[Admin]

Судя по этой строчке

«reader_s»=C:WINDOWSSystem32reader_s.exe [2009-06-21 61441]

возможно компьютер заражён Virut вирусом, который поражает все выполняемые файлы.

Проверьте ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результаты сканирования вставьте в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Combofix лог выглядит нормально.
Пришлите свежий RSIT лог и сообщите ваша проблема решилась после запуска Combofix или нет.

[Admin]

Особо ничего страшного Combofix не нашёл.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]

"mixer2"="wdmaud.drv"

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

Spyvare Doctor выдал сообщение о 2-х угрозах и 28-и инфекциях мне их удалять?

Возможно он ошибочно определил Combofix как угрозу, если нет, то конечно удаляйте то что он нашёл.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

RegNull::

[HKEY_USERSS-1-5-21-1292428093-1708537768-1417001333-500SoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{6E631DF2-0110-2032-AB70-023482886F0B}*]

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Продолжим проверку компьютера.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

И подскажите как после использования правильно удалить HijackThis и RSIT

RSIT можно просто удалить, стерев сам файл.
Удалить HijackThis можно стандартным способом через панель Добавления/Удаления программ.

Проверим ещё одной программой.
Скачайте сканер OTListIt2 кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Поставьте галочку в пункте «Scan All Users».
* Кликните по кнопке «Run Scan».
* Когда программа закончит работу, будут показаны два лога (OTListIt.txt и Extra.txt).

Вставьте оба OTListIt лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Извините за задержку с ответом.
Скачайте инсталлятор HijackThis кликнув по этой ссылке, но перед тем как будете сохранять этот файл пожалуйста переименуйте его. Назовите его explorer.exe.
Кликните дважды по иконке explorer.exe для установки программы на ваш компьютер.
По окончании процедуры инсталляции на вашем рабочем столе появится иконка HijackThis и программа автоматически запустится.
Если программа автоматически не запустится, то кликните Пуск, Выполнить. Введите %programfiles% и нажмите Enter.
Откройте папку Trend Micro, а в ней HijackThis. Найдите файл HijackThis.exe и переименуйте его в explorer.exe. Запустите это файл.
Перед вами будет показано главное меню.
Кликните по кнопке Do a system scan and save a log.
Запустится процедура сканирования компьютера, когда она завершится, то откроется блокнот с результатами сканирования, так называемый HijackThis лог.
Выделите весь текст и скопируйте в ваше сообщение.

[Admin]

Нужно ещё немного почистить.

Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Скопируйте ниже приведённый текст в Input script Box:

Drivers to delete:

dwshd



Files to delete:

C:WINDOWSSystem32driversdwshd.sys

Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, запишите его на ваш рабочий стол.

Кроме этого проверьте ещё ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.

Жду от вас:
— Avenger лог
— Результаты сканирования сканером Касперского
— Свежий RSIT лог (только log.txt)

[Admin]

после проверки различными антивирусами проблема исчезла

Видно один из этих антивирусов и решил вашу проблему 🙂

В остальном с компьютером проблем нет ? Касперский ничего не находит ?

[Admin]

Заражён один системный файл. Поэтому ещё нужно продолжать лечение.
Но сначала установите Recovery console. Как это сделать описано на странице описания программы Combofix.
После этого просканируйте компьютер программой Combofix и пришлите получившийся лог.

[Admin]

Программа Malwarebytes Anti-malware отработа хорошо 🙂
Но нужно ещё немного подчистить компьютер.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimaldllcache]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkdllcache]



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Лог выглядит нормально.
Для лечения Оперы попробуйте следующее:
Запустите Оперу.
Кликните Инструменты ->Настройки.
Откройте вкладку Дополнительно.
Выберите раздел Содержимое.
Кликните по кнопке Настроить JavaScrypt.
Найдите строку «Папка пользовательских файлов JavaScrypt.
Удалите всё содержимое.
Закройте настройки и саму программу.
Запустите её снова и проверьте в работе.

[Admin]

Лог выглядит нормально.
Как работает компьютер ?

[Автор]

Сообщения