Здравейте!Мисля,че лепнах някакъв вирус от флашка и май зарази някои .exe-файлове,но впоследствие се оказа май,че е направил и някои промени по регистрите.При опит да стартирам regedit-a се получаваше следното съобщение:"Regedit is disabled by your administrator!" Task-manager-a беше активен,нямаше проблеми с него,но при опит да стартирам от cmd-то msconfig,gpedit.msc-никакъв ефект.При опит да отворя exe-файл,не се получаваше нищо,макар че task-manager-a отбелязваше,че стартирания процес е в действие и то много пъти,колкото съм кликнал върху него.Виждах неизвестни стартирани процеси(nvxygl.exe; zrdogv.......exe; gzmyrh.......exe; czqgdx.......exe; pjkevpix......exe и т.н.).Прочетох темата: Системата ми е инфектирана - Какво да правя сега? .Извърших всички действия стъпка по стъпка и изглежда нещата се пооправиха поне малко.Прикачил съм и лог-а от Malwarebytes' Anti-Malware,а по надолу ще постна и от HijackThis.След това не можех да отварям с кликване върху другите дялове на харда,освен върху C:(отваряха се само със задаване на път до тях в адресната лента).Издърпах и Perlovga Removal Tool(PRT v2.5.0.5).Стартирах я през cmd,резултатът беше,че вече си отварям другите дялове чрез кликване върху тях.Но сега има проблем,че опцията за показване на hidden files не е активна.Опитах с промяна на HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Explorer\Advanced\Hidden да променя стойността на 1,но нямаше резултат.Не знам какво още може би е увредил този вирус,но това за hidden files е първото,което виждам.Моля ако може да ми помогнете с някакъв съвет!Мисля,че все още pc-to не е чисто от вируси!Не съм преинсталирал WIN-a от сигурно 6 години,а и доколкото прочетох в подобни теми,преинсталацията не им е помогнала изобщо на потърпевшите от "Regedit is disabled by your administrator!"Благодаря Ви Предварително.Ето и лог-а от HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:49:17 PM, on 3/5/2010

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\PROGRA~1\iolo\SYSTEM~2\Scheduled_Maintenance.exe

C:\Program Files\Datecs\FlexType 2K\FType2K.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Program Files\Opera\opera.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://betdaq.co.uk/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {941CA48C-3984-4E7D-AAF8-8755ED76EB50} - (no file)

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [ajmoxdm] gzmyrhasgboquktbu.exe

O4 - HKLM\..\Run: [qfowlxmakbkii] C:\DOCUME~1\JENI\LOCALS~1\Temp\avkytlgaqncgmepzujx.exe

O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe

O4 - HKLM\..\RunServices: [system driver] Messenger.exe

O4 - HKLM\..\RunServices: [Microsoft-Update] wngard.exe

O4 - HKLM\..\RunServices: [svshost Service] svch0st.exe

O4 - HKLM\..\RunServices: [msngta32] msngta32.exe

O4 - HKCU\..\Run: [scheduled Maintenance] C:\PROGRA~1\iolo\SYSTEM~2\Scheduled_Maintenance.exe

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [zlrwirdovj] avkytlgaqncgmepzujx.exe

O4 - HKCU\..\Run: [ajmoxdm] C:\DOCUME~1\JENI\LOCALS~1\Temp\gzmyrhasgboquktbu.exe

O4 - HKCU\..\RunServices: [msngta32] msngta32.exe

O4 - HKLM\..\Policies\Explorer\Run: [grwalteou] zrdogvnerlxybqyf.exe

O4 - HKLM\..\Policies\Explorer\Run: [nvxygl] C:\DOCUME~1\JENI\LOCALS~1\Temp\gzmyrhasgboquktbu.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [system driver] Messenger.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Microsoft Update] wuax.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [svshost Service] svch0st.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [msngta32] msngta32.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [system driver] Messenger.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunServices: [msngta32] msngta32.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [system driver] Messenger.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunServices: [msngta32] msngta32.exe (User 'Default user')

O4 - Global Startup: FlexType 2K.lnk = C:\Program Files\Datecs\FlexType 2K\FType2K.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Сваляне на всички с FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Сваляне с FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Преведи - {60237576-b24c-4ba9-9740-c9f3ec9db557} - C:\PROGRA~1\SkyCode\WEBTRA~1\wt2ie.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

--

End of file - 6228 bytes

mbam-log-2010-03-05 (22-24-37).txt

Редактирано 8 март 201016 г. от mihnev_sz
Заглавието (преглед на промените)

*. Временно спрете защитата на антивирусната си програма!.

