РЕШЕН бавно зареждане на компютъра след инсталация...

[мирослав24]

Здравеите,след инсталиране на  ISO Recorder- програма за записване на image фаилове,компютъра стана бавен-отваря за повече време папките,една страница трябва да я отворя два пъти за да я видя и на това отгоре няма и следа от въпросния ISO Recorder.Създаде се някаква папка -"Alex Feinman" и това е само.Операционна система-Windows XP .Прилагам фаиловете от FRST

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:13-08-2014 01

Ran by User1 (administrator) on PC1 on 14-08-2014 15:59:28

Running from C:Documents and SettingsUser1Desktop

Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: English (United States)

Internet Explorer Version 7

Boot Mode: Normal

 

=================== Processes (Whitelisted) =================

 

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

 

(Cisco Systems, Inc.) C:Program FilesCisco SystemsVPN Clientcvpnd.exe

() C:Program FilesComodoDragondragon_updater.exe

() C:Program FilesLavasoftAd-Aware AntivirusAd-Aware Antivirus11.1.5354.0AdAwareService.exe

() C:WINDOWStsnpstd3.exe

() C:WINDOWSvsnpstd3.exe

() C:Program FilesLavasoftAd-Aware AntivirusAd-Aware Antivirus11.1.5354.0AdAwareTray.exe

(BitTorrent, Inc.) C:Program FilesuTorrentuTorrent.exe

(Hewlett-Packard Co.) C:Program FilesHPDigital Imagingbinhpqtra08.exe

(Yahoo! Inc.) F:skype_portableyahooMessengerYmsgr_tray.exe

(Hewlett-Packard Co.) C:Program FilesHPDigital Imagingbinhpqste08.exe

(Comodo) C:Program FilesComodoDragondragon.exe

(Comodo) C:Program FilesComodoDragondragon.exe

(Comodo) C:Program FilesComodoDragondragon.exe

(Comodo) C:Program FilesComodoDragondragon.exe

(Comodo) C:Program FilesComodoDragondragon.exe

(Microsoft Corporation) C:WINDOWSsystem32wuauclt.exe

(Comodo) C:Program FilesComodoDragondragon.exe

 

 

==================== Registry (Whitelisted) ==================

 

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

 

HKLM...PoliciesExplorer: [NoLogoff] 0

HKU.DEFAULT...RunOnce: [RunNarrator] => C:WINDOWSsystem32Narrator.exe [53760 2008-04-14] (Microsoft Corporation)

HKUS-1-5-21-220523388-412668190-1417001333-1003...Run: [Google Update] => C:Documents and SettingsUser1Local SettingsApplication DataGoogleUpdateGoogleUpdate.exe [116648 2013-03-08] (Google Inc.)

HKUS-1-5-21-220523388-412668190-1417001333-1003...Run: [Messenger (Yahoo!)] => F:skype_portableyahooMessengerYahooMessenger.exe [6595928 2012-05-25] (Yahoo! Inc.)

HKUS-1-5-21-220523388-412668190-1417001333-1003...Run: [uTorrent] => C:Program FilesuTorrentuTorrent.exe [395640 2011-05-02] (BitTorrent, Inc.)

HKUS-1-5-21-220523388-412668190-1417001333-1003...PoliciesExplorer: [NoSaveSettings] 0

Startup: C:Documents and SettingsAll UsersStart MenuProgramsStartupHP Digital Imaging Monitor.lnk

ShortcutTarget: HP Digital Imaging Monitor.lnk -> C:Program FilesHPDigital Imagingbinhpqtra08.exe (Hewlett-Packard Co.)

Startup: C:Documents and SettingsAll UsersStart MenuProgramsStartupVPN Client.lnk

ShortcutTarget: VPN Client.lnk -> C:WINDOWSInstaller{B0BF7057-6869-4E4B-920C-EA2A58DA07F0}Icon3E5562ED7.ico ()

 

==================== Internet (Whitelisted) ====================

 

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

 

HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.google.com/ie

HKCUSoftwareMicrosoftInternet ExplorerMain,SearchMigratedDefaultURL = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7PRFA_en

HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = %SystemRoot%system32blank.htm

BHO: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelperShim.dll (Adobe Systems Incorporated)

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:Program FilesCommon FilesSkypeSkype4COM.dll (Skype Technologies)

TcpipParameters: [DhcpNameServer] 46.40.72.9 192.168.0.1

 

FireFox:

========

FF Plugin: @adobe.com/FlashPlayer -> C:WINDOWSsystem32MacromedFlashNPSWF32_11_5_502_146.dll ()

FF Plugin: @java.com/JavaPlugin,version=10.11.2 -> C:Program FilesJavajre7binplugin2npjp2.dll (Oracle Corporation)

FF Plugin: @messenger.yahoo.com/YahooMessengerStatePlugin;version=1.0.0.6 -> C:Program FilesYahoo!SharednpYState.dll (Yahoo! Inc.)

FF Plugin: @microsoft.com/WPF,version=3.5 -> C:WINDOWSMicrosoft.NETFrameworkv3.5Windows Presentation FoundationNPWPF.dll (Microsoft Corporation)

FF Plugin: Adobe Reader -> C:Program FilesAdobeReader 11.0ReaderAIRnppdf32.dll (Adobe Systems Inc.)

