[Admin]

Для дополнительной проверки просканируйте компьютер программой RSIT.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

DrWeb при попытке удалить их предупредил: удаление библиотеки может стать причиной сбоев в системе.

На что конкретно жалуется DrWeb ? В сообщении есть имена файлов ?

[Admin]

Я не обладаю информацией о конфигурации вашего компьютера (железе), поэтому что-то конкретное сказать не могу.
Из своего опыта, могу сказать что AVG более медленно работает чем NOD (были жалобы).
В остальном, оба антивируса хороши.

Несколько завершающих действий.

1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и проверьте наличие обновлений для Windows.

2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

3. Подойдите к защите вашего компьютера более серьёзно.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ.

Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую использовать только Оперу или Firefox.

4. Создайте новую точку восстановления.
Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

5. И несколько дополнительных советов.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Всего доброго!

[Admin]

Проверим ещё одной программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Combofix подчистил компьютер.
Есть ли сейчас проблемы ? Приложите свежий Combofix лог к вашему ответу.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[-HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorershelliconoverlayidentifiersAdRouter]

[-HKEY_CLASSES_ROOTCLSID{E2085722-3AC0-4411-A14B-906AFE1A75C4}]



File::

c:program filesAdobeadrouter.dll

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

В момент запуска скрипт CFScript.txt находился на рабочем столе ? Судя по логу он не выполнился.
Попробуйте его создать снова (не забудьте вставить в него содержимое, что я выкладывал ранее), сохраните на рабочий стол. И запустите Combofix снова, как было сказано в моём предыдущем сообщении.

[Admin]

да, забыл добавить важную информацию — на компьютере стоит антивирус symantec. И что плохо я не знаю как его отключить т.к. опции отключения заблокированы администратором.

Вы не обладаете административными правами на этом компьютере ?

Файл который Касперский пометил как опасный находится в кэше автономных файлов.
Для очистки кэша: Откройте папку Мой компьютер, кликните Сервис, откройте вкладку Автономные файлы и выберите Удалить файлы.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Ваш компьютер (и подключаемые диски) заражён так же autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Далее прочитайте и выполните следующую инструкцию: Как удалить AdSubscribe.

Жду от вас свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Если вы ранее скачивали программу Combofix, то удалите её.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

2)C:WINDOWSAdmDll.dll Зараженный: not-a-virus:RemoteAdmin.Win32.RAdmin.20 1

3)C:zqx84w.exe Зараженный: Trojan.Win32.Qhost.loe 1

Первый файл это компонент программы Remote Admin, если вы сами установили эту программы, то файл следует оставить.
Второй файл, наиболее вероятно троян, который распространяется блакгодорят autorun.inf файлам, так называемый autorunf.inf троян.

Как сейчас работает компьютер ?

[Admin]

Несколько завершающих действий.

1. Обновите ваши программы.
Обновите Java, у вас устаревшая версия. Прочитайте эту инструкцию: Как обновить Java.

Зайдите на сайт update.microsoft.com и проверьте наличие обновлений для Windows.

2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.

Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

Оставьте программу Malwarebytes Anti-malware. Обновляйте эту программу время от времени, и выполняйте полное сканирование компьютера раз в неделю.

3. Подойдите к защите вашего компьютера более серьёзно.

Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую установить использовать только Оперу или Firefox.

4. Создайте новую точку восстановления и удалите все старые.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

5. И несколько дополнительных советов.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Всего доброго!

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Извините за задержку с ответом.
Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microUser.exe

и нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

O1 - Hosts: ::1 localhost

O1 - Hosts: 94.232.248.66 browser-security.microsoft.com

O1 - Hosts: 94.232.248.66 antivguardian.com

O1 - Hosts: 94.232.248.66 www.antivguardian.com

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

acpi32

amd64si

ati64si

fips32cup

i386si

ksi32sk

netsik

nicsk32

port135sik

securentm

systemntmi

ws2_32sik

jnv4_mib



:reg

[-HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregUser]

[-HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupfolderC:^Documents and Settings^User^Start Menu^Programs^Startup^rncsys32.exe]





:files

C:Documents and SettingsUserUser.exe

C:Documents and SettingsUserStart MenuProgramsStartuprncsys32.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог (только log.txt).

[Admin]

Нужно ещё немного поработать.
Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microалександр.exe

и нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

O1 - Hosts: ::1 localhost

O1 - Hosts: 209.44.111.62 surety.microsoft.com

O1 - Hosts: 209.44.111.62 aware-protect.com

O1 - Hosts: 209.44.111.62 www.aware-protect.com

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Как сейчас работает ваш компьютер ? Приложите свежий RSIT лог к вашему ответу.

[Автор]

Сообщения