[Admin]

Лог выглядит нормально. Есть сейчас проблемы с компьютером ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Нужно проверить ещё одной программой.
Скачайте Win32kDiag с одного из следующих ресурсов 1, 2 or 3.

Дважды кликните по файлу Win32kDiag.exe для запуска Win32kDiag.
Откроется черное окошко, когда в нём появится надпись «Finished! Press any key to exit…», нажмите любую клавишу для закрытия окна. На вашем рабочем столе должен появится файл Win32kDiag.txt.

Вставьте содержимое файла Win32kDiag.txt в ваш ответ.

Кроме этого в ваше сообщение вставьте свежий Combofix лог.

[Admin]

Лог чистый 🙂

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Что помогать не будете? 👿

Я что вам чем то обязан ? Ведите себя тактично, а ещё лучше читайте и выполняйте правила этого форума!

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Проверьте ещё ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результаты сканирования вставьте в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Компьютер так же заражён autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{88888888-8888-8888-8888-888888888888}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9D64F819-9380-8473-DAB2-702FCB3D7A3E}]



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]

"csrcs"=-



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b5b4d643-8b34-11de-b8bf-0025112da20c}]



:files

C:Documents and SettingsDaniilApplication Datamsmedia.dll

C:WINDOWSsystem32csrcs.exe



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Раз вы уже запускали Combofix, то запустите ещё раз и получившийся лог вставьте в ваше следующее сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Рад что вы решили своб проблему.

Всего доброго.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Попробуйте следующее.
Запустите Оперу.
Кликните Инструменты ->Настройки.
Откройте вкладку Дополнительно.
Выберите раздел Содержимое.
Кликните по кнопке Настроить JavaScrypt.
Найдите строку «Папка пользовательских файлов JavaScrypt.
Удалите всё содержимое.
Закройте настройки м перезапустите Оперу.

[Admin]

Combofix удалил скрытый троян-руткит. Сейчас лог выглядит нормально.

Комбофикс теперь удалить можно?

Можно, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Как сейчас работает компьютер ?

[Admin]

Нужно ещё немного поработать.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]

"restorer32_a"=-

"mserv"=



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"restorer32_a"=-



File::

c:windowsnyjaqikaxu.com

c:windowscasipof.dat

c:windowsafimukutuh.dat

c:windowsoqagor.dat

c:windowshitajype.com

c:windowsytowemala.dat

c:windowsihyneluv.com

c:windowssivu.com

c:documents and settingsINeysLocal SettingsApplication Datasiwidaw.dat

c:windowsraxefoki.com

c:windowsysywaqytob.com

c:windowsyjyrudif.dat

c:windowsbofyrynob.dat

c:windowslehiny.dat

c:documents and settingsINeysrestorer32_a.exe

c:documents and settingsINeysApplication Datauwyneg.dat

c:documents and settingsAll UsersApplication Datadonahiwo.dat

c:documents and settingsAll UsersApplication Dataujibamij.dat

c:documents and settingsINeysApplication Datakicokuwida.dat

c:documents and settingsINeysApplication Dataseres.exe

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте Win32kDiag с одного из следующих ресурсов 1, 2 or 3.

Дважды кликните по файлу Win32kDiag.exe для запуска Win32kDiag.
Откроется черное окошко, когда в нём появится надпись «Finished! Press any key to exit…», нажмите любую клавишу для закрытия окна. На вашем рабочем столе должен появится файл Win32kDiag.txt.

Вставьте содержимое файла Win32kDiag.txt в ваш ответ.

[Admin]

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[-HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorershelliconoverlayidentifiersCMedia]

[-HKEY_CLASSES_ROOTCLSID{6B830884-20E3-4AB6-B672-2629F0F72071}]



File::

c:users123AppDataRoamingCMediaCMedia.dll



RegLock::

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}000AllUserSettings]

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}001AllUserSettings]

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}002AllUserSettings]

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Автор]

Сообщения