FF Plugin HKCU: @talk.google.com/GoogleTalkPlugin -> C:Documents and SettingsUser1Application DataMozillapluginsnpgoogletalk.dll (Google)

FF Plugin HKCU: @talk.google.com/O1DPlugin -> C:Documents and SettingsUser1Application DataMozillapluginsnpo1d.dll (Google)

FF Plugin HKCU: @tools.google.com/Google Update;version=3 -> C:Documents and SettingsUser1Local SettingsApplication DataGoogleUpdate1.3.24.15npGoogleUpdate3.dll (Google Inc.)

FF Plugin HKCU: @tools.google.com/Google Update;version=9 -> C:Documents and SettingsUser1Local SettingsApplication DataGoogleUpdate1.3.24.15npGoogleUpdate3.dll (Google Inc.)

FF Plugin ProgramFiles/Appdata: C:Documents and SettingsUser1Application Datamozillapluginsnpgoogletalk.dll (Google)

FF Plugin ProgramFiles/Appdata: C:Documents and SettingsUser1Application Datamozillapluginsnpo1d.dll (Google)

 

Chrome: 

=======

CHR HKLM...ChromeExtension: [icmlaeflemplmjndnaapfdbbnpncnbda] - C:Program FilesAVAST SoftwareAvastWebRepChromeaswWebRepChrome.crx []

 

========================== Services (Whitelisted) =================

 

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

 

R2 CVPND; C:Program FilesCisco SystemsVPN Clientcvpnd.exe [1528616 2010-03-23] (Cisco Systems, Inc.)

R2 DragonUpdater; C:Program FilesComodoDragondragon_updater.exe [2098880 2013-11-11] ()

R3 hpqcxs08; C:Program FilesHPDigital Imagingbinhpqcxs08.dll [217088 2007-06-04] (Hewlett-Packard Co.) [File not signed]

R2 hpqddsvc; C:Program FilesHPDigital Imagingbinhpqddsvc.dll [131072 2007-06-04] (Hewlett-Packard Co.) [File not signed]

S3 Imapi Helper; C:Program FilesAlex FeinmanISO RecorderImapiHelper.exe [163840 2006-01-05] (Alex Feinman) [File not signed]

S4 JavaQuickStarterService; C:Program FilesJavajre7binjqs.exe [170912 2013-01-12] (Oracle Corporation)

R2 LavasoftAdAwareService11; C:Program FilesLavasoftAd-Aware AntivirusAd-Aware Antivirus11.1.5354.0AdAwareService.exe [651232 2014-01-23] ()

S3 Net Driver HPZ12; C:WINDOWSsystem32HPZinw12.dll [43520 2006-11-08] (Hewlett-Packard) [File not signed]

R3 Pml Driver HPZ12; C:WINDOWSsystem32HPZipm12.dll [53248 2006-11-08] (Hewlett-Packard) [File not signed]

 

==================== Drivers (Whitelisted) ====================

 

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

 

R1 AmdK8; C:WINDOWSSystem32DRIVERSAmdK8.sys [36864 2006-06-18] (Advanced Micro Devices)

S3 CCDECODE; C:WINDOWSSystem32DRIVERSCCDECODE.sys [17024 2008-04-14] (Microsoft Corporation)

S3 CVirtA; C:WINDOWSSystem32DRIVERSCVirtA.sys [5275 2007-01-18] (Cisco Systems, Inc.)

R2 CVPNDRVA; C:WINDOWSsystem32DriversCVPNDRVA.sys [308859 2010-03-23] (Cisco Systems, Inc.) [File not signed]

R3 DNE; C:WINDOWSSystem32DRIVERSdne2000.sys [131984 2008-11-16] (Deterministic Networks, Inc.)

S3 HPZid412; C:WINDOWSSystem32DRIVERSHPZid412.sys [49920 2007-01-19] (HP)

S3 HPZipr12; C:WINDOWSSystem32DRIVERSHPZipr12.sys [16496 2007-01-19] (HP)

S3 HPZius12; C:WINDOWSSystem32DRIVERSHPZius12.sys [21568 2007-01-19] (HP)

R3 IntcAzAudAddService; C:WINDOWSSystem32driversRtkHDAud.sys [4368896 2006-08-15] (Realtek Semiconductor Corp.) [File not signed]

R3 irsir; C:WINDOWSSystem32DRIVERSirsir.sys [18688 2001-08-17] (Microsoft Corporation)

S3 NdisIP; C:WINDOWSSystem32DRIVERSNdisIP.sys [10880 2008-04-14] (Microsoft Corporation)

R3 NVENETFD; C:WINDOWSSystem32DRIVERSNVENETFD.sys [57856 2006-07-11] (NVIDIA Corporation)

R3 nvnetbus; C:WINDOWSSystem32DRIVERSnvnetbus.sys [20480 2006-07-11] (NVIDIA Corporation)

R3 Rasirda; C:WINDOWSSystem32DRIVERSrasirda.sys [19584 2001-08-17] (Microsoft Corporation)

S3 SNPSTD3; C:WINDOWSSystem32DRIVERSsnpstd3.sys [10148480 2006-06-27] (Sonix Co. Ltd.) [File not signed]

U3 TrueSight; c:windowssystem32driversTrueSight.sys [111872 2011-12-15] () [File not signed]

R3 Trufos; C:WINDOWSSystem32DRIVERSTrufos.sys [340624 2013-07-17] (BitDefender S.R.L.)

