[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

1.не установил Recovery console — это сильно сташно?

В случае возникновения проблем, у вас не будет возможности запустить Recovery console без установочного диска Windows

2.удалил программу ,но процедура удаления была такая же как и поиск вирусов ,делал все правильно.

Попробуйте ещё раз, используйте команду combofix /uninstall

3.осталась папка C:Qoobox в ней папка Quarantine ,а в ней я на сколько понимаю обнаруженные вирусы .Их надо удалять?

Папки удаляются автоматически при деинсталляции программы.

Лог выглядит нормально.

[Admin]

Выглядит так, как будто DrWeb заблокировал браузеру выход в Интернет.
Вы устанавливал просто DrWeb антивирус или DrWeb Security Space ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

инет отключается я перезагружаю модем и он опять включается и через 21 минутту инет отключиется

И этот цикл стабильно повторяется через21 минуту ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Вы так же подключали к компьютеру заражённый внешний носитель информации (флешку).
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microSuper User.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O4 - HKLM..PoliciesExplorerRun: [csrcs] C:WINDOWSsystem32csrcs.exe

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{CFCC781F-4C0E-F943-5C2E-6A8E3389001B}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{050ac5ba-a1e0-11de-a9bc-001e58aa95f9}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{132c177d-e898-11dd-a12b-001e58aa95f9}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{2adbfc40-42ab-11de-8ccd-001e58aa95f9}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{cf8f3b3b-fe64-11dd-a170-001e58aa95f9}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e309cd81-cde0-11de-859b-001e58aa95f9}]



:files

C:SysFilesaFdn9dgR.dll



:Commands

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Всё правильно сделали 🙂

Всего доброго!

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Ваш компьютер заражён трояном, который распространяется с использованием autorun.inf файлов.Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{5c8eee82-9547-11de-a1d1-8000600fe800}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{770c2af1-9624-11de-a1d6-000fea1666db}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{cb3b6e41-94fd-11de-96c4-806d6172696f}]



:files

C:ntlog.dll



:Commands

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

После удаления вирусов

Каких вирусов и чем удаляли ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microAcer.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

F2 - REG:system.ini: Shell=explorer.exe rundll32.exe

O1 - Hosts: 210.51.166.249 odnoklasniki.ru

O1 - Hosts: 210.51.166.249 www.odnoklasniki.ru

O1 - Hosts: 210.51.166.249 vkontakte.ru

O1 - Hosts: 210.51.166.249 odnoklassniki.ru

O1 - Hosts: 210.51.166.249 www.odnoklassniki.ru

O1 - Hosts: 210.51.166.249 www.vkontakte.ru

O1 - Hosts: 210.51.166.249 www.vkontakte.ru

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Выполните эту инструкцию: Как удалить AdSubscribe (CMedia, AdRouter, AdRiver).

В свой ответ вставьте свежий RSIT лог.

[Admin]

Скачайте сканер OTL кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Поставьте галочку в пункте «Scan All Users».
* В окно Custom Scan/Fixes вставьте следующий текст:

netsvcs
%SYSTEMDRIVE%*.exe
%SYSTEMDRIVE%eventlog.dll /s /md5
%SYSTEMDRIVE%scecli.dll /s /md5
%SYSTEMDRIVE%netlogon.dll /s /md5
%SYSTEMDRIVE%cngaudit.dll /s /md5
%SYSTEMDRIVE%sceclt.dll /s /md5
%SYSTEMDRIVE%ntelogon.dll /s /md5
%SYSTEMDRIVE%logevent.dll /s /md5
%SYSTEMDRIVE%iaStor.sys /s /md5
%SYSTEMDRIVE%nvstor.sys /s /md5
%SYSTEMDRIVE%atapi.sys /s /md5
%SYSTEMDRIVE%IdeChnDr.sys /s /md5
%SYSTEMDRIVE%viasraid.sys /s /md5
%SYSTEMDRIVE%AGP440.sys /s /md5
%SYSTEMDRIVE%vaxscsi.sys /s /md5
%SYSTEMDRIVE%nvatabus.sys /s /md5
%SYSTEMDRIVE%viamraid.sys /s /md5
%SYSTEMDRIVE%nvata.sys /s /md5
CREATERESTOREPOINT
* Кликните по кнопке «Run Scan».
* Когда программа закончит работу, будут показаны два лога (OTListIt.txt и Extra.txt).

Вставьте оба OTL лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Отдельного списка нет. Думаю они все хранятся в файле с сигнатурами троянов и тд.

по какому принципу они блокируются

Этот адрес засветился как распространитель вредоносных программ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

но в интернет не даёт выйти

Браузер показывал какое-либо сообщение об ошибке ?

[Admin]

Можете эти логи присоединить, используя функцию Добавить вложения.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Возможно вы использовали Combofix, который отключает возможность автозапуска.
И делает это правильно, потому как трояны которые использует эту возможность Windows получили огромное распространение.

раньше и диски и флэшки открывались через автозапуск, а сейчас нет

Лучше жить без этого, зато с чистым компьютером.

[Admin]

С учётом огромного распространения различного типа троянов и других вредоносных программ, которые часто никакой антивирус не определяет, то я бы посоветовал вообще не использовать какие-либо сборки.
Лучше использовать свободное программное обеспечение или приобретать его у производителя 🙂

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon]

"Userinit"="C:\WINDOWS\system32\userinit.exe,"

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

Кроме этого скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога (их содержимое) в ваш ответ. Каждый лог в отдельное сообщение.

[Автор]

Сообщения