Созданные ответы форума
-
Сообщения
-
Лог чистый 🙂
Несколько завершающих действий.1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и обновите Windows.2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.
Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
3. Подойдите к защите вашего компьютера более серьёзно.
Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую только использовать Оперу или Firefox.
4. Создайте новую точку восстановления.
Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.5. И несколько дополнительных советов.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Всего доброго!
RSIT лог так же выглядит нормально.
Несколько завершающих действий.1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и проверьте наличие обновлений для Windows.2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.
Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.
3. Подойдите к защите вашего компьютера более серьёзно.
Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ.
Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую использовать только Оперу или Firefox.
4. Создайте новую точку восстановления.
Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.5. И несколько дополнительных советов.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Лог выглядит нормально.
Попробуйте программу ShellExView , скачайте её с этого сайта.
Запустите и по очереди попробуйте по-отключать различные компоненты меню, таким образом найдя тот, который вызывает зависание компьютера.Небольшой комментарий.
Эта программа давно описана на нашем сайте http://www.spyware-ru.com/smitfraudfix/Воспользуемся другой программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Registry::
[-HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorershelliconoverlayidentifiersAdSubscribe]
[-HKEY_CLASSES_ROOTCLSID{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}]
Folder::
c:documents and settings555Application DataFieryAds
c:documents and settings555Application DataAdSubscribeЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.Здравствуйте, добро пожаловать на Spyware-ru форум.
ну, как я смотрю никто не решился ответить. ну чтож и на том спасибо что не забанили.
На этом сайте существует очередь, поэтому вам нужно было лишь подождать некоторое время.
Можно дополнительно проверить ваш компьютер.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Вы вставили только один RSIT лог, нужен второй.
Запустите RSIT снова, в этот раз будет показан один лог — log.txt.
Его и вставьте в ваше следующее сообщение.Здравствуйте.
Компьютер заражён несколькими троянами. Кроме этого, судя по логу к компьютеру подключали множество заражённых дисков (флешек).
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.
* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.
Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.:Processes
explorer.exe
:services
hpdj
:reg
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"lphc1aaj0ee8r"=-
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyWinCtrl32]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWincg03.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWincg60.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWindh48.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWindi71.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinei84.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinhk72.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinhl82.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinko04.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinko50.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinnr82.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinpt50.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinqv26.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinqv37.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinsx26.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinuy72.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinyd26.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWincg03.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWincg60.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWindh48.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWindi71.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinei84.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinhk72.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinhl82.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinko04.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinko50.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinnr82.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinpt50.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinqv26.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinqv37.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinsx26.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinuy72.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinyd26.sys]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0f8c79a0-14f0-11dd-aebf-00c09f712a68}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{2348f7fa-f8c3-11dd-9b0f-00c09f712a68}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{23bb5084-5187-11dd-af03-00c09f712a68}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{402dc49b-5a2a-11de-9b69-00c09f712a68}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{40c92a52-e429-11db-ade3-00c09f712a68}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{6a348a83-4ca5-11dd-aefe-00c09f712a68}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{6a348a95-4ca5-11dd-aefe-00c09f712a68}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7ec13a0a-c0f6-11dd-9ac6-00c09f712a68}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a3de8c44-2176-11dd-aecc-00c09f712a68}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b6e660f0-f669-11dc-ae93-00c09f712a68}]
:Commands
[emptytemp]
[start explorer]
[Reboot]Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.
Несколько завершающих действий.
1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и проверьте наличие обновлений для Windows.2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.
Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.
Оставьте программу Malwarebytes Anti-malware. Обновляйте эту программу время от времени, и выполняйте полное сканирование компьютера раз в неделю.
3. Подойдите к защите вашего компьютера более серьёзно.
Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ.Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую использовать только Оперу или Firefox.
4. Создайте новую точку восстановления и удалите все старые.
Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.
Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.
5. И несколько дополнительных советов.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Всего доброго!
Здравствуйте, добро пожаловать на Spyware-ru форум.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.
* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.
Здравствуйте, добро пожаловать на Spyware-ru форум.
1. Если инсталлятор Malwarebytes Anti-malware не будет запускаться, то переименуйте файл в explorer.exe и попробуйте снова.
2. Если после инсталляции программа не запускается, то кликните Пуск, Выполнить, введите %programfiles% и нажмите Enter, в открывшемся окне откройте папку Malwarebytes Anti-malware в этой папке найдите файл mbam.exe и переименуйте его в explorer.exe, после этого запустите его.Просканируйте компьютер и удалите всё найденное.
Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.:Processes
explorer.exe
:reg
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{B8F88615-A49E-4443-A26F-E97379BE1B1A}]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"winupdate.exe"=-
"Advanced Virus Remover"=-
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLS"="C:PROGRA~1GoogleGoogle Desktop SearchGoogleDesktopNetwork3.dll"
:files
C:Program FilesAdvancedVirusRemover
C:WINDOWSsystem32winupdate.exe
:Commands
[emptytemp]
[start explorer]
[Reboot]Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог (только log.txt).
Ясно, попробуем его определить с помощью ещё одной программы.
Скачайте сканер OTL кликнув по этой ссылке и сохраните файл на вашем рабочем столе.* Дважды кликните по скачанному файлу.
* Поставьте галочку в пункте «Scan All Users».
* Кликните по кнопке «Run Scan».
* Когда программа закончит работу, будут показаны два лога.Вставьте оба OTL лога в ваш ответ. Каждый лог в отдельное сообщение.
Логи выглядят нормально, кроме парый строчек:
O33 — MountPoints2{dc23d4e0-d024-11dd-ba98-00030d4ad98d}ShellAutoRuncommand — «» = F:RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013win32.exe — File not found
O33 — MountPoints2{dc23d4e0-d024-11dd-ba98-00030d4ad98d}Shellopencommand — «» = F:RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013win32.exe — File not foundСудя по ним диск F (флешка) заражён autorun.inf трояном.
И ещё нужно проверить одно место в реестре.
Кликните Пуск, Выполнить, введите regedit и нажмите enter.
Откроется редактор реестра.
В левой панели последовательно открывайте ключи реестра, кликая по знаку + слева от имени ключа:HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
ControlКликните правой клавишей по SafeBoot.
Выберите Экспортировать
Введите имя файла SafeBoot и запишите файл на ваш рабочий стол.
Закройте редактор реестра.Содержимое получившегося файла вставьте в ваш ответ.
