Решена - Trojan.Win32.Ddox.ci

Предложенная утилита от каспера предложенная в верхней части форума нашла троян, но с окончанием agent,после её удаления компьютер ускорился, но старая проблема осталась.
http://webfile.ru/store?userfile=virusinfo_syscure.zip&sid=145502695 virusinfo_syscure.zip
http://webfile.ru/store?userfile=virusinfo_syscheck.zip&sid=48609047 virusinfo_syscheck.zip
http://webfile.ru/store?userfile=hijackthis.log&sid=962107906 hijackthis.log
з.ы. логи делались до проверкой утилитой каспера, если они считаются устаревшими, то обновлю.

 

обновите логи.

 

http://webfile.ru/store?userfile=hijackthis.log&sid=588706630 hijackthis.log
http://webfile.ru/store?userfile=virusinfo_syscheck.zip&sid=62690246 virusinfo_syscheck.zip
http://webfile.ru/store?userfile=virusinfo_syscure.zip&sid=867701956 virusinfo_syscure.zip

 

не могу скачать, перезалейте на другой файлообменник.

 

http://exfile.ru/192726 hijackthis.log
http://exfile.ru/192727 virusinfo_syscheck.zip
http://exfile.ru/192728 virusinfo_syscure.zip

 

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\windows\temp\guardguard.exe');
 StopService('pe3anq6b');
 StopService('ps7anq6b');
 StopService('pf2anq6b');
 StopService('pr2anq6b');
 DeleteFile('c:\windows\temp\guardguard.exe');
 DeleteFile('C:\WINDOWS\system32\gkwdsid.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\pf2anq6b.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ps7anq6b.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\pe3anq6b.sys');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\NOSEventMessages.dll');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\NEventMessages.dll');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_00110514.bat');
 DeleteFile('C:\WINDOWS\system32\pr2anq6b.exe');
 DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
 DeleteFile('C:\WINDOWS\system32\system');
 DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
 DeleteService('pe3anq6b');
 DeleteService('ps7anq6b');
 DeleteService('pf2anq6b');
 DeleteService('pr2anq6b');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Sopcast Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKUS\S-1-5-19\..\RunOnce:  [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE8_02] rundll32  advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User  'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK  SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default  user')
O4 - Startup: _uninst_00110514.lnk = C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_00110514.bat
O20 - AppInit_DLLs: C:\WINDOWS\system32\gkwdsid.dll
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O23 - Service: Battlestrike Drivers Auto Removal (pr2anq6b) (pr2anq6b) - Noviy Disk - C:\WINDOWS\system32\pr2anq6b.exe 

5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

- НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

 

Около половины строк не профиксил, тк их не было. Но всё равно проблема решена, спасибо вам огромное
з.ы. извиняюсь за то, что отвечал долго.