[Admin]

Ну что сказать, наиболее вероятно, что моё предыдущее утверждение верно. Компьютер заражён вирусом Virut. Этот вирус поражает все исполняемые и .scr/.htm/.html/.xml/.zip/.rar файлы.
Если есть возможность, то сделайте бэкап всех важных данных, если среди них есть файлы типов перечисленных выше, то перед их использованием, нужно обязательно их проверить антивирусом.
После бэкпа, форматируйте винчестер и переустанавливайте Windows.

[Admin]

То есть при включении компьютера не появляется сообщение о его конфигурации (стандартные сообщения от BIOS`а компьютера) ?
Иными словами при включении, компьютер не включается, а включается спустя какое-то время ?

[Admin]

Лог выглядит нормально.
Можете вспомнить после чего компьютер стал медленно работать ?
Есть ли другие проблемы с компьютером ?

[Admin]

Лог выглядит нормально.
Попробуйте установить другой браузер Firefox или Оперу и зайти в свой почтовый ящик.

[Admin]

Лог выглядит нормально. Как работает компьютер ?

[Admin]

Рад помочь.
Но Касперский нашел ещё один вирус

C:WINDOWSsystem32wbemproquota.exe Зараженный: Trojan.Win32.Agent.cqwy 1

Поэтому предлагаю проверить компьютер ещё одной программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Попробуйте следующее.
Кликните Пуск, Выполнить.
Введите regedit и нажмите Enter.
Откройте в левой панели следующий ключ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs, последовательно нажимая на знак +.
В правой панели кликните дважды по параметру Start, введите 2 и кликните по кнопке OK.
Закройте редактор реестра и перегрузите компьютер.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по логам компьютер заражён autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Files1.exe

и нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe italc.ifo before1main

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes
explorer.exe

:reg
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«services»=-
«systme»=-
«JavaCpl»=-

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«Magic Tree»=-
«srv»=-

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«C:DOCUME~11LOCALS~1Temp831.exe»=-
«C:DOCUME~11LOCALS~1Temp834.exe»=-
«C:DOCUME~11LOCALS~1Temp88C.exe»=-
«C:DOCUME~11LOCALS~1Temp88F.tmp»=-
«C:DOCUME~11LOCALS~1TempC15.tmp»=-
«C:DOCUME~11LOCALS~1TempC8B.tmp»=-
«C:DOCUME~11LOCALS~1TempB3E8.tmp»=-
«C:DOCUME~11LOCALS~1TempFE61.tmp»=-
«C:DOCUME~11LOCALS~1TempFE5E.tmp»=-
«C:DOCUME~11LOCALS~1Temp14B8.exe»=-
«C:DOCUME~11LOCALS~1Temp14BE.exe»=-
«C:DOCUME~11LOCALS~1TempD20A.exe»=-
«C:DOCUME~11LOCALS~1TempD205.tmp»=-
«C:DOCUME~11LOCALS~1TempF750.exe»=-
«C:DOCUME~11LOCALS~1TempF74D.tmp»=-
«C:DOCUME~11LOCALS~1TempF986.exe»=-
«C:DOCUME~11LOCALS~1TempF989.tmp»=-
«C:DOCUME~11LOCALS~1Temp1008.exe»=-
«C:DOCUME~11LOCALS~1Temp1002.tmp»=-
«C:DOCUME~11LOCALS~1Temp556F.tmp»=-
«C:DOCUME~11LOCALS~1Temp56E7.tmp»=-
«C:DOCUME~11LOCALS~1Temp31.tmp»=-
«C:DOCUME~11LOCALS~1Temp36.tmp»=-
«C:DOCUME~11LOCALS~1Temp59FD.exe»=-
«C:DOCUME~11LOCALS~1TempD87.exe»=-
«C:DOCUME~11LOCALS~1TempD83.tmp»=-
«C:DOCUME~11LOCALS~1Temp1A9D.exe»=-

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{362d251c-ed1a-11dd-af14-001d92e1e496}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{3e39bdb2-4422-11dd-ae63-001d92e1e496}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{522fcc19-a3f9-11dd-aed1-001d92e1e496}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{c5306200-3214-11dd-ae49-001d92e1e496}]

:files
C:WINDOWSservices.exe

:Commands
[emptytemp]
[start explorer]
[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог (только log.txt).

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу HijackThis кликнув по этой ссылке, но в диалоге сохранения файла измените имя HijackThis.exe на explorer.exe, после чего сохраните файл на ваш рабочий стол.
Кликните дважды по иконке explorer.exe на вашем рабочем столе для запуска программы.
Откроется главное меню. Кликните по кнопке Do a system scan only.
Когда процесс сканирования закончится отметьте галочкой (слева) строки, которые похожи на следующую:

O4 – HKLM..Run: [9228330172] “c:documents and settingsall usersapplication data23068898139228330172.exe”

Основной признак по которому нужно определять схожестья выделил красным цветом. Цифры могут отличаться.
Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Закройте HijackThis.

Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено. В конце работы будет показан лог, его и вставьте в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis снова. Откроется главное меню.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) строки, которые похожи на следующую:

O4 – HKLM..Run: [9228330172] “c:documents and settingsall usersapplication data23068898139228330172.exe”

Основной признак по которому нужно определять схожесть я выделил красным цветом.
Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Закройте HijackThis.

Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено. В конце работы будет показан лог, его и вставьте в ваш ответ.

[Admin]

Да, Combofix вычисли паразита 🙂

Несколько завершающих действий.

1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и проверьте наличие обновлений для Windows.

2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

3. Подойдите к защите вашего компьютера более серьёзно.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ.

Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую использовать только Оперу или Firefox.

4. Создайте новую точку восстановления.
Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

5. И несколько дополнительных советов.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Всего доброго!

[Admin]

Так как заходя в патчи MS08-067, MS08-068, MS09-001 , необходимо выбрать операционную систему, у меня XP professional SP2 , но заходя по ссылке патча для Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) и скачивая этот файл, я получаю патч для Windows Server 2003, который не работает у меня

К сожалению, тут видно что Microsoft перемудрил.

и проблемма с выкидываниием на главную страницу маил.ру, после каждого сообщения осталась (появилась она после 1го комбофикса) :/

Эта проблема в IE ? Пробовали другой браузер ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Вижу вы запускали Combofix, пришлите мне получившийся лог. Его вы можете найти в корне диска C, лог находится в файле combofix.txt.
Вставьте в ваше следующее сообщение содержимое этого файла.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Выполните эту инструкцию: Как удалить AdSubscribe.
После того как закончите, просканируйте компьютер снова программой RSIT. Получившийся лог вставьте в ваш ответ.

[Автор]

Сообщения