[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Что происходит если в менеджере задач попытаться запустить задачу explorer.exe ?

[Admin]

Combofix показывает, что файл c:windowssystem32regsvc.dll заражён.
Проверьте его на на сайте VirusTotal.

В поле Отправить файл кликните по кнопке Browse/Обзор.
Выберите подозрительный фай, о котором я писал выше.
Кликните по кнопке Отправить файл.

Результат сканирования вставьте в ваше ответное сообщение.

[Admin]

Здравствуйте.

Работаю с Combofix давно, и подобных проблем не встречал.
Но раз уж она возникла, то вам правильно подсказали, самое простое сделать откат через Систему восстановления.
Кроме этого, так как Combofix делает полный бекап реестра используя ERUNT, то можно и восстановить реестр в первозданном виде.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Рад что решили свою проблему самостоятельно 🙂

5) В проводнике идем в «{Буква диска с осью}:Windowssystem32» ищем там «regedit32.exe» и запускаем его;) — выдаёт ошибку и пишет, что не может найти…

Попробуйте набрать regedit и нажать Enter.

[Admin]

Логи выглядят нормально.
Вижу вы запускали Combofix. Запустите ещё раз и получившийся лог вставьте в ваше следующее сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Вы вставили главный RSIT лог (log.txt) без верхней части.
Перезапустите программу и получившийся лог вставьте ваше следующее сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"file_4632"=-



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9d92ee9e-e824-11de-b248-002215adde3c}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{aec63b12-55d7-11de-a1fb-d735229a7f60}]



:files

C:DOCUME~1AdminLOCALS~1Tempfile_4632.exe



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:files

C:WINDOWStasksWindowsCheck.job



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"plugin"=-



:files

C:WINDOWSsystem32netprotocol.dll

C:WINDOWSsystem32netprotocol(2)(3).dll

C:WINDOWSsystem32netprotocol(2)(2).dll

C:Program Filesplugin.exe



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}]



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"file_4632"=-



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{aba1d8fa-64e0-11de-9f9d-001e9086b900}]



:files

C:DOCUME~1UserLOCALS~1Tempfile_4632.exe

C:PROGRA~1MYCENT~1



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{0FE8F188-6CC9-55E8-B26C-6C3E65D114E6}]



:files

C:SysFilesaRtt5j_18_TH381TF.dll

C:WINDOWS.0tasksWindowsCheck.job



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

К сожалению гарантии того, что ввод кода удалит все компоненты таких троянов нет.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Содержимое этого лога вставьте в ваше отвеное сообщение.

Так же сообщите как сейчас работает компьютер, есть ли всплывающие окна, затруднения с запуском программ или выходом в Интернет.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога (их содержимое) в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Попробуйте следующее.
Кликните Пуск, Выполнить.
Введите

REG ADD "HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v GlobalUserOffline /t REG_DWORD /d 0 /f

Нажмите Enter.
Перезапустите компьютер и попробуйте обновить программу.

[Автор]

Сообщения