Самопроизвольный запуск программ и открытие окон

Доброго времени суток.

Пару дней назад вкладки в хроме стали обновляться при попытке перейти на любую ссылку (ссылки при этом не открывались). Все это выглядело так, будто глючит мышь, но через пару минут все прекратилось и больше не повторялось.
Затем в хроме поселился тулбар Ask.com, который я удалила.
Через два дня самопроизвольно открылись два окна (Компьютер) и запустилась экранная клавиатура. Дальнейшего развития событий ждать не стала, перезагрузилась и отключилась от сети. После рестарта у Dr Web Security Space 11.0 почему-то оказались отключены два модуля (SpIDer Guard и какой-то еще).

Dr Web Security Space 11.0 ничего не нашел, Kaspersky Virus Removal Tool и AVZ выловили пару троянов в файлах пятилетней давности (все это запускалось в безопасном режиме). AdwCleaner нашел много нехорошего, в том числе остатки тулбара Ask.com. Все удалила.
После проверки удалила хром со всеми настройками, поставила новый. Стоило его запустить, как он тут же закрылся и открылось (и тут же закрылось) еще какое-то окно, после чего я снова сделала принудительную перезагрузку. На харде за полчаса исчезли почти 10 Гбайт (ничего не качалось и не обновлялось).

После всего этого Dr Web Security Space 11.0 нашел два пакета с Trojan.MulDrop6.25803 в C:\Windows\Installer — d6ddfc.msi и d6de06.msi. Оба в карантине.

Еще обнаружила, что не удалена старая версия Java, снесла и поставила свежую.

Прочее: из языковой панели сам исчез русский язык; из автозагрузки исчез SpeedFan.

В логах AVZ беспокоит вот это (в безопасном режиме то же самое):

Функция ntdll.dll:NtMakeTemporaryObject (344) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetSystemTime (532) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwMakeTemporaryObject (1594) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetSystemTime (1782) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SendInput (2143) перехвачена, метод CodeHijack (метод не определен)

Сейчас никакого произвола не наблюдается, но остались прочие подозрительные вещи. Хард иногда начинает усердно работать, хотя в этот момент ничего не загружается и не обновляется. Происходит это только при подключении к сети.
Один раз при старте системы были сильные тормоза, так что курсор двигался рывками; вылечилось только перезагрузкой. Возле курсора периодически появляется кружок, хотя в эти моменты ничего не запускается. Не знаю, связано ли это, но не работает восстановление системы (точки создаются, но восстановление проходит с ошибкой).

Надеюсь на помощь.

Уважаемый(ая) [B]white_noise[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','');
QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll','');
QuarantineFile('C:\Windows\TEMP\1882A5BD.sys','');
QuarantineFile('C:\Windows\System32\drivers\lipjcno.sys','');
QuarantineFile('C:\Windows\TEMP\DAA2472.sys','');
DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll','32');
DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','32');
DeleteFile('C:\Windows\system32\Tasks\{5A69293E-F9C5-4956-87A9-DE99403AE0C1}','64');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

- Сделайте лог [URL=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/URL] и приложите его в теме.

Карантин AVZ получился пустой.

Оба mgrldr.dll, видимо, удалил один из антивирусов, но соответствующие ключи в реестре остались. Уже пыталась вычистить их AdwCleaner'ом, но после перезагрузки они всегда восстанавливаются. Autoruns тоже их подсвечивает с ошибкой File not found.

Логи AdwCleaner и Check Browsers' LNK прилагаю.

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё. Отчет после удаления прикрепите.

Сделала, логи прилагаю.

После перезагрузки хром при запуске выдал ошибку. Второй раз запустился нормально.


После чистки и рестарта, как и стоило ожидать, AdwCleaner опять нашел эти ключи:

Значение Найдено : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll
Значение Найдено : [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Запустила сканирование, Dr.Web сразу нашел в FRST64.exe DPH:Trojan.Encoder.10. Что делать?

[QUOTE=white_noise;1364673]Запустила сканирование, Dr.Web сразу нашел в FRST64.exe DPH:Trojan.Encoder.10. Что делать?[/QUOTE]

Скачивали по ссылке указанной выше?

В случае положительного ответа -> отправьте в вирусную лабораторию Drweb на анализ, возможно ложное срабатывание.

[URL="https://www.virustotal.com/en/file/1cb35a93213562911d4e4218effcb9fc5a946b6e1a99509bcd2b5c936898d159/analysis/1457451408/"]https://www.virustotal.com/en/file/1cb35a93213562911d4e4218effcb9fc5a946b6e1a99509bcd2b5c936898d159/analysis/1457451408/ [/URL]