[Admin]

Лог выглядит нормальн. Как работает компьютер ?

[Admin]

Запустите RSIT, по окончании сканирования откроется блокнот с содержимым лога. Скопируйте всё содержимое в ваше ответное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microНадзор.exe

и нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующую строку, если она присутствует:

F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"services.exe"=-



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]

"oledll"-



:files

C:WINDOWSservices.exe

C:WINDOWSsystem32riodrv.exe

C:WINDOWSsystem32wrZ2tokl.dll

C:WINDOWSsystem32syZ3h.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог (только log.txt).

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Друг посоветовал просканировать комп с помощью Combofix. Я не программист и с компом общаюсь только на уровне чуть продвинутого юзера. Есть ли какие-то подводные камни при использовании программы?

Да, подводные камни есть. Начнём мы процесс лечения с другой программы.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Да, RSIT лог показывает заражение.
Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

sfc



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{7E3EDD51-48FD-40F2-ACE4-0D2D9F2889AE}]



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"MSV"=-

"SystemManger"=-



:files

C:WINDOWSsystem32driverssfc.sys

C:Documents and SettingsAll UsersApplication Datawxilib.dll

C:Documents and SettingsAdministratorStart MenuProgramsStartuptaskmgr.exe

C:Documents and SettingsAdministratorStart MenuProgramsStartuptaksman.exe

C:WINDOWShelphelp31svchost.exe

C:Program FilesInternet Exploreriexplorer.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог.

[Admin]

Я так понимаю проблема с Firefox решилась ?
Причина была в том, что троян установил скрытное дополнение для Firefox, которое и показывало рекламу.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microАдминистратор.exe

и нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

F3 - REG:win.ini: run=C:WINDOWSsystem32portmap.exe

F2 - REG:system.ini: UserInit=userinit.exe

O4 - HKLM..RunOnce: [OTMoveIt] C:OTMoveIt3.exe

O4 - Startup: Quick Office.lnk = C:WINDOWSsystem32portmap.exe

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableRegistryTools"=0



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]

"DisableLocalUserRun"=-

"DisableLocalUserRunOnce"=-



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]

"DisableLocalMachineRun"=-

"DisableLocalMachineRunOnce"=-

"DisableLocalUserRun"=-

"DisableLocalUserRunOnce"=-



:files

C:WINDOWSsystem32portmap.exe

C:WINDOWSsystem32sys32net.dll

C:WINDOWSsystem32lowsec

C:WINDOWSsystem32syZ3h.dll

C:Documents and SettingsАдминистраторГлавное менюПрограммыАвтозагрузкаQuick Office.lnk



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог (только log.txt).

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по логу компьютер заражён autorun.inf трояном, но я не уверен, что именно он является причиной того, что программы не могут найти системный файл.

Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

dwshd



:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1eda6340-fa15-11dc-9b43-000272465f59}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{595813f0-27f1-11de-9bda-000272465f59}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{5eb7bd34-0c41-11dd-9b5d-000272465f59}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{683f50e6-0f63-11dd-9b5f-000272465f59}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{6d606623-abdc-11dd-9b91-000272465f59}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{6d606624-abdc-11dd-9b91-000272465f59}]



:files

E:WINDOWSSystem32driversdwshd.sys

C:EXPLORER.EXE

C:ntde1ect.com

C:hct8ybw.bat

C:RESTORES-1-5-21-1482476501-1644491937-682003330-1013lin32.exe

C:oufddh.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог (только log.txt).

[Admin]

Рад помочь 🙂

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер OTListIt2 кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Поставьте галочку в пункте «Scan All Users».
* Кликните по кнопке «Run Scan».
* Когда программа закончит работу, будут показаны два лога (OTListIt.txt и Extra.txt).

Вставьте оба OTListIt лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Гораздо лучше, но ещё нужно поработать.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

reglockdel::

[HKEY_LOCAL_MACHINESystemControlSet001Services727c1a7a]



File::

c:windowssystem32drivers727c1a7a.sys

c:windowssystem328.tmp

c:windowssystem32C.tmp

c:windowssystem327.tmp

c:windowssystem326.tmp

c:windowssystem32jbnmck.dll

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Большие логи можно добавлять в архив, а получившийся файл прикреплять к сообщению.

Чтобы вылечить Firefox его нужно переустановить.

Если нужно сохранить закладки.
Запустите Firefox, кликните Закладки.
Кликните Управление закладками.
Кликните Файл, выберите пункт Экспорт. После переустановки вы можете зайти в это меню и выбрать Импорт для восстановления закладок.
Запишите файл на ваш рабочий стол.

Кликните Пуск, Настройки, Панель управления, Панель удаления и добавления программ.
Удалите Firefox.
Зайдите в папку c:Program Files и удалите папку Mozilla Firefox.
Кликните Пуск, выполнить, введите %appdata% и нажмите Enter.
Откроется папка Application Data. Удалите папку Mozilla.
Скачайте свежйю версию Firefox с сайта http://www.getfirefox.com и установите на компьютер.

[Admin]

Вижу вы запускали Combofix, запустите ещё раз и получившийся лог вставьте в ваш ответ.

[Admin]

Я не разработчик этой программы, да и списка кодов с их расшифровкой у меня так же нет. В вашем случае, лучше всего обратитесь на форум разработчиков и спросить у них напрямую, думаю они будут только благодарны за выявленный баг.

[Admin]

Нужно подчистить ещё немного.
Запустите HijackThis (смтрите моё предыдущее сообщение).
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

F2 - REG:system.ini: UserInit=C:WINDOWS.0SYSTEM32Userinit.exe,C:WINDOWS.0system32sdra64.exe,

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Автор]

Сообщения