Диспечера ми е забранен от администратора показва това:

Здравейте!Изпълнете препоръките от темата: Системата ми е инфектирана - Какво да правя сега? (само т.3 и т.4)..!

Неможе ли просто да ми кажете от каде да вляза в администратора и да го оправя?Мисля,че това само е нужно по-този проблем.

Не е това! Изпълнявай каквото ти казват!

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Версия на базата от данни: 4364

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

29.7.2010 г. 00:55:15

mbam-log-2010-07-29 (00-55-15).txt

Тип сканиране: Бързо сканиране

Сканирани обекти: 133585

Изминало време: 11 минута(и), 22 секунда(и)

Заразени процеси в паметта: 1

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 1

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 5

Заразени папки: 0

Заразени файлове: 3

Заразени процеси в паметта:

C:\Documents and Settings\RUMEN\Local Settings\Temp\winqjjnk.exe (Trojan.Pramro) -> Unloaded process successfully.

Заразени модули в паметта:

(Не бяха открити зловредни обекти)

Заразени ключове в регистратурата:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.

Заразени стойности в регистратурата:

(Не бяха открити зловредни обекти)

Заразени информационни обекти в регистратурата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заразени папки:

(Не бяха открити зловредни обекти)

Заразени файлове:

C:\Documents and Settings\RUMEN\Local Settings\Temp\winqjjnk.exe (Trojan.Pramro) -> Quarantined and deleted successfully.

C:\autorun.inf (Malware.Packer.Gen) -> Delete on reboot.

C:\feqdg.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 00:57:29, on 29.7.2010 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\DNA\btdna.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\Datecs\Flex2K.exe

C:\Program Files\SpeedFan\speedfan.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\DOCUME~1\RUMEN\LOCALS~1\Temp\winkuoyec.exe

C:\DOCUME~1\RUMEN\LOCALS~1\Temp\krikbo.exe

C:\DOCUME~1\RUMEN\LOCALS~1\Temp\w70126.exe

C:\Documents and Settings\RUMEN\My Documents\Downloads\xxd\Kaldata.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.bg/firefox

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s

R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing)

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing)

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll (file missing)

O2 - BHO: Mario Forever Toolbar Helper - {A20854FD-DDB5-4931-8F76-D11EA2364D94} - C:\Program Files\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll (file missing)

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing)

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll (file missing)

O3 - Toolbar: Mario Forever Toolbar - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - C:\Program Files\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll (file missing)

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll (file missing)

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing)

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll (file missing)

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing)

O4 - HKLM\..\Run: [bigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [bitTorrent DNA] "C:\Program Files\DNA\btdna.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe

O4 - Global Startup: FlexType 2K.lnk = C:\WINDOWS\Datecs\Flex2K.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O8 - Extra context menu item: Е&кспортирай в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe (file missing)

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/RUMEN/LOCALS~1/Temp/msohtml1/01/clip_image001.gif

--

End of file - 7432 bytes

ДАНО ДА Е ТОВА!!

Здравейте!Вашата система е поразена с файлов вирус Sality....борбата срещу него е почти загубена кауза.....Съжалявам но при вас решението е преинсталиране на ОС.....!Успех..!

п.п. всъщност аз на няколко пъти съм използвал една методика ...но тя не гарантира сигурно изчистване на вируса....!Ако имате желание и нагласата за изпълнение на точни инструкции може да пробваме....!

Възможно ли е от това да ми прави следните проблеми:

(екрана става черен и трябва да давам рестатр,някой път сам се ресва,забива и мишката може да се мърда само на ляво и дясно и след това се рестартира,някой път се появява син екран,някои интернет страници ми прекъсват и ми показва ,че Сървърът е претоварен (не е от това) после пише,че е от защитната стена (не е от това) а после пише да проверя хардуера на компютъра според мен е от това!!

Може да опитаме !! Дано да мога да се справя.

Редактирано 29 юли 201015 г. от Power. (преглед на промените)

Предлагам да опитаме стъпка по стъпка..:

1.Ще направим едно сканиране с Dr.Web LiveCD .Ще се изчистят заразените и подозрителните файлове и освен това ще се възстанови работоспособноста на системата.Единственото условие е процедурата по изтегляне и запис на .iso (образа) на диска да се извърши на чист компютър.

Директен линк за изтегляне на образа

След всичко това ще продължим с втората стъпка..Успех!

Пропуснах ...подгответе си и следния софтуер - също изтеглен и записан на CD на чиста машина..:

1.SalityKiller

2.Sality_RegKeys.zip

3.AVZ - 4.34

4.ATF Cleaner

Скоро ще ги запиша от чиста машина може да се забавя малко,когато ги запиша ще продължим.