S3 vsdatant; C:WINDOWSsystem32vsdatant.sys [394952 2007-11-14] (Zone Labs, LLC)

S4 IntelIde; No ImagePath

 

==================== NetSvcs (Whitelisted) ===================

 

 

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)

 

 

==================== One Month Created Files and Folders ========

 

(If an entry is included in the fixlist, the filefolder will be moved.)

 

2014-08-14 15:59 - 2014-08-14 15:59 - 00009782 _____ () C:Documents and SettingsUser1DesktopFRST.txt

2014-08-14 15:58 - 2014-08-14 15:58 - 01092096 _____ (Farbar) C:Documents and SettingsUser1DesktopFRST.exe

2014-08-14 14:29 - 2014-08-14 14:29 - 00000000 ____D () C:Program FilesAlex Feinman

2014-08-12 08:41 - 2013-01-24 12:05 - 00000769 _____ () C:Documents and SettingsUser2DesktopComodo Dragon.lnk

2014-08-09 12:29 - 2014-08-09 12:29 - 00146016 _____ () C:WINDOWSsystem32FNTCACHE.DAT

2014-08-08 13:32 - 2014-08-14 15:48 - 00000222 _____ () C:WINDOWSTasksMicrosoft Windows XP End of Service Notification Logon.job

2014-08-08 13:32 - 2014-08-14 13:39 - 00000216 _____ () C:WINDOWSTasksMicrosoft Windows XP End of Service Notification Monthly.job

2014-08-08 12:39 - 2014-08-08 12:39 - 22058792 _____ (Skype Technologies S.A.) C:Documents and SettingsUser2Desktopskype-portable-3.8.exe

 

==================== One Month Modified Files and Folders =======

 

(If an entry is included in the fixlist, the filefolder will be moved.)

 

2014-08-14 15:59 - 2014-08-14 15:59 - 00009782 _____ () C:Documents and SettingsUser1DesktopFRST.txt

2014-08-14 15:59 - 2014-02-02 13:44 - 00000000 ____D () C:FRST

2014-08-14 15:59 - 2012-11-02 19:07 - 00000000 ____D () C:Documents and SettingsUser1Local Settingstemp

2014-08-14 15:58 - 2014-08-14 15:58 - 01092096 _____ (Farbar) C:Documents and SettingsUser1DesktopFRST.exe

2014-08-14 15:58 - 2011-05-02 12:46 - 00000000 ____D () C:Documents and SettingsUser1Application DatauTorrent

2014-08-14 15:49 - 2014-01-29 14:43 - 01917763 _____ () C:WINDOWSWindowsUpdate.log

2014-08-14 15:48 - 2014-08-08 13:32 - 00000222 _____ () C:WINDOWSTasksMicrosoft Windows XP End of Service Notification Logon.job

2014-08-14 15:48 - 2014-01-31 13:39 - 00002028 _____ () C:Documents and SettingsAll UsersDesktopAd-Aware Antivirus.lnk

2014-08-14 15:48 - 2014-01-29 14:44 - 00000157 _____ () C:WINDOWSwiadebug.log

2014-08-14 15:48 - 2014-01-29 14:44 - 00000052 _____ () C:WINDOWSwiaservc.log

2014-08-14 15:48 - 2011-05-02 10:20 - 00000006 ____H () C:WINDOWSTasksSA.DAT

2014-08-14 15:37 - 2014-01-29 14:44 - 00032568 _____ () C:WINDOWSSchedLgU.Txt

2014-08-14 15:27 - 2011-05-02 10:20 - 00000178 ___SH () C:Documents and SettingsLocalServicentuser.ini

2014-08-14 14:34 - 2011-05-02 12:10 - 00000178 ___SH () C:Documents and SettingsUser1ntuser.ini

2014-08-14 14:29 - 2014-08-14 14:29 - 00000000 ____D () C:Program FilesAlex Feinman

2014-08-14 13:39 - 2014-08-08 13:32 - 00000216 _____ () C:WINDOWSTasksMicrosoft Windows XP End of Service Notification Monthly.job

2014-08-14 13:39 - 2012-11-08 15:32 - 00000000 ____D () C:Documents and SettingsUser1Application DataMozilla

2014-08-14 13:28 - 2011-05-02 13:28 - 00000000 ____D () C:Documents and SettingsUser2Local SettingsTemp

2014-08-14 12:51 - 2011-05-15 13:34 - 00000000 ____D () C:Documents and SettingsUser2Application DataSkype

2014-08-14 12:39 - 2013-06-21 19:09 - 00000000 ____D () C:Documents and SettingsUser2Application DataYahoo!

