[Admin]

Гораздо лучше, но ещё нужно поработать.

Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Скопируйте ниже приведённый текст в Input script Box:

Drivers to delete:

aygires4

Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, пожалуйста вставьте его в ваш ответ. И снова приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Раз вы уже запускали Combofix, то воспользуемся этой программой для лечения компьютера.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

"AppInit_DLLS"=""



File::

C:WINDOWSsystem32SiteAccess.dll

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Рад вам помочь 🙂

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Удалите RSIT и другие скачанные вами сканеры.

Всего доброго!

[Admin]

Если надо могу написать что на синем экранетолько по англ

Да, эта информация довольно важна. Там должно указываться какой драйвер или программа привела к краху операционной системы.

[Admin]

Несколько завершающих действий.

1. Обновите ваши программы.
Обновите Java, у вас устаревшая версия. Прочитайте эту инструкцию: Как обновить Java.

Зайдите на сайт update.microsoft.com и обновите Windows.

2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Удалите RSIT, OTL и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

3. Подойдите к защите вашего компьютера более серьёзно.

Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую использовать только Оперу или Firefox.

4. Создайте новую точку восстановления.
Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

5. И несколько дополнительных советов.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Всего доброго!

[Admin]

RSIT лог выглядит нормально. Как работает компьютер ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

acpi32

ati64si

fips32cup

i386si

ksi32sk

netsik

nicsk32

port135sik

systemntmi

ws2_32sik

WM System Decode Application



:reg

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

"AppInit_DLLS"=""



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWM System Decode Application]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWM System Decode Application]



[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]

"C:WINDOWSsystemmsdct.exe"=-

"C:WINDOWSSystem3270.scr"=-

"C:WINDOWSSystem324.scr"=-

"C:WINDOWSSystem3214.scr"=-

"C:WINDOWSSystem3236.scr"=-

"C:WINDOWSSystem3286.scr"=-

"C:WINDOWSSystem3246.scr"=-

"C:WINDOWSSystem3234.scr"=-

"C:WINDOWSSystem3250.scr"=-

"C:WINDOWSSystem3237.scr"=-

"C:WINDOWSSystem3220.scr"=-

"C:WINDOWSSystem3256.scr"=-

"C:WINDOWSSystem3224.scr"=-

"C:WINDOWSSystem3231.scr"=-

"C:WINDOWSSystem3230.scr"=-

"C:WINDOWSSystem3248.scr"=-

"C:WINDOWSSystem3240.scr"=-

"C:WINDOWSSystem326.scr"=-

"C:WINDOWSSystem3283.scr"=-

"C:WINDOWSSystem3257.scr"=-

"C:WINDOWSSystem3216.scr"=-

"C:WINDOWSSystem3227.scr"=-

"C:WINDOWSSystem3244.scr"=-

"C:WINDOWSSystem3275.scr"=-

"C:WINDOWSSystem3265.scr"=-

"C:WINDOWSSystem3223.scr"=-

"C:WINDOWSSystem3278.scr"=-

"C:WINDOWSSystem3255.scr"=-

"C:WINDOWSSystem3238.scr"=-

"C:WINDOWSSystem3211.scr"=-

"C:WINDOWSSystem3272.scr"=-

"C:WINDOWSSystem321.scr"=-

"C:WINDOWSsystem32services.exe"=-



:files

C:WINDOWSsystem32SiteAccess.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Логи выглядят нормально. Проверим ещё одной программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Ничего подозрительного нет. Как сейчас работает компьютер ?

[Admin]

сли в кратце, то в большинстве (если не во всех) html-файлах Касперский нашёл Trojan-Clicker.HTML.IFrame.aga — как убрать не знаю, Доктор Веб такое не находит. В некоторых из них ещё нашёлся Trojan-Downloader.JS.Iframe.bes

Это тоже результат поражения вирусом Virut. Этот паразит в каждый найденный html файл вставляет скрытый iframe.
Поэтому, если антивирус их не лечит, то остаётся только удаление или ручное редактирование.

По поводу медленной работы, думаю в данном случае это результат поражения и последующего лечения от вируса.
Попробуйте деинсталлировать сервис пак 3 используя панель добавления.удаления программ, а затем установить этот сервис пак снова. Таким образом вы восстановите в оригинале основные системные файлы. А ещё лучше, как это тяжело не звучит, лучше всего переустановить систему.

[Admin]

Combofix удалили ещё одного трояна и сейчас лог выглядит нормально.
Проверьте ещё ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результаты сканирования вставьте в ваш ответ.

[Admin]

Можете не открывать лог в блокноте, просто присоедините к сообщению полученный файл (вкладка Добавить вложения).

[Admin]

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[-HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorershelliconoverlayidentifiersAdSubscribe]

[-HKEY_CLASSES_ROOTCLSID{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}]



Folder::

c:documents and settingsАдминистраторApplication DataFieryAds

c:documents and settingsАдминистраторApplication DataAdSubscribe

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Как сейчас ведёт себя Avast ?

Ещё проверим ваш компьютер с помощью программы которая ищет руткиты.
Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Содержимое этого файла приложите к вашему ответу.

[Автор]

Сообщения