Пропадает все на раб. столе!

[MadeOfHate]

Здравствуйте! У меня такая проблема:

При открытии любой папки, все пропадает (explorer вылетает), а после, секунды через 3-5 все появляется вновь. Даже проводник не пашет.
Но через пуск - выполнить...и обзор не вылетает (т.е. норм, можно по папкам лазить).
Все какие приложения на рабочем столе есть они норм. работают, т.е. ворд, опера, интернет и т.п...

У меня есть подозрения на вирус который переименовывает расширения. Залез я в С\виндовс и увидел: сам explorer.exe и уже переименованный explorer.exe.zottel , и другие файлы:
hh (Microsoft® HTML Help Executable) и hh.exe.zottel;
Just Cause 2 (скринсейвер) и Just Cause 2.c1 (и с2 с3 их просто много).

Удалил explorer.exe.zottel - не помогло.

----

Но это еще не все...
Не знаю бред это или не бред, напишу как оно было:

Включаю Fraps (прогу для записи видео), захожу в колин мкрай дерт 2.
Ну сначало все как обычно прохожу трассы, и вот, захожу в меню игры нажимаю "повтор" - там были горячие клавиши F1 - пауза, F2 - прмтк. назад, F3 - прмтк. вперед и т.п. Потыкал на паузу полюбовался на аварии, и, не заметил что и на Fraps"е тоже была горячая клавиша F1 - запись видео. Сначала не заметил этого - смотрю, игра глючит под 20фпс выдает, а было то всегда стабильно 30-40 и, посмотрев в угол экрана, заметил что запись то идет... И вот подумал на диске С: у меня мало места (~700 мб) а видео то жрет 1 мин - по 200-300 мб (а то и больше). Свернул игру (не выключая запись видео фрапса), и тут оно началось... Захожу в мой комп. чтобы удалить эту видяху... и все исчезло, снова открываю, все тоже самое... Друзья говорят что бывает такое когда у видео "бьётся первый кадр" при записи...
(п.с. я как-то нарыл в инете про проблему закрытии папок из-за находящейся внутри видео и про какие-то форматы с1 с2 с3 и т.п - внимания особого не уделил)...(а зря).
Видео я то удалил (конечно через "выполнить... - обзор" и.т.д), но проблема не решилась. Я то думаю не могет быть такого что разом все закрывалось из-за одного "криво и случайно" снятого видео... Думаю что это бред первого сорта... хотя... кто его знает.

Ладно хватит всякого бреда писать.
Комп я полностью проверял в безопасном режиме и каспером и доктором вебом, AVZ, нашли какие-то левые вирусы, а те которые мне нужны нет.
Ничего мне короче не помогло, прошу вашей помощи.

П.с Больше я склоняюсь к первой точке зрения т.к. более вероятно что вирусы похозяйничали.
Пп.с И еще вопрос, почему не приходят письма на почты типа gmail . com и rambler . ru , только с третьего раза получилось зарегистрироваться на mail . ru.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 QuarantineFile('C:\Program Files\Macromedia\Rus.exe','');
 QuarantineFile('C:\WINDOWS\system32\gpprefcl.dll','');
end.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы.


+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

[MadeOfHate]

Карантин загрузил в шапку с темой, отчет:

Файл сохранён как 110301_100836_virus_4d6cc5a410cc3.zip
Размер файла 621554
MD5 28dd3ce9fa15fe626bad099a2c023342
-------------------------------------------------------------------
Все сделал как написано в теме "Для всех желающих нам помочь".
Загрузил файл на сервер:

Файл сохранён как 110301_100407_virusinfo_files_MICROSOF-2BC0B6_4d6cc497dd09a.zip
Размер файла 35634750
MD5 e84da9486c2351f0d4884204ea58a422

[V_Bond]

читаем приложение 3 правил !

[MadeOfHate]

читаем приложение 3 правил !

Все сделал.

[regist]

Сделайте лог полного сканирования МВАМ

[regist]

Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
O3 - Toolbar: (no name) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - (no file)
O20 - AppInit_DLLs: WLControl.dll

[MadeOfHate]

Выложил лог Malwarebytes' Anti-Malware.
Проблема в HijackThis:
Я когда тыкаю на кнопку "Do a system scan only" немного сканирует чтото а потом прерывается на этой ошибке. (может быть это драйвера принтера ему мешает?) Вложил в сообщение картинку.

[Bratez]

немного сканирует чтото а потом прерывается на этой ошибке.

Нажмите Нет. Разве программа не продолжает работу?

[polword]

- удалите в MBAM

Код:

Объекты реестра заражены:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Заражённые папки:
c:\documents and settings\Admin\application data\winxrar (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\WINDOWS\reconstruction.exe (Trojan.Spambot) -> No action taken.
c:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sview (Trojan.Agent) -> No action taken.

- Сделайте повторный лог MBAM

[MadeOfHate]

Нажмите Нет. Разве программа не продолжает работу?

Нет, просто обрывается на ошибке. Тогда я просто выложу то что он отсканировал.

[regist]

Нет, просто обрывается на ошибке. Тогда я просто выложу то что он отсканировал.

в этом логе видно все записи, в том числе и те которые надо удалить

[MadeOfHate]

Файл сохранён как 110304_091031_virusinfo_files_MICROSOF-2BC0B6_4d70ac870329c.zip
Размер файла 35634750
MD5 e84da9486c2351f0d4884204ea58a422

[regist]

MadeOfHate, что с проблеммами?

[MadeOfHate]

Как было так и осталось...

Может у меня винда сыпаться начала?

[regist]

explorer.exe и уже переименованный explorer.exe.zottel , и другие файлы:
hh (Microsoft® HTML Help Executable) и hh.exe.zottel;

если там до сих пор эти файлы остались, то пришлите эти файлы в карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы.

[MadeOfHate]

Охохо... я заглянул в system32... и офигел. Там каждое приложение с расшир. exe или dll имеет рядом файл с тем же названием но с расшир. .zottel
Мне их вручную собирать? Может быть есть способ, который удалит эти файлы?
Эхх... Ладно пока пришлю карантин из папки С/Windows.

Прикрепил скриншот.

[MadeOfHate]

Файл сохранён как 110304_114402_C-Windows_4d70d0822a887.zip
Размер файла 166617
MD5 9fac75246e62a9900d69697a3e7be338

Папка C/Windows

[regist]

Мне их вручную собирать? Может быть есть способ, который удалит эти файлы?

пока ничего не удаляйте, скорей всего вы имеете дело с файловым вирусом, пришлите несколько переименованных и оригинальных файлов, чтоб отослать их на анализ.

[MadeOfHate]

Архив с оригинальными и зараженными файлами залил на сервер.

Файл сохранён как 110304_124656_system32_4d70df408c474.zip
Размер файла 2087386
MD5 1bfb8e127ce32877c7c2e192df2977cb

Папка system32