2014-08-14 12:37 - 2013-03-08 15:11 - 00001078 _____ () C:WINDOWSTasksGoogleUpdateTaskUserS-1-5-21-220523388-412668190-1417001333-1003UA.job

2014-08-13 18:31 - 2011-05-02 13:28 - 00000000 ____D () C:Documents and SettingsUser2

2014-08-13 13:37 - 2013-03-08 15:11 - 00001026 _____ () C:WINDOWSTasksGoogleUpdateTaskUserS-1-5-21-220523388-412668190-1417001333-1003Core.job

2014-08-13 12:51 - 2001-08-23 12:00 - 00002206 _____ () C:WINDOWSsystem32wpa.dbl

2014-08-09 12:29 - 2014-08-09 12:29 - 00146016 _____ () C:WINDOWSsystem32FNTCACHE.DAT

2014-08-08 16:33 - 2011-05-04 14:16 - 00000000 ____D () C:WINDOWSMinidump

2014-08-08 16:33 - 2011-05-02 12:10 - 00000000 ____D () C:Documents and SettingsUser1

2014-08-08 12:39 - 2014-08-08 12:39 - 22058792 _____ (Skype Technologies S.A.) C:Documents and SettingsUser2Desktopskype-portable-3.8.exe

2014-08-08 10:37 - 2013-12-09 13:51 - 00000000 ____D () C:Documents and SettingsUser2Desktopобразци PDF

2014-08-01 15:11 - 2011-05-25 10:57 - 00000000 ____D () C:Documents and SettingsUser2Application DatauTorrent

2014-08-01 13:22 - 2011-05-04 14:44 - 00083968 _____ () C:Documents and SettingsUser2Local SettingsApplication DataDCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

 

==================== Bamital & volsnap Check =================

 

(There is no automatic fix for files that do not pass verification.)

 

C:WINDOWSexplorer.exe => File is digitally signed

C:WINDOWSsystem32winlogon.exe => File is digitally signed

C:WINDOWSsystem32svchost.exe => File is digitally signed

C:WINDOWSsystem32services.exe => File is digitally signed

C:WINDOWSsystem32User32.dll => File is digitally signed

C:WINDOWSsystem32userinit.exe => File is digitally signed

C:WINDOWSsystem32rpcss.dll => File is digitally signed

C:WINDOWSsystem32Driversvolsnap.sys => File is digitally signed

 

==================== End Of Log ============================

Addition.txt

[B-boy/StyLe/]

[мирослав24]

благодаря за бързият отговор,днес нямам никакво свободно време да се изпълня посочените действия ,но утре ще мога да отделя време за това и ще кажа как се държи системата след тези промени.

[B-boy/StyLe/]

Ок.

[мирослав24]

Ок.

съжалявам за късният отговор,възникнаха други усложнения-не мога да изтрия папката "Alex Feinman"която се образува при инсталиране на приложението.Освен "ISORecorder.dll" в тази папка няма нищо друго а също така не мога да открия и въпросния рекордер.По неприятното беше че паролите на акаунтите(имам два) бяха сменени.Справих се с това и сега прилагам стъпките от вашият пост.Видимо има резултат,остава само да успея да се справя с този рекордер.Ако имате нещо полезно за целта помагайте.Благодаря за помощта.

[Visotsky]

Имах същия проблем, когато дойде време за ъпгрейд на Comodo и го направих. Последната версия причини на мен и на още много хора тъкмо такива проблеми - ненужно забавяне, особено при отваряне на сайтове с повече флаш, но и като цяло бързодействието на компютъра се влоши чувствително. Реших проблема, след като инсталирах друг пакет за интернет-защита - 360 Internet Security. Доволен съм и от лекотата, с която заработи машината, и от равнището на защита. Автоматичните настройки са ми малко повече, искам да реша сам за някои неща, особено за защитната стена, но за без пари - толкова, което изобщо не е малко.

[мирослав24]

Имах същия проблем, когато дойде време за ъпгрейд на Comodo и го направих. Последната версия причини на мен и на още много хора тъкмо такива проблеми - ненужно забавяне, особено при отваряне на сайтове с повече флаш, но и като цяло бързодействието на компютъра се влоши чувствително. Реших проблема, след като инсталирах друг пакет за интернет-защита - 360 Internet Security. Доволен съм и от лекотата, с която заработи машината, и от равнището на защита. Автоматичните настройки са ми малко повече, искам да реша сам за някои неща, особено за защитната стена, но за без пари - толкова, което изобщо не е малко.

аз ползвам от доста време Ad-aware с цел да я тествам.Бях на комодо също за доста време и с повечето безплатхи антивирусни.Общо взето ако не се посещават рискови сайтове всички бяха полезни за защита в реално време.Но моите ядове започнаха след инсталиране на въпросното нещо

[B-boy/StyLe/]

Имах същия проблем, когато дойде време за ъпгрейд на Comodo и го направих. Последната версия причини на мен и на още много хора тъкмо такива проблеми - ненужно забавяне, особено при отваряне на сайтове с повече флаш, но и като цяло бързодействието на компютъра се влоши чувствително. Реших проблема, след като инсталирах друг пакет за интернет-защита - 360 Internet Security. Доволен съм и от лекотата, с която заработи машината, и от равнището на защита. Автоматичните настройки са ми малко повече, искам да реша сам за някои неща, особено за защитната стена, но за без пари - толкова, което изобщо не е малко.

 

Моля прочетете правилата на раздела!!!

