[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Проверим ещё одной программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Судя по логу, Combofix восстановил один инфицированный системный файл, но возможно есть ещё.
Проверьте ещё ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результаты сканирования вставьте в ваш ответ и приложите свежий Combofix лог.

[Admin]

флешки, которые остались зараженными, что делать с ними дальше?

Combofix отключил автозапуск с дисков, поэтому можете вставить их по очереди в компьютер и обработать их программой Flash Disinfector.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

командная строка после работы программы «ComboFix» вместо кирилицы пишет иероглифами

Для начала нужно взглянуть, как Combofix сменил настройки.

Кликните Пуск, Выполнить, введите regedit и нажмите enter.
Откроется редактор реестра.
В левой панели откройте папку HKEY_CURRENT_USER
Кликните правой клавишей по Console.
Выберите Экспортировать
Введите имя файла console и запишите файл на ваш рабочий стол.
Закройте редактор реестра.

Вставьте в ваш ответ содержимое получившегося файла. Для этого откройте его в блокноте.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Да, по логу видно заражение, но тем не менее просканируйте компьютер ещё раз.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по логу ваш диск F (флешка ?) заражён autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

dwshd

sfc



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}]



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"WiniBlueSoft"=-



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"setup2.exe"=-



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalati1fkxx.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkati1fkxx.sys]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{32e4a2ba-158e-11dc-b730-000fead6e02d}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{603a4152-6f48-11dc-b791-000fead6e02d}]



:files

F:Recycledctfmon.exe

F:EXPLORER.EXE

C:WINDOWSsystem32setup2.exe

C:Program FilesWiniBlueSoft Software

C:WINDOWSsystem3255ad9pyware883z.dll

C:WINDOWS5597vir33z.dll

C:WINDOWSsystem32310adownlza9e51353.exe

C:WINDOWS6e5backzoor51739.exe

C:WINDOWS293zs9y503.dll

C:WINDOWS7cd5down5oaze92691.dll

C:WINDOWSsystem32699zthr5at27751.dll

C:WINDOWSsystem32z9576worm6a.exe

C:WINDOWSsystem321763595zus6f2.exe

C:WINDOWS13383hackt5olz89.dll

C:WINDOWSsystem3229970trzj55f.exe

C:WINDOWS6536backdoo9257z.dll

C:WINDOWSsystem3243bzddwa5e1994.dll

C:WINDOWSsystem326z1baddwar52993.dll

C:WINDOWS459faddw9r51492z.dll

C:WINDOWSsystem325f29s9y5arez118.exe

C:WINDOWS1292zir521.exe

C:WINDOWSsystem3223z99wo5m49e.dll

C:WINDOWSsystem3210985not9a-virus5z5.exe

C:WINDOWSsystem325665spazse10749.exe

C:WINDOWS3z1athr9a517127.dll

C:WINDOWSsystem324f0daddwar559z.exe

C:WINDOWS1dff95arse1227z.dll

C:WINDOWSz953worm57a5.exe

C:WINDOWSsystem324a7z5ackdoor11819.exe

C:WINDOWSsystem32104spaz5e5009.dll

C:WINDOWS15d0v5z9193.exe

C:WINDOWS1e6bvzr295.exe

C:WINDOWS18405zt-a9virus72d.dll

C:WINDOWS23701sz51fd9.dll

C:WINDOWSsystem325f97v9rz6735.exe

C:WINDOWS5935wozm559.dll

C:WINDOWS14eathre9t7457z.dll

C:WINDOWSz3974sp5235.exe

C:WINDOWS5e5downloade9162z.exe

C:WINDOWSsystem3212dbzparse9255.exe

C:WINDOWS67ftz9e5t2775.dll

C:WINDOWS17936hzc5tool61.dll

C:WINDOWS2a95a9dwzre2838.dll

C:WINDOWSz982spambot9db5.dll

C:WINDOWS235z5worm9bb.dll

C:WINDOWS96643viruz565.dll

C:WINDOWSsystem321c89t9ie5859z.dll

C:WINDOWSsystem322097trzj4635.exe

C:WINDOWSsystem326629th9ef4z95.exe

C:WINDOWSsystem3223378viru5zf69.exe

C:WINDOWS24989sp59fz.dll

C:WINDOWSsystem321b2fd5wnloaz9r459.dll

C:WINDOWSsystem3236ebdow9loadez16395.exe

C:WINDOWSsystem32902zthreat32350.exe

C:WINDOWS9253spzrse2952.dll

C:WINDOWS2z339hack95ol572.exe

C:WINDOWS13454not-a-vi9uz3c5.dll

C:WINDOWSsystem322z521hack95ol7ac.exe

C:WINDOWSsystem324a3zthr5at114779.dll

C:WINDOWS486eback5o9z199.dll

C:WINDOWSsystem32179zbackdoor2531.exe

C:WINDOWSsystem3215z07tr9j65f.dll

C:WINDOWSsystem3236249ow5loadzr2308.exe

C:WINDOWSsystem32z2304s9y7a25.exe

C:WINDOWS41485hie92520z.exe

C:WINDOWSd4thre9t1z4665.exe

C:WINDOWS2500t9ief2z505.dll

C:WINDOWSsystem3297194zorm7b5.dll

C:WINDOWS9942not-a-vzr5s193.exe

C:WINDOWSsystem326971thr5zt288.exe

C:WINDOWS5f8ste9lz857.exe

C:WINDOWS296595t-a-virus498z.dll

C:WINDOWS7125spyw9re2z585.dll

C:WINDOWS6418zhi592347.dll

C:WINDOWSsystem329z075n5t-a-virus6.exe

C:WINDOWS29750spy15z9.dll

C:WINDOWS5e1baddware949z.dll

C:WINDOWSsystem32658dthizf9127.exe

C:WINDOWS55923not-9-vzrus2c4.dll

C:WINDOWSsystem325823addzare5279.exe

C:WINDOWS282bthrz5915900.dll

C:WINDOWS15550spyze9.dll

C:WINDOWSsystem3223893z5t-a9virus298.exe

C:WINDOWS34zead9wa5e263.exe

C:WINDOWS2925dzwnl9ader976.exe

C:WINDOWSsystem32ef19teal1656z.dll

C:WINDOWSsystem3224298spamb595zd.dll

C:WINDOWS10540not-a-viru53b9z.dll

C:WINDOWSsystem3215585vir9sz56.exe

C:WINDOWS14582not-a-9iru56z5.exe