[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Эта реклама появляется на рабочем столе или в только в internetExplorer`е ?

[Admin]

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

navigator



:reg

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"services"=-



:files

C:WINDOWSfd.dll

C:WINDOWSservices.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

IDE устройства, если по простому, подключаются кабелем с широким разъёмом (40 контактов), а SATA маленьким.
Проверьте как у вас устройства подключены. Попробуйте высунуть и вставить их заново (при выключенном компьютере из розетки).

[Admin]

Рад вам помочь 🙂

[Admin]

Это сообщение означает что идёт обнаружение IDE дисков.
У вас к шине IDE сколько подключено устройств ? Все работают нормально ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте свежую версию Combofix, но перед тем как её сохранить (в диалоге сохранить как), переименуйте файл.
Смените имя с combofix.exe на cfix.exe и сохраните файл на ваш рабочий стол.
Запустите cfix.exe.
По-окончании работы программы должен открыться лог. Его содержимое вставьте в ваше следующее сообщение.

[Admin]

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ и приложите свежий RSIT лог.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{27effe22-e85d-11dd-8693-001167ba0f22}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7410c538-720b-11de-871d-001167ba0f22}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{886f5f49-7288-11de-871e-001167ba0f22}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{924932ca-84be-11dd-8651-001167ba0f22}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a03e7724-74e9-11de-8720-001167ba0f22}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a03e7736-74e9-11de-8720-001167ba0f22}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b2a16600-e88d-11dd-8697-001167ba0f22}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{c2b0a670-87ff-11dd-8655-001167ba0f22}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{c5508600-59cd-11de-86e9-001167ba0f22}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{c871d69c-5a58-11de-86ed-001167ba0f22}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{df814ec8-b8db-11dd-8679-001167ba0f22}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{f590bc55-6542-11de-86fe-001167ba0f22}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{fc54c504-5e79-11de-86f3-001167ba0f22}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ffaeb70e-59ce-11de-86ea-001167ba0f22}]



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.
Сохраните лог на ваш рабочий стол.

Проверьте ещё ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.

Результаты сканирования + OTM лог + свежий RSIT лог вставьте в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по сообщению, возможно вирус удалил редактор реестра (regedit.exe). У вас есть другой компьютер с которого можно скопировать файл ?
Кроме этого скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Когда компьютер загрузиться нажмите одновременно CTRL + ALT + DEL.
Должен открыться менеджер задач.

Сообщите открылся или нет.

[Admin]

Скажите, а если Касперски всё равно периодически вирусы мелкие обнаруживает — это нормально?

Насколько часто ? и где, сканируя систему, на флешках ?

Кроме этого нужно проверить ещё один момент.
Кликните Пуск -> Выполнить
В строке ввода введите notepad и нажмите Enter.
Вствавьте в блокнот следующий текст:

dir C:WINDOWSntfs.sys C:WINDOWSbeep.sys C:WINDOWSscecli.dll C:WINDOWSnetlogon.dll C:WINDOWSeventlog.dll C:Windowscngaudit.dll /a h /s > File.txt

Кликните Файл, Сохранить как.
Смените тип файла на: Все файлы.
Введите имя файла find_file.bat и кликните Ok.
Сохраните файл на ваш рабочий стол.
Закройте блокнот.
Дважды кликните по созданному нами файлу find_file.bat.
По-завершению работы на рабочем столе появится файл File.txt, вставьте его содержимое в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Извиняюсь за задержку с ответом. Но я уже писал неоднократно (есть и в правилах), что не нужно стараться поднять топик вверх. Я отвечаю от старых к новым. Поэтому обновляя свой топик, вы только увеличиваете время ожидания.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по логу компьютер и диск F (флешка) ещё заражён autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

abp470n5



:reg

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableTaskMgr"=0

"DisableRegistryTools"=0



[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]

"C:DOCUME~19226~1LOCALS~1Tempwinyrxn.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinjhvwoo.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinvkebb.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinamxm.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempnrah.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwintrxo.exe"=-

"C:DOCUME~19226~1LOCALS~1Templctt.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempeompdn.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempubjl.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinddtg.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinpegb.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempqood.exe"=-

"C:DOCUME~19226~1LOCALS~1Temphqod.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempgpey.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempomul.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinhslsx.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempkfktdm.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwindxsc.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinqvopn.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinijxb.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinivayw.exe"=-

"C:DOCUME~19226~1LOCALS~1Temprhxqm.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinxqhkjb.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinfoaujw.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinutge.exe"=-

"C:DOCUME~19226~1LOCALS~1Templsrp.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempnxpnh.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinvfqge.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempovyrua.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempclyl.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinioltb.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempqqotuv.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinjqnwcv.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinuyly.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinesqxs.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempigow.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinqjgkg.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempepvs.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinblug.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempmpcmku.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempcnix.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempbfxy.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinjpsb.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempbcfbgm.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinmqble.exe"=-

"C:DOCUME~19226~1LOCALS~1Temppgus.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinanoxh.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinvbbigx.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempbmlrr.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempkcbnr.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinhfxjk.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempvjwr.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempxers.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempdmxasa.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinqxfgj.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinfufi.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempjsuot.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinnvsw.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinctla.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinbjvf.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwineaji.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinadkg.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempmbsyv.exe"=-

"C:DOCUME~19226~1LOCALS~1Temptnqmt.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempptug.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinweiagm.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempeveey.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempmbkh.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempmovuk.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinrvhlfy.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinoyqi.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempynqk.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinwaray.exe"=-

"C:DOCUME~19226~1LOCALS~1Tempwinbfvqk.exe"=-





[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1a3192ca-572c-11dc-b603-afea457d0c2e}]



:files

C:WINDOWSsystem32driversplgogn.sys



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И свежий RSIT лог.

[Автор]

Сообщения