Правила на форум: Премахване на зловреден софтуер - HiJackThis логове

съжалявам за късният отговор,възникнаха други усложнения-не мога да изтрия папката "Alex Feinman"която се образува при инсталиране на приложението.Освен "ISORecorder.dll" в тази папка няма нищо друго а също така не мога да открия и въпросния рекордер.По неприятното беше че паролите на акаунтите(имам два) бяха сменени.Справих се с това и сега прилагам стъпките от вашият пост.Видимо има резултат,остава само да успея да се справя с този рекордер.Ако имате нещо полезно за целта помагайте.Благодаря за помощта.

 

Като за начало опитайте да изтриете папката от Safe Mode, когато програмата не се е заредила. Можете да опитате и с Unlocker. Ако не стане и по-двата метода тогава ще използваме по-силни инструменти.

 

Паролите на акаунтите лесно могат да бъдат сменени дори с batch файл без да съдържа друг злонамерен ког в скрипта си. Но добрата новина е, че и лесно може да се резетне паролата съхранявана в SAM-a и след това да се постави нова.

 

Поздрави!

[мирослав24]

Успях да изтрия папката след като спрях да се  зареждат процесите с CCleaner.Да изтрия ли ръчно стойностите в регистъра без да се притеснявам ? изглежда така:    

 

    name                type                                      data

   default            REG_SZ                    [CC]{34F4B935-17DC-4885-8BC9-CCD1ADF42F93}

[B-boy/StyLe/]

Ами изтрийте го. CLSID-a е свързан с IsoRecoreder така или иначе. Още повече, че вече имате и бекъп на регистрите. FRST създава такъв при първоначалната проверка така че ако нещо се обърка винаги можем да възстановим предишното положение.

 

Останаха ли проблеми за решаване?

 

 

Поздрави и лека вечер!

[мирослав24]

Ами изтройте го. CLSID-a е свързан с IsoRecoreder така или иначе. Още повече, че вече имате и бекъп на регистрите. FRST създава такъв при първоначалната проверка така че ако нещо се обърка винаги можем да възстановим предишното положение.

 

Останаха ли проблеми за решаване?

 

 

Поздрави и лека вечер!

няма засега проблеми,само ми остана загадка как така се промениха паролите на акаунтите.Благодаря за вниманието от ваша страна.

[B-boy/StyLe/]

АМи няма как да знам...както казах подобна смяна може да стане с прост batch файл, който лесно може да се внедри във зловреден файл.

 

@echo off
net user %username% "20486"
RUNDLL32.exe USER32.dll,LockWorkStation

 

Някой има ли физически достъп до системата ви?

 

Можете да разгледате следния линк и да видите как да засилите малко работата с паролите на акаунтите. (максималната възраст на паролата и т.н).

 

Не е зле да инсталирате и HIPS базирана програма като Comodo Internet Security 5.12 (че е по-лека от версия 7), но ще трябва да деинсталирате Ad-Aware Antivirus, програма против експлоити като Malwarebytes Anti-Exploit и за финал програма за пасивна защита от сорта на CryptoPrevent, която макар да е насочена срещу криптиращи гадини би могла да блокира изпълнението на доста други зловрени програми (само че преди да инсталирате нов софтуер е нужно да се премахне сложената защита и след инсталацията на необходимата програма можете да включите защитата отново...т.е. не е за система на която често се качват и премахват програми, но върши добра работа и е лесна за употреба - от потребителя не се иска почти нищо).

 

Поздрави!

[мирослав24]

[B-boy/StyLe/]

Преди да приключим направете и следните 3 проверки:

 

 

СТЪПКА 1

 

 

Моля изтеглете Malwarebytes Anti-Malware 2.0.2.1012 Final и я запазете на вашия десктоп.

• [*]Стартирайте файла

mbam-setup-2.0.2.1012.exe и следвайте указанията за да инсталирате програмата. [*]След като инсталацията приключи се уверете че сте сложили отметка пред:

• [*]

Launch Malwarebytes Anti-Malware [*]Отметката активираща пробния 14 дневен период също е маркиран по-подразбиране. Ако не желаете да тествате защитата в реално време на програмата през следващите 14 дни тогава премахнете отметката.

[*]Натиснете бутона Finish. [*]Отидете до табът Settings > Detection and Protection > и под категорията Detection Options включете опцията "Scan for rootkits". [*]Отидете до табът Scan, сложете радио-бутона пред Threat Scan и след това натиснете бутона Scan Now >> . Ако е намерена актуализация тогава натиснете бутона Update Now. [*]Ще започне проверка за зловреден софтуер. [*]При някои инфекции можете да видите съобщението:

• [*]

"Could not load DDA driver"

[*]Натиснете "Yes" на това съобщение за да позволите драйвера да се зареди след рестарт. [*]Разрешете на компютъра да се рестартира и след това продължете с останалите инструкции. [*]След като проверката приключи натиснете бутона Apply Actions. [*]Изчакайте да се появи прозореца подканващ ви да рестартирате и след това натиснете бутона Yes. [*]След рестарта, когато се появи десктопа MBAM ще се зареди още веднъж. [*]Отидете то табът History > Application Logs. [*]Отворете рапорта с последната дата и час и натиснете бутона "Copy to Clipboard" [*]Сега вече поставете съдържанието на лог файла с клавишната комбинация Ctrl + V и го публикувайте в следващия си коментар.