*. Изтеглете Combofix.

*. Запазете го на на декстопа.

*. Стартирайте инструмента с двукратен клик на мишката.

*. По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !

*. Публикувайте лог файла, който ще се създаде след рестарта на компютъра в следващия си пост.

Нямаше никакъв лог,защото се появява този екран

Нямаше никакъв лог,защото се появява този екран

Явно в момента си има някакъв проблем инструмента.

Да пробваме с друг:

Моля изтеглете OTL.exe и го запазете на десктопа.

Стартирайте файла с двукратен клик на мишката.

Направете следните настройки:

Под "Custom Scans/Fixes" с copy/paste въведете следната информация:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.*

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%PROGRAMFILES%\*.

%userprofile%\Desktop\*.*

%userprofile%\Desktop\*.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Натиснете Run Scan.

Като приключи проверката публикувайте двата лог файла - OTL.Txt и Extras.Txt.

Много съжалявам,че само вечер мога да чета постовете!Ето какво се получи след OTL.exe.Прикачил съм OTL.txt,а ето и поста на Extras.txt :

OTL Extras logfile created on: 3/9/2010 9:27:07 PM - Run 1

OTL by OldTimer - Version 3.1.35.0 Folder = C:\Documents and Settings\JENI\Desktop

Windows XP Professional Edition Service Pack 1 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2800.1106)

Locale: 00000402 | Country: United States | Language: ENU | Date Format: M/d/yyyy

255.00 Mb Total Physical Memory | 27.00 Mb Available Physical Memory | 11.00% Memory free

617.00 Mb Paging File | 352.00 Mb Available in Paging File | 57.00% Paging File free

Paging file location(s): C:\pagefile.sys 384 768 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 7.81 Gb Total Space | 2.39 Gb Free Space | 30.65% Space Free | Partition Type: NTFS

Drive D: | 24.42 Gb Total Space | 0.16 Gb Free Space | 0.66% Space Free | Partition Type: NTFS

Drive E: | 37.61 Gb Total Space | 0.87 Gb Free Space | 2.32% Space Free | Partition Type: NTFS

Drive F: | 6.84 Gb Total Space | 0.14 Gb Free Space | 2.09% Space Free | Partition Type: NTFS

G: Drive not present or media not loaded

H: Drive not present or media not loaded

Drive I: | 298.09 Gb Total Space | 98.10 Gb Free Space | 32.91% Space Free | Partition Type: NTFS

Computer Name: ZHIVKO

Current User Name: JENI

Logged in as Administrator.

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Standard

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)

https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [Winamp.Bookmark] -- "C:\Program Files\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)

Directory [Winamp.Enqueue] -- "C:\Program Files\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)

Directory [Winamp.Play] -- "C:\Program Files\Winamp\Winamp.exe" "%1" (Nullsoft)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

========== Authorized Applications List ==========

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{03EA3D6E-D92B-11D0-892B-00A0C91827B3}" = eSignal

"{3248F0A8-6813-11D6-A77B-00B0D0150070}" = J2SE Runtime Environment 5.0 Update 7

"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3

"{339E14FF-8FDC-4809-AAF2-87BA22905C7F}" = DirectX for Managed Code Update (December 2004)

"{3E5CBADD-2E51-47C1-BBE2-B802DB6DA56A}" = MetaTrader 4 STS Finance 4.00

"{48EE6C79-1CE2-4CE8-B511-F2140B6781D6}" = Google Earth Pro

"{524352FF-12FC-11D5-B63D-00104B6A6C6B}" = Flanker 2.5

"{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}" =

"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0

"{7148F0A8-6813-11D6-A77B-00B0D0142040}" = Java 2 Runtime Environment, SE v1.4.2_04