И Dr.Web LiveCD ли да запиша на диск?

Редактирано 29 юли 201015 г. от Power. (преглед на промените)

Скоро ще ги запиша от чиста машина може да се забавя малко,когато ги запиша ще продължим.

И Dr.Web LiveCD ли да запиша на диск?

Да....на отделен диск и софтуера на друг диск.....малко играчка но аз ви предупредих...

Когато сте готов пишете..!Успех..!

Да....на отделен диск и софтуера на друг диск.....малко играчка но аз ви предупредих...

Когато сте готов пишете..!Успех..!

Записах ги!!

Перфектно..!Направете пълно сканиране с Dr.Web LiveCD.....! Ще отнеме доста време ...това се определя от мощноста на процесора и от големината на информацията ..!

Когато отворя диска показва папка boot като я отворя:

Когато отворя и др. папки са такива бели и незнам защото не се поддържат ли?

Компютъра ми се рестартира и бях забравил диска вътре и по време на стартирането ми зе да зарежда нещо от това dr.web

После се вклучи и беше с много особенно меню имаше около 6 икони една към някъв скенер,мозила имаше др не помня кви бяха

Редактирано 30 юли 201015 г. от Power. (преглед на промените)

Компютъра ми се рестартира и бях забравил диска вътре и по време на стартирането ми зе да зарежда нещо от това dr.web

После се вклучи и беше с много особенно меню имаше около 6 икони една към някъв скенер,мозила имаше др не помня кви бяха

Извинявам се че се намесвам, но точно това е идеята, да зареди живото СД и да се сканира машината от него. И не забравяйте да ъпдейтнете (вероятно има и такава икона) програмата

Ще изчакам да видим icotonev какво ще ми каже

Привет....Прикачвам на първо време инструкции за работа и настройки на Dr.Web LiveCD на руски и английски. Прочетете ги внимателно ..ще бъде полезно и за вас...а аз през това време ще се опитам да направя малко по сбито описание..!

Отваря ми ги ето така УЖАС ето малко копиран текст

ЩГcз<ќ№љнAн|ЌЭ¤Л’CБќвgYѓ(;zаЉM›'©нЎ{ік'ѓZo~Cгб•Х`Іа/Љ§ъ…И/Р2uўь.Ћиџ¶ЫлХхpЧЏкљ9

жUwqЇ»hс>!hµЮМukд«

Не знам как го направи това.Ето ти този материал ..прочети го и го изпълни стъпка по стъпка:

Как да го стртирам това пусто LiveCD

Не знам как го направи това.

Отворил е .pdf файла с Notepad.

По-нагоре бях писал,че при някои някои страници в интернет не ме пуска,а при този урок направо ме изхвърли от мозилата.Да пусна ли да сканира и намерите файлове да ги изтрия?

Редактирано 31 юли 201015 г. от Power. (преглед на промените)

Да ..пълна проверка с Dr.Web LiveCD.......!

От тук нататък какво следва:

След като завърши сакнирането с Dr.Web LiveCD.....стартирате компютъра си в нормален режим и задължително спирате въстановяване на системата (System Restore).След това зареждате СD със софтуера който ви препоръчах по - горе.Влизате в него и копирате SalityKiller.zip на десктопа си.Разархивирате и стартирате файла SalityKiller.exe.Изчакваме програмата да завъши работата си.

Продължаваме..:!

Идва ред на AVZ......по аналогичен начин както описах в предния си пост...от CD копирате архива на десктопа си,разархивирате и стартирате програмата:

File ==> System Restore

Поставяш отметки на 8,10,11,13,17 позиции и натискате бутона ''Еxecute selected operation''

Следващата стъпка е:

Sality_RegKeys - пак го копирате от CD - то на десктопа и разархивирате.От папката стартирате файла Disable_autorun.reg - потвърдете за добавяне на информацията в в регистрите.

След това от папката стартирате файла в зависимост от вашата ОС:

- за Windows XP файла SafeBootWinXP.reg

Включвате възстановяване на системата (System Restore)....!!!

Рестртирате компютъра си..!

Диспечера задачите се оправи,но когато искам да отворя C,D ми дава това

Изберете програма,която искате да използвате,за да отворите този файл:

Файл С:\

Програми

И надало ми ги изрежда..

firefox

notepad

paint

skype

И така нататък другите програми..

След сканирането ми изчезнаха езиците (кирилицата)

Редактирано 1 август 201015 г. от Power. (преглед на промените)