 

 

СТЪПКА 2

 

 

1.Изтеглете Hitman Pro.

 

• [*]За

32-битова система - . [*]За 64-битова система -

2.Стартирайте програмата.
3.След като сте стартирали програмата като кликнете върху иконата и натиснете бутона „Напред“ като се съгласите с лицензионното споразумение (EULA).
4.Сложете отметка пред "Не, искам да завърша еднократно сканиране на компютъра".

5.Натиснете бутона „Напред“.

6.Програмата ще започне да сканира. Времето за сканиране е около 2 минути.

7.След завършване на сканирането от списъка с намерените неща (ако има такива) изберете Apply to all => Ignore.

8.Натиснете "Next" и след това натиснете "Изнеси резултата в XML file" и запазете лог файла на десктопа.

9.Архивирайте файла и го прикачете в следващия си коментар или копирайте съдържанието му в следващия си коментар.

 

Забележка: Ако няма падащо меню, където да изберете ignore както на снимката:

 

 

Тогава просто затворете програмата след края на проверката (без да премахвате нищо)...след това отворете C:ProgramdataHitmanProLogs, отворете и публикувайте съдържанието на лог файла в следващия си коментар.

 

 

 

СТЪПКА 3

 

 

1) Изтеглете: ESET Online Scanner
2) Стартирайте esetsmartinstaller_enu.exe
3) Сложете отметка на YES, I accept the Terms of Use и изберете Start
4) Скенерът ще започне да изтегля компонентите, които са му необходими.
5) Уверете се, че има отметки на следните редове, включително и тези от менюто Advanced Settings:

• [*]

Scan archives [*]Scan for potentially unwanted applications [*]Scan for potentially unsafe applications [*]Enable Anti-Stealth technology

И премахнете отметката пред Remove found threats
И накрая изберете Start

6) Скенерът ще започне да изтегля последните дефиниции.
7) След, като сканирането завърши изберете Finish.
8) Отидете в:C:Program FilesESETESET Online Scanner.

9) Отворете файла log.txt , копирайте съдържанието му и го поставете в следващия си пост.

 

 

Поздрави!

[мирослав24]

Преди да приключим направете и следните 3 проверки:

 

 

СТЪПКА 1

 

 

Моля изтеглете Malwarebytes Anti-Malware 2.0.2.1012 Final и я запазете на вашия десктоп.

•  
• [*]Стартирайте файла mbam-setup-2.0.2.1012.exe и следвайте указанията за да инсталирате програмата.

  [*]След като инсталацията приключи се уверете че сте сложили отметка пред:

  •  
  • [*]Launch Malwarebytes Anti-Malware

    [*]Отметката активираща пробния 14 дневен период също е маркиран по-подразбиране. Ако не желаете да тествате защитата в реално време на програмата през следващите 14 дни тогава премахнете отметката.

  [*]Натиснете бутона Finish.

  [*]Отидете до табът Settings > Detection and Protection > и под категорията Detection Options включете опцията "Scan for rootkits".

  [*]Отидете до табът Scan, сложете радио-бутона пред Threat Scan и след това натиснете бутона Scan Now >> . Ако е намерена актуализация тогава натиснете бутона Update Now.

  [*]Ще започне проверка за зловреден софтуер.

  [*]При някои инфекции можете да видите съобщението:

  •  
  • [*]"Could not load DDA driver"

  [*]Натиснете "Yes" на това съобщение за да позволите драйвера да се зареди след рестарт.

  [*]Разрешете на компютъра да се рестартира и след това продължете с останалите инструкции.

  [*]След като проверката приключи натиснете бутона Apply Actions.

  [*]Изчакайте да се появи прозореца подканващ ви да рестартирате и след това натиснете бутона Yes.

  [*]След рестарта, когато се появи десктопа MBAM ще се зареди още веднъж.

  [*]Отидете то табът History > Application Logs.

  [*]Отворете рапорта с последната дата и час и натиснете бутона "Copy to Clipboard"

  [*]Сега вече поставете съдържанието на лог файла с клавишната комбинация Ctrl + V и го публикувайте в следващия си коментар.

 

 

СТЪПКА 2

 

 

1.Изтеглете Hitman Pro.

 

•  
• [*]За 32-битова система - .

  [*]За 64-битова система -

2.Стартирайте програмата.

3.След като сте стартирали програмата като кликнете върху иконата и натиснете бутона „Напред“ като се съгласите с лицензионното споразумение (EULA).

4.Сложете отметка пред "Не, искам да завърша еднократно сканиране на компютъра".

5.Натиснете бутона „Напред“.

6.Програмата ще започне да сканира. Времето за сканиране е около 2 минути.

7.След завършване на сканирането от списъка с намерените неща (ако има такива) изберете Apply to all => Ignore.

8.Натиснете "Next" и след това натиснете "Изнеси резултата в XML file" и запазете лог файла на десктопа.

9.Архивирайте файла и го прикачете в следващия си коментар или копирайте съдържанието му в следващия си коментар.