"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable

"{8AC5C940-BCC1-11D4-9659-005004008FBF}" = OmniTrader

"{90110409-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{90120000-0020-0419-0000-0000000FF1CE}" = Пакет обеспечения совместимости для выпуска 2007 системы Microsoft Office

"{97AA0C55-AFAD-4126-B21C-F1318FB6DADA}" = RTLSetup

"{AC76BA86-7AD7-1033-7B44-000000000001}" = Adobe Reader 6.0

"{BFD080F6-3BF0-40E1-9507-9CA969C35870}" = Sunbelt Personal Firewall

"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1

"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1

"{E0D51394-1D45-460A-B62D-383BC4F8B335}" = QuickTime

"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio

"7-Zip" = 7-Zip 9.07 beta

"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Advanced SystemCare 3_is1" = Advanced SystemCare 3

"Azureus" = Azureus

"Azureus Ultra Accelerator" = Azureus Ultra Accelerator

"BG OFFRoadMap" = BG OFFRoadMap 4.60

"Brenda" = Brenda

"BSPlayerf" = BS.Player FREE

"Calculator of Trader" = Calculator of Trader 2.0

"DivX 5.0.2 Bundle" = DivX 5.0.2 Bundle

"Electronic Arts Game Updater" = Electronic Arts Game Updater

"Enable S3 for USB Device" = Enable S3 for USB Device

"Error Repair Professional_is1" = Error Repair Professional version 4.0.1

"FlashGet(JetCar)" = FlashGet(JetCar)

"FlexType 2K" = FlexType 2K

"FlightGear_is1" = FlightGear v0.9.10

"Fly the Legend" = Fly the Legend Screen Saver

"Ganntrader 3.0 Remove" = Ganntrader 3.0

"GOM Player" = GOM Player

"Gunship" = Gunship

"HijackThis" = HijackThis 2.0.2

"iolo technologies' System Mechanic" = iolo technologies' System Mechanic

"IrfanView" = IrfanView (remove only)

"Iron Aces - Heroes of WWII_is1" = Iron Aces - Heroes of WWII

"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 1.03

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0

"Miranda IM" = Miranda IM

"Mozilla Firefox (3.0.15)" = Mozilla Firefox (3.0.15)

"MPEG2 Codec(libmpeg2/mad)" = MPEG2 Codec(libmpeg2/mad)

"Natura Sound Therapy" = Natura Sound Therapy

"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition

"NOD32" = NOD32 antivirus system

"NVIDIA Display Driver" = NVIDIA Display Driver

"NVIDIA nForce Drivers" = NVIDIA nForce Drivers

"NVIDIA VGA Driver_is1" = CD_DRV_70

"OggDS" = Direct Show Ogg Vorbis Filter (remove only)

"Opera" = Opera

"Prism" = Prism

"RAR Key 7.0" = RAR Key

"RC Helicopter" = RC Helicopter

"SA Dictionary 2004 Datacenter" = SA Dictionary 2004 Datacenter

"Skype_is1" = Skype (BETA)

"Slow Chess Blitz" = Slow Chess Blitz

"Switch" = Switch

"Torrent Harvester" = Torrent Harvester

"Total Video Converter 3.02_is1" = Total Video Converter 3.02

"TrackerPro" = TrackerPro 1.0

"Transcend JetFlash Recovery Tool" = Transcend JetFlash Recovery Tool

"Unlocker" = Unlocker 1.8.7

"VLC media player" = VideoLAN VLC media player 0.8.5

"VRally3_is1" = VRally3

"WavePad" = WavePad Uninstall

"WebTrance2" = WebTrance2 (деинсталиране)

"Winamp" = Winamp (remove only)

"Windows Media Format Runtime" = Windows Media Format Runtime

"Windows Media Player" = Windows Media Player 10

"WinRAR archiver" = WinRAR archiver

"Справочник интеллектуала1.0" = Справочник интеллектуала

========== Last 10 Event Log Errors ==========

[ Application Events ]

Error - 7/23/2006 2:56:58 PM | Computer Name = ZHIVKO | Source = MsiInstaller | ID = 10000

Description =

Error - 8/18/2006 5:15:00 PM | Computer Name = ZHIVKO | Source = Application Hang | ID = 1002

Description = Hanging application , version 0.0.0.0, hang module hungapp, version

0.0.0.0, hang address 0x00000000.

