[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

В вашем случае, если сами не можете разобраться, советую обратиться на наш форум Удаление вирусов, троянов, спайваре.

[Admin]

Лог выглядит нормально. Как работает компьютер ?

[Admin]

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microНастя.exe

и нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

R3 - URLSearchHook: (no name) - - (no file)

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,userinit.exe,C:WINDOWSsystem32sdra64.exe,

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{35b10b9a-1f74-11de-ba73-001cf029436c}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{71573ad2-122e-11de-ba10-001cf029436c}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7eaee884-5760-11de-bb64-001cf029436c}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7eaee885-5760-11de-bb64-001cf029436c}]



:files

C:WINDOWSsystem32driversaeo0xkvw.sys

C:WINDOWSsystem32sdra64.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Нужно ещё немножко поработать.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

usprserv



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Рад вам помочь 🙂

Несколько завершающих действий.

1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и проверьте наличие обновлений для Windows.

2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.

Запустите программу OTM. Кликните по кнопке CleanUp. Если появится запрос на перезагрузку компьютера, то кликните Да/Yes.
Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

3. Подойдите к защите вашего компьютера более серьёзно.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ.

Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую установить и использовать Оперу или Firefox.

4. Создайте новую точку восстановления и удалите все старые.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

5. И несколько дополнительных советов.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Всего доброго!

[Admin]

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Driver::

REMOVE



Registry::

[-HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorershelliconoverlayidentifiersAdRouter]

[-HKEY_CLASSES_ROOTCLSID{E2085722-3AC0-4411-A14B-906AFE1A75C4}]



RegLock::

[HKEY_USERSS-1-5-21-1644491937-1844823847-1801674531-500SoftwareMicrosoftInternet ExplorerUser Preferences]



File::

c:program filesAdobeadrouter.dll

c:windowssystem32driversREMOVE.SYS

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Driver::

ilvdxc



NetSvc::

ilvdxc



Registry::

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]

"6225:TCP"=-



[-HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{67KLN5J0-4OPM-33WE-AAX5-34KC2A3453431}]



RegLock::

[HKEY_USERS.DefaultSoftwareMicrosoftInternet ExplorerUser Preferences]

[HKEY_USERSS-1-5-21-57989841-2139871995-725345543-500SoftwareMicrosoftInternet ExplorerUser Preferences]



File::

c:documents and settingsAdminApplication Datazifhh.exe

c:documents and settingsAdminApplication Databhomf.exe

c:documents and settingsAdminApplication Datafemfb.exe

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте инсталлятор HijackThis кликнув по этой ссылке и сохраните файл на ваш рабочий стол.
Кликните дважды по иконке HJTinstall.exe на вашем рабочем столе для установки программы на ваш компьютер.
По окончании процедуры инсталляции на вашем рабочем столе появится иконка HijackThis и программа автоматически запустится.
Перед вами будет показано главное меню.
Кликните по кнопке Do a system scan and save a log.
Запустится процедура сканирования компьютера, когда она завершится, то откроется блокнот с результатами сканирования, так называемый HijackThis лог.
Выделите весь текст и скопируйте в ваше сообщение.

Примечание: если инсталлятор не запускается, то переименуйте его в explorer.exe (в explorer, если у вас не включен режим показа расширения файлов) и попробуйте запустить файл снова.
Когда процесс инсталляции завершиться, кликните Пуск, Выполнить. Введите %programfiles% и нажмите Enter. Последовательно откройте папку Trend Micro, затем HijackThis. Найдите файл HijackThis.exe и переименуйте его в explorer.exe (в explorer, если у вас не включен режим показа расширения файлов). После этого запустите программу.
Далее следуйте инструкциям изложенным выше.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Компьютер можно вылечить и без форматирования.
Скачайте инсталлятор HijackThis кликнув по этой ссылке и сохраните файл на ваш рабочий стол.
Кликните дважды по иконке HJTinstall.exe на вашем рабочем столе для установки программы на ваш компьютер.
По окончании процедуры инсталляции на вашем рабочем столе появится иконка HijackThis и программа автоматически запустится.
Перед вами будет показано главное меню.
Кликните по кнопке Do a system scan and save a log.
Запустится процедура сканирования компьютера, когда она завершится, то откроется блокнот с результатами сканирования, так называемый HijackThis лог.
Выделите весь текст и скопируйте в ваше сообщение.

Примечание: если инсталлятор не запускается, то переименуйте его в explorer.exe (в explorer, если у вас не включен режим показа расширения файлов) и попробуйте запустить файл снова.
Когда процесс инсталляции завершиться, кликните Пуск, Выполнить. Введите %programfiles% и нажмите Enter. Последовательно откройте папку Trend Micro, затем HijackThis. Найдите файл HijackThis.exe и переименуйте его в explorer.exe (в explorer, если у вас не включен режим показа расширения файлов). После этого запустите программу.
Далее следуйте инструкциям изложенным выше.

[Admin]

Зайдите в папку Windows и удалите файл nbtlog.txt, если он есть.
Перезагрузите свой компьютер, после того как ваш компьютер подаст короткий звуковой сигнал, нажмите клавишу F8.
Перед вами покажется меню загрузки Windows, выберите Включить протоколирование загрузки и нажмите Enter.

Когда компьютер загрузиться откройте папку Windows, найдите файл nbtlog.txt и его содержимое вставьте в ваше следующее сообщение.

