet Explorer 6 не го използвам изобщо на този компютър. Няколко пъти съм инсталирал Internet Explorer 8, и след това незнам защо самия браузър започваше да забива, и както си работеше изведнъж ми се появяваше съобщение че трябва да бъде затворен и от тогава на този компютър спрях да го използвам. Имам инсталирана Opera и също така ползвам Mozilla Firefox, която в момента ми е деинсталирана - сменявам версията, и изчаквам да разрешим проблемите с вирусите, и тогава ще инсталирам друга версия. И освен тях използвам и Google Chrome Portable, така че Internet Explorer 6 не го използвам изобщо.

 

Това са логовете на AdwCleaner и JRT:

AdwCleanerS1.txt

JRT.txt

[pranjev]

Няколко минути след като написах този коментар касперски отново засече вирус Net-Worm.Win32.ih пак в тези същите папки само че накрая завършва на \OHABKXUB\bclp[1].gif

[s.feradov]

Изпълнете следното:

 

Стъпка 1

• Меню Start -> Run -> Въведете inetcpl.cpl -> Натиснете Enter.
  
• В новопоявилия се прозорец изберете бутон Settings, намиращ се в раздел Browsing history.
  
• В новопоявилия се прозорец изберете бутон View Files.
  
• Ще се отвори директория, в която ще се намира папката, в която е локализиран засеченият файл.
  

Моля, архивирайте въпросната папка, качете я на избран от Вас хостинг и предоставете линк за изтегляне на файла.

 

 

Стъпка 2

 

 

Изтеглете SecurityCheck.

• Запазете файла на Вашия десктоп.
  
• Стартирайте инструмента.
  
• Следвайте инструкциите, показани в новопоявилия се прозорец.
  
• Ще се създаде log-файл – checkup.txt, който ще се отвори автоматично.
  

Моля, прикачете въпросния файл към следващия Ви коментар.