Error - 8/21/2006 4:28:11 PM | Computer Name = ZHIVKO | Source = Application Hang | ID = 1002

Description = Hanging application hh.exe, version 5.2.3644.0, hang module msls31.dll,

version 3.10.349.0, hang address 0x000012a4.

Error - 8/21/2006 4:28:11 PM | Computer Name = ZHIVKO | Source = Application Hang | ID = 1002

Description = Hanging application hh.exe, version 5.2.3644.0, hang module msls31.dll,

version 3.10.349.0, hang address 0x000012a4.

Error - 8/21/2006 4:28:11 PM | Computer Name = ZHIVKO | Source = Application Hang | ID = 1002

Description = Hanging application hh.exe, version 5.2.3644.0, hang module msls31.dll,

version 3.10.349.0, hang address 0x000012a4.

Error - 9/7/2006 12:36:50 PM | Computer Name = ZHIVKO | Source = Application Hang | ID = 1002

Description = Hanging application IEXPLORE.EXE, version 6.0.2800.1106, hang module

hungapp, version 0.0.0.0, hang address 0x00000000.

Error - 10/17/2006 5:12:04 PM | Computer Name = ZHIVKO | Source = Application Hang | ID = 1002

Description = Hanging application IEXPLORE.EXE, version 6.0.2800.1106, hang module

hungapp, version 0.0.0.0, hang address 0x00000000.

Error - 10/17/2006 5:12:04 PM | Computer Name = ZHIVKO | Source = Application Hang | ID = 1002

Description = Hanging application IEXPLORE.EXE, version 6.0.2800.1106, hang module

hungapp, version 0.0.0.0, hang address 0x00000000.

Error - 10/29/2006 3:13:31 AM | Computer Name = ZHIVKO | Source = LoadPerf | ID = 3006

Description = Unable to read the performance counter strings of the 002 language

ID. The Win32 status returned by the call is the first DWORD in Data section.

Error - 12/15/2006 4:36:17 PM | Computer Name = ZHIVKO | Source = Application Hang | ID = 1002

Description = Hanging application , version 0.0.0.0, hang module hungapp, version

0.0.0.0, hang address 0x00000000.

[ System Events ]

Error - 3/8/2010 12:11:49 PM | Computer Name = ZHIVKO | Source = Service Control Manager | ID = 7023

Description = The System Restore Service service terminated with the following error:

%%5

Error - 3/8/2010 12:11:49 PM | Computer Name = ZHIVKO | Source = Service Control Manager | ID = 7034

Description = The Windows User Mode Driver Framework service terminated unexpectedly.

It has done this 1 time(s).

Error - 3/8/2010 1:11:50 PM | Computer Name = ZHIVKO | Source = Service Control Manager | ID = 7000

Description = The WMI Performance Adapter service failed to start due to the following

error: %%5

Error - 3/8/2010 3:15:10 PM | Computer Name = ZHIVKO | Source = Service Control Manager | ID = 7031

Description = The NOD32 Kernel Service service terminated unexpectedly. It has

done this 1 time(s). The following corrective action will be taken in 0 milliseconds:

Restart the service.

Error - 3/8/2010 3:15:10 PM | Computer Name = ZHIVKO | Source = Service Control Manager | ID = 7009

Description = Timeout (30000 milliseconds) waiting for the NOD32 Kernel Service

service to connect.

Error - 3/8/2010 3:15:10 PM | Computer Name = ZHIVKO | Source = Service Control Manager | ID = 7000

Description = The NOD32 Kernel Service service failed to start due to the following

error: %%1053

Error - 3/9/2010 2:46:58 PM | Computer Name = ZHIVKO | Source = SRService | ID = 104

Description = The System Restore initialization process failed.