[Admin]

Необходимо ещё поработать.
Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes
explorer.exe

:services
dwshd
ATIRpcSs

:reg
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalDxw87.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinam44.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWincv13.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWineh37.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinmi26.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinmj80.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinmk13.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinng71.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinpn88.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinqn54.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinrb20.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinug37.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinuv11.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinvg80.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinyl47.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinyx50.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkDxw87.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinam44.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWincv13.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWineh37.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinmi26.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinmj80.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinmk13.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinng71.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinpn88.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinqn54.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinrb20.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinug37.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinuv11.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinvg80.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinyl47.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinyx50.sys]

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«C:WINDOWSsystemmsile.exe»=-
«C:WINDOWSsystemmsdct.exe»=-
«C:WINDOWSSystem3273.scr»=-
«C:WINDOWSSystem3264.scr»=-
«C:WINDOWSSystem3220.scr»=-
«C:WINDOWSSystem3246.scr»=-
«C:WINDOWSSystem3224.scr»=-
«C:WINDOWSSystem3232.scr»=-
«C:WINDOWSSystem3282.scr»=-
«C:WINDOWSSystem3215.scr»=-
«C:WINDOWSSystem323.scr»=-
«C:WINDOWSSystem3250.scr»=-
«C:WINDOWSSystem325.scr»=-
«C:WINDOWSSystem3270.scr»=-
«C:WINDOWSsystem32wznr.exe»=-
«C:WINDOWSSystem3240.scr»=-
«C:WINDOWSSystem324.scr»=-
«C:WINDOWSSystem3237.scr»=-
«C:WINDOWSsystem32rnpc.exe»=-
«C:WINDOWSsystem32mizby.exe»=-
«C:WINDOWSSystem3262.scr»=-
«C:WINDOWSSystem3280.scr»=-
«C:WINDOWSsystem32qzhv.exe»=-
«C:WINDOWSSystem3253.scr»=-
«C:WINDOWSSystem3285.scr»=-
«C:WINDOWSSystem3277.scr»=-
«C:WINDOWSSystem3243.scr»=-
«c:windowssystem32userinit.exe»=-
«C:WINDOWSSystem3276.scr»=-
«C:WINDOWSSystem3288.scr»=-
«C:WINDOWSSystem3258.scr»=-
«C:WINDOWSSystem3235.scr»=-
«C:WINDOWSSystem327.scr»=-

:files
C:WINDOWSviqhq.txt
C:WINDOWSsystem32rdbmju.exe
C:~WRL1550.tmp
C:~WRL1483.tmp
C:~WRL0005.tmp
C:~WRL0003.tmp
C:WINDOWSsystem32qzhv.exe
C:WINDOWSsystem32mizby.exe
C:WINDOWSsystem32rnpc.exe
C:WINDOWSsystem32wznr.exe
C:WINDOWSsystem32rwjjbe.exe

:Commands
[emptytemp]
[start explorer]
[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Лог выглядит нормально. Как работает компьютер ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте инсталлятор HijackThis кликнув по этой ссылке и сохраните файл на ваш рабочий стол.
Кликните дважды по иконке HJTinstall.exe на вашем рабочем столе для установки программы на ваш компьютер.
По окончании процедуры инсталляции на вашем рабочем столе появится иконка HijackThis и программа автоматически запустится.
Перед вами будет показано главное меню.
Кликните по кнопке Do a system scan and save a log.
Запустится процедура сканирования компьютера, когда она завершится, то откроется блокнот с результатами сканирования, так называемый HijackThis лог.
Выделите весь текст и скопируйте в ваше сообщение.

Примечание: если инсталлятор не запускается, то переименуйте его в explorer.exe (в explorer, если у вас не включен режим показа расширения файлов) и попробуйте запустить файл снова.
Когда процесс инсталляции завершиться, кликните Пуск, Выполнить. Введите %programfiles% и нажмите Enter. Последовательно откройте папку Trend Micro, затем HijackThis. Найдите файл HijackThis.exe и переименуйте его в explorer.exe (в explorer, если у вас не включен режим показа расширения файлов). После этого запустите программу.
Далее следуйте инструкциям изложенным выше.

[Admin]

Ваш компьютер, и возможно все подключаемые диски, ещё заражён autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]

"AppInit_DLLs"=""



File::

c:windowssystem32665.tmp

c:windowssystem325C7.tmp

c:windowssystem32562.tmp

c:windowssystem32461.tmp

c:windowssystem32375.tmp

c:windowssystem3227A.tmp

c:windowssystem321A3.tmp

c:windowssystem32F9.tmp

c:windowssystem325C.tmp

c:windowssystem3254.tmp

c:windowssystem3250.tmp

c:windowssystem32509.tmp

c:windowssystem32340.tmp

c:windowssystem3220A.tmp

c:windowssystem325F.tmp

c:windowssystem3252.tmp

c:windowssystem3251.tmp

c:windowssystem3257.tmp

c:windowssystem3255.tmp

c:windowssystem3253.tmp

c:windowssystem327F4.tmp

c:windowssystem326D5.tmp

c:windowssystem326A2.tmp

c:windowssystem325B3.tmp

c:windowssystem32425.tmp

c:windowssystem32381.tmp

c:windowssystem32337.tmp

c:windowssystem322B5.tmp

c:windowssystem32282.tmp

c:windowssystem321AB.tmp

c:windowssystem324D.tmp

c:windowssystem32231.tmp

c:windowssystem32147.tmp

c:windowssystem32SiteAccess.dll

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Раз вы уже запускали Combofix, то запустите ещё раз. Получившийся лог вставьте в ваше следующее сообщение.

[Автор]

Сообщения