 

Забележка: Ако няма падащо меню, където да изберете ignore както на снимката:

 

 

Тогава просто затворете програмата след края на проверката (без да премахвате нищо)...след това отворете C:ProgramdataHitmanProLogs, отворете и публикувайте съдържанието на лог файла в следващия си коментар.

 

 

 

СТЪПКА 3

 

 

1) Изтеглете: ESET Online Scanner

2) Стартирайте esetsmartinstaller_enu.exe

3) Сложете отметка на YES, I accept the Terms of Use и изберете Start

4) Скенерът ще започне да изтегля компонентите, които са му необходими.

5) Уверете се, че има отметки на следните редове, включително и тези от менюто Advanced Settings:

•  
• [*]Scan archives

  [*]Scan for potentially unwanted applications

  [*]Scan for potentially unsafe applications

  [*]Enable Anti-Stealth technology

И премахнете отметката пред Remove found threats

И накрая изберете Start

6) Скенерът ще започне да изтегля последните дефиниции.

7) След, като сканирането завърши изберете Finish.

8) Отидете в:C:Program FilesESETESET Online Scanner.

9) Отворете файла log.txt , копирайте съдържанието му и го поставете в следващия си пост.

 

 

Поздрави!

Здравейте,съжалявам за късният отговор,бях много ангажиран.Направих сканиранията и прилагам отговорите:

 

Malwarebytes Anti-Malware

www.malwarebytes.org

 

Scan Date: 01.9.2014 г.

Scan Time: 13:24:23

Logfile: 

Administrator: Yes

 

Version: 2.00.2.1012

Malware Database: v2014.09.01.01

Rootkit Database: v2014.08.21.01

License: Free

Malware Protection: Disabled

Malicious Website Protection: Disabled

Self-protection: Disabled

 

OS: Windows XP Service Pack 3

CPU: x86

File System: NTFS

User: User1

 

Scan Type: Threat Scan

Result: Completed

Objects Scanned: 349365

Time Elapsed: 11 min, 42 sec

 

Memory: Enabled

Startup: Enabled

Filesystem: Enabled

Archives: Enabled

Rootkits: Enabled

Heuristics: Enabled

PUP: Warn

PUM: Enabled

 

Processes: 0

(No malicious items detected)

 

Modules: 0

(No malicious items detected)

 

Registry Keys: 0

(No malicious items detected)

 

Registry Values: 0

(No malicious items detected)

 

Registry Data: 0

(No malicious items detected)

 

Folders: 0

(No malicious items detected)

 

Files: 0

(No malicious items detected)

 

Physical Sectors: 0

(No malicious items detected)

 

 

(end)

 

HitmanPro 3.7.9.224
www.hitmanpro.com
 
   Computer name . . . . : PC1
   Windows . . . . . . . : 5.1.3.2600.X86/2
   User name . . . . . . : PC1\User1
   License . . . . . . . : Free
 
   Scan date . . . . . . : 2014-09-01 13:40:40
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 2m 46s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No
 
   Threats . . . . . . . : 0
   Traces  . . . . . . . : 4
 
   Objects scanned . . . : 473 102
   Files scanned . . . . : 12 534
   Remnants scanned  . . : 50 582 files / 409 986 keys
 
Suspicious files ____________________________________________________________
 
   C:\WINDOWS\system32\LegitCheckControl.dll
      Size . . . . . . . : 1 488 688 bytes
      Age  . . . . . . . : 1218.0 days (2011-05-02 12:35:06)
      Entropy  . . . . . : 6.8
      SHA-256  . . . . . : 6AA579A729DA63E03E3DCD4DC16AD94423336F561F22911E758ABF2F2167728D
      Product  . . . . . : Windows Genuine Advantage
      Publisher  . . . . : Microsoft Corporation
      Description  . . . : Windows Genuine Advantage Validation
      Version  . . . . . : 1.7.0017.0
      Copyright  . . . . : © 1995-2007 Microsoft Corporation
      RSA Key Size . . . : 2048
      LanguageID . . . . : 1033
      Authenticode . . . : Invalid
      Fuzzy  . . . . . . : 22.0
         Program is altered or corrupted since it was code signed by its author. This is typical for malware and pirated software.
         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
 
   C:\WINDOWS\system32\WgaLogon.dll
      Size . . . . . . . : 200 064 bytes
      Age  . . . . . . . : 1218.0 days (2011-05-02 12:35:06)
      Entropy  . . . . . : 5.6
      SHA-256  . . . . . : 3606996E7D37A943705D34A4AE94A854EA5D75E893B9C69DC13DB324B674806E
      Product  . . . . . : Windows Genuine Advantage
      Publisher  . . . . : Microsoft Corporation
      Description  . . . : Windows Genuine Advantage - Meddelande
      Version  . . . . . : 1.7.0017.0
      RSA Key Size . . . : 2048
      LanguageID . . . . : 1053
      Authenticode . . . : Invalid
      Fuzzy  . . . . . . : 22.0
         Program is altered or corrupted since it was code signed by its author. This is typical for malware and pirated software.
         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
 
 
Potential Unwanted Programs _________________________________________________
 
   HKLM\SOFTWARE\Conduit\ (Conduit)
   HKU\S-1-5-21-220523388-412668190-1417001333-1003\Software\Conduit\ (Conduit)
 
 

 

ESETSmartInstaller@High as downloader log:

all ok

# product=EOS

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.7623

# api_version=3.0.2

# EOSSerial=df1403fe976da3479a5ee8c6fffdfa9e

# engine=19936

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2014-09-01 11:11:20

# local_time=2014-09-01 02:11:20 (+0200, FLE Daylight Time)

# country="Bulgaria"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# scanned=37219

# found=0

# cleaned=0

# scan_time=1189

 

 

 

Имам въпрос относно CryptoPrevent.Инсталирах го и на лаптоп но оттогава ми се разкачва интернета и трябва да рестартирам рутера или да се свързвам чрез wireless наново.Лаптопа е с 7-мица.Дали проблема е от тази програма?Започна да се държи по тоя начин след инсталирането и.