Error - 3/9/2010 2:48:04 PM | Computer Name = ZHIVKO | Source = Service Control Manager | ID = 7000

Description = The MATLAB Server service failed to start due to the following error:

%%3

Error - 3/9/2010 2:48:04 PM | Computer Name = ZHIVKO | Source = Service Control Manager | ID = 7023

Description = The System Restore Service service terminated with the following error:

%%5

Error - 3/9/2010 2:48:04 PM | Computer Name = ZHIVKO | Source = Service Control Manager | ID = 7034

Description = The Windows User Mode Driver Framework service terminated unexpectedly.

It has done this 1 time(s).

< End of report >

Освен това в C: се получава тази първата папка

Ето и съдържанието и: тук ,тук ,тук ,тук и тук

Изтривам я и на следващото пускане на pc-то пак се появява(едва ли с точно същите файлове в нея)!

OTL.Txt

СТЪПКА 1

Деинсталирайте Combofix.

Start => Run => въведете Combofix /Uninstall => (има празно място между Combofix и /Uninstall) => Enter => това ще стартира и ще деинсталира Combofix. Ще затрие и файловете асоциирани с този инструмент, както и папката C:\Qoobox - карантината на Combofix.

СТЪПКА 2

Стартирайте OTL.exe и с copy/paste под колонката "Custom Scans/Fixes" и въведете следната информация:

Важно е да копирате скрипта точно, както съм го написал - започва с двуточието преди processes !

:processes

killallprocesses

:OTL

O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - No CLSID value found.

O2 - BHO: (no name) - {941CA48C-3984-4E7D-AAF8-8755ED76EB50} - No CLSID value found.

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - No CLSID value found.

O4 - HKLM..\RunServices: [Microsoft-Update] File not found

4 - HKLM..\RunServices: [msngta32] File not found

O4 - HKLM..\RunServices: [Remote Procedure Call For Windows 32bit.] File not found

O4 - HKLM..\RunServices: [svshost Service] File not found

O4 - HKLM..\RunServices: [system driver] File not found

O4 - HKCU..\RunServices: [msngta32] File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: grwalteou = zrdogvnerlxybqyf.exe

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - File not found

O15 - HKCU\..Trusted Domains: ([]msn in My Computer)

O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found

[2010/03/05 17:09:25 | 000,000,280 | -H-- | M] () -- C:\WINDOWS\System32\dfbwyxzaxbxivumdfbwyxz.xbx

[2010/03/05 17:09:25 | 000,000,280 | -H-- | M] () -- C:\WINDOWS\dfbwyxzaxbxivumdfbwyxz.xbx

[2010/03/05 17:09:25 | 000,000,280 | -H-- | M] () -- C:\Program Files\dfbwyxzaxbxivumdfbwyxz.xbx

[2010/03/05 17:09:25 | 000,000,280 | -H-- | M] () -- C:\Documents and Settings\JENI\Local Settings\Application Data\dfbwyxzaxbxivumdfbwyxz.xbx

[2010/03/03 23:38:46 | 000,004,248 | -H-- | M] () -- C:\WINDOWS\uhouhreqynuqoybdqxdqanzhwdzxhkmzg.zjw

[2010/03/03 23:38:46 | 000,004,248 | -H-- | M] () -- C:\WINDOWS\System32\uhouhreqynuqoybdqxdqanzhwdzxhkmzg.zjw

@Alternate Data Stream - 158 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:0295CBF7

:files

C:\WINDOWS\web\related.htm

C:\32788R22FWJFW

C:\WINDOWS\System32\*.tmp

C:\WINDOWS\*.tmp

:Commands

[purity]

[emptytemp]

[Reboot]

Натиснете бутона Run Fix

Ще се създаде лог файл. Публикувайте го в следващия си пост.

СТЪПКА 3

Изтеглете файла WinDef_hosts.zip и го разархивирайте в папката => C:\WINDOWS\system32\drivers\etc\

Излиза ми отново този екран и не знам да го затрия ли от десктопа механично и да продължа ли със стъпка 2!

Излиза ми отново този екран и не знам да го затрия ли от десктопа механично и да продължа ли със стъпка 2!

Причината за екрана е, че не сте изключили резидентната защита на NOD32 и тя пречи на изпълнението на командата.

Пробвайте да изключите NOD-a и пробвайте отново. Ако не се получи продължете нататък, а това ще го поправим по-нататък.

И един въпрос...първоначалния ви лог файл от HijackThis бе изключително замърсен, а лог файла от OTL е доста по чист. NOD-a ли ги забърса или сте почиствали с нещо допълнително тъй като ясно се вижда, че malwarebytes е пропуснала повечето зарази ?

Между другото тази първата папка в C: я нямаше след стартирането на компютъра,а след опита за деинсталиране на ComboFix.Както и нямам папка C:\Qoobox.Явно още при опита да стартирам ComboFix е прекъснат по някакъв начин този процес и не е създадена такава.

Между другото тази първата папка в C: я нямаше след стартирането на компютъра,а след опита за деинсталиране на ComboFix.Както и нямам папка C:\Qoobox.Явно още при опита да стартирам ComboFix е прекъснат по някакъв начин този процес и не е създадена такава.

Както казах причината най-вероятно е NOD32. Продължете със следващите стъпки.

Не съм почиствал системата с нищо друго освен с Malwarebytes' Anti-Malware,HijackThis и Perlovga Removal Tool(PRT v2.5.0.5),за да не оплескам нещата.Изпълнявам всичко стъпка по стъпка както обяснявате.Ето поста от последния старт на OTL.exe :

All processes killed

========== PROCESSES ==========

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{140BD8E3-C167-11D4-B4A3-080000180323}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{140BD8E3-C167-11D4-B4A3-080000180323}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{941CA48C-3984-4E7D-AAF8-8755ED76EB50}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{941CA48C-3984-4E7D-AAF8-8755ED76EB50}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A5366673-E8CA-11D3-9CD9-0090271D075B}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A5366673-E8CA-11D3-9CD9-0090271D075B}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\\Microsoft-Update deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\\Remote Procedure Call For Windows 32bit. deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\\Svshost Service deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\\System driver deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\\msngta32 deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\grwalteou deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000016\ deleted successfully.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\ deleted successfully.

C:\WINDOWS\system32\dfbwyxzaxbxivumdfbwyxz.xbx moved successfully.

C:\WINDOWS\dfbwyxzaxbxivumdfbwyxz.xbx moved successfully.

C:\Program Files\dfbwyxzaxbxivumdfbwyxz.xbx moved successfully.

C:\Documents and Settings\JENI\Local Settings\Application Data\dfbwyxzaxbxivumdfbwyxz.xbx moved successfully.

C:\WINDOWS\uhouhreqynuqoybdqxdqanzhwdzxhkmzg.zjw moved successfully.

C:\WINDOWS\system32\uhouhreqynuqoybdqxdqanzhwdzxhkmzg.zjw moved successfully.

ADS C:\Documents and Settings\All Users\Application Data\TEMP:0295CBF7 deleted successfully.

========== FILES ==========

C:\WINDOWS\web\related.htm moved successfully.

C:\32788R22FWJFW\License folder moved successfully.

C:\32788R22FWJFW\EN-US folder moved successfully.

C:\32788R22FWJFW folder moved successfully.

C:\WINDOWS\System32\PerfStringBackup.TMP moved successfully.

C:\WINDOWS\System32\REN217.tmp moved successfully.

C:\WINDOWS\System32\REN218.tmp moved successfully.

C:\WINDOWS\System32\SET441.tmp moved successfully.

C:\WINDOWS\System32\SET451.tmp moved successfully.

C:\WINDOWS\SET3.tmp moved successfully.

C:\WINDOWS\SETA.tmp moved successfully.

========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: JENI

->Temp folder emptied: 80638 bytes

->Temporary Internet Files folder emptied: 115090 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 60379671 bytes

->Flash cache emptied: 3792 bytes

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 496785 bytes

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 496 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 0 bytes

Total Files Cleaned = 58.00 mb

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\: LSP stack updated.

OTL by OldTimer - Version 3.1.35.0 log created on 03102010_192450

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Появи се папка C:\_OTL\MovedFiles и там е текстов файл с това,което съм paste-нал като лог и папка със същото име като на текстовия файл,където са тези отстранени файлове.Да изтривам ли тази папка C:\_OTL?

Ивърших и стъпка 3,но забравих да кажа,че ComboFix си стои,не съм го трил насилствено!