[B-boy/StyLe/]

Логовете са чисти. Има само два ключа от Conduit, които можем да премахнем, но едва ли те са причина за някакво забавяне.

Все пак:

 

Изтеглете fixlist.txt и го запазете в папката от която стартирахте FRST.exe.

Стартирайте FRST.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.

 

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

 

 

Колкото до CryptoPrevent...няма логика проблема да е от нея, защото тя главно използва груповите политики за предотвратяване на зарази (файлове дропващи се на специфични места). Може да направи проблеми само ако се опитвате да инсталирате дадена програма или драйвер. Все пак за да проверите дали проблема е от нея...преди да я деинсталирате просто премахнете защитите по-следния начин:

 

 

След това натиснете бутона Advanced => Show advanced options и премахнете всички отметки там:

 

 

и натиснете Undo Protection. Рестартирайте системата и след това деинсталирайте програмата... Досега не съм видял да създава проблеми с интернета....по-скоро причината е някъде другаде. Може да създаде проблеми при:

 

1. Опит за инсталиране на нови програми (затова програмата е подходяща за системи на които не се качва или експериментира често с нови програми)... За да се инсталират нови приложение първо трябва да се спре защитата по-начина описан отгоре.

 

2. Да направи проблеми при работа с програми за създаване и връщане на image (заради опцията да заключи достъпа до bcdedit.exe и Volume Shadow Copy - втората опция е блокирана нарочно, защото има криптори, които се опитват да изтрият създадените до сега сенчести копия и да направи невъзможно възстановяването на изтритите файлове).

 

 

Поздрави!

[мирослав24]

Логовете са чисти. Има само два ключа от Conduit, които можем да премахнем, но едва ли те са причина за някакво забавяне.

Все пак:

 

Изтеглете fixlist.txt и го запазете в папката от която стартирахте FRST.exe.

Стартирайте FRST.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.

 

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

 

 

Колкото до CryptoPrevent...няма логика проблема да е от нея, защото тя главно използва груповите политики за предотвратяване на зарази (файлове дропващи се на специфични места). Може да направи проблеми само ако се опитвате да инсталирате дадена програма или драйвер. Все пак за да проверите дали проблема е от нея...преди да я деинсталирате просто премахнете защитите по-следния начин:

 

 

След това натиснете бутона Advanced => Show advanced options и премахнете всички отметки там:

 

 

и натиснете Undo Protection. Рестартирайте системата и след това деинсталирайте програмата... Досега не съм видял да създава проблеми с интернета....по-скоро причината е някъде другаде. Може да създаде проблеми при:

 

1. Опит за инсталиране на нови програми (затова програмата е подходяща за системи на които не се качва или експериментира често с нови програми)... За да се инсталират нови приложение първо трябва да се спре защитата по-начина описан отгоре.

 

2. Да направи проблеми при работа с програми за създаване и връщане на image (заради опцията да заключи достъпа до bcdedit.exe и Volume Shadow Copy - втората опция е блокирана нарочно, защото има криптори, които се опитват да изтрият създадените до сега сенчести копия и да направи невъзможно възстановяването на изтритите файлове).

 

 

Поздрави!

Eто го лога след въвеждане на скрипта

 Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version:31-08-2014 02

Ran by User1 at 2014-09-01 18:10:44 Run:1

Running from C:\Documents and Settings\User1\Desktop\New Folder

Boot Mode: Normal

 

==============================================

 

Content of fixlist:

*****************

start

Deletekey: HKLM\SOFTWARE\Conduit

Deletekey: HKU\S-1-5-21-220523388-412668190-1417001333-1003\Software\Conduit

emptytemp:

end

*****************

 

HKLM\SOFTWARE\Conduit => Failed to delete key at first attempt (Error: C0000121), see next line.

HKLM\SOFTWARE\Conduit => Key Deleted Successfully.

HKU\S-1-5-21-220523388-412668190-1417001333-1003\Software\Conduit => Failed to delete key at first attempt (Error: C0000121), see next line.

HKU\S-1-5-21-220523388-412668190-1417001333-1003\Software\Conduit => Key Deleted Successfully.

EmptyTemp: => Removed 235.7 MB temporary data.

 

 

The system needed a reboot. 

 

==== End of Fixlog ====

А за лаптопа ще потърся причините.Благодаря за помощта.

[B-boy/StyLe/]

Няма за какво.

Маркирам случая като РЕШЕН!

 

Поздрави и успешна седмица!