СТЪПКА 1

Стартирайте OTL.exe => натиснете Cleanup! бутона => за да изтриете някои от използваните от нас програми. Това ще изтрие и папката C:\_OTL => карантинната папка на OTL.exe.

СТЪПКА 2

Изтеглете => FixPolicies

Запазете го някъде на декстопа.Кликнете два пъти върху файла и изберете Install.Ще се създаде папка с името FixPolicies на десктопа.Отворете я и стартирайте файла Fix_policies.cmd.

Вижте дали вече опцията за показване на скритите файлове вече е активна.

СТЪПКА 3

Изтеглете SUPERAntiSpyware

* Стартирайте програмата.

* Кликнете бутонa Check For Updates.

* След това изберете Scan Your Computer.

* Вляво изберете само дял C:, а вдясно изберете Perform Complete Scan.

* Кликнете Next и изчакайте проверката да завърши.

* Натиснете Next, за да се премахнат намерените паразити и след това натиснете Finish.

* Отворете Preferences, придвижете се до секцията Statistics/Logs и кликнете с двукратен клик на мишката върху лог файла.

* Публикувайте съдържанието му в следващия си пост.

Благодаря,май се оправиха доста неща,ето го лог-а на SUPERAntiSpyware :

Дневник на сканиране на SUPERAntiSpyware

http://www.superantispyware.com

Създаден на 03/10/2010 в 09:02 PM

Версия на програмата: 4.34.1000

Версия на базата от данни на основните правила: 4659

Версия на базата от данни за остатъците: 2471

Тип на сканиране: Пълно сканиране

Общо време за сканиране: 00:34:18

Сканирани обекти в паметта: 363

Засечени заплахи в паметта: 0

Сканирани обекти в регистратурата: 4879

Засечени заплахи в регистратурата: 0

Сканирани файлове: 9824

Засечени заплахи сред файловете: 0

След стъпка 1 се затри ComboFix и OTL.exe.След стъпка 2 вече е активна опцията за hidden files!

Супер. Останаха две последни проверки:

СТЪПКА 1

Искам за финал да направим две проверки със следните инструменти:

Изтеглете GMER и го разархивирайте на десктопа.

Преди да сканирате се уверете, че всички останали работещи програми в момента са изключени и антивирусния софтуер няма да предприема никакви действия по време на сканирането с Gmer. Не използвайте компютъра си, докато трае сканирането.

Кликнете два пъти пъти върху gmer.exe , за да стартирате програмата.

Тя ще направи начално сканиране за секунди. След като то приключи натиснете бутона Scan.

Когато проверката завърши, натиснете бутона Copy и поставете съдържанието на лог файла в следващия си пост.

СТЪПКА 2

Обновете антивирусната си програма и направете пълна проверка на системата си.

Публикувайте резултатите от проверката.

Стигнах до стъпка 1,защото стана малко късно.Не знам дали не съм прекъснал gmer да сканира,но около 10 мин не изреди никакви файлове в сканиращото поле.И все пак мисля,че е прекъснато действието,защото в лога пише: "running: gmer.exe ...." Но ако е така,утре пак ще пусна сканирането и ще извърша стъпка 2.Лека и благодаря за днешното "почистване".Ето лога :

gmer.txt

Стигнах до стъпка 1,защото стана малко късно.Не знам дали не съм прекъснал gmer да сканира,но около 10 мин не изреди никакви файлове в сканиращото поле.И все пак мисля,че е прекъснато действието,защото в лога пише: "running: gmer.exe ...." Но ако е така,утре пак ще пусна сканирането и ще извърша стъпка 2.Лека и благодаря за днешното "почистване".Ето лога :

Лог файла е чист. Няма нужда от повторна проверка.

Продължете с проверката с NOD32 утре и пишете какви са резултатите от нея и как чувствате ситемата си.

Извинявайте,но не можах известно време да постна отговора.Ето резултатите от NOD-а : тук , тук и тук

Благодаря много!Системата ми е добре,толкова като преди или малко по-добре!Само не знам дали да деинсталирам ли Malwarebytes Anti-Malware,HijackThis,WinDef_Hosts.zip,FixPolicies,SUPERAntiSpyware Free Edition,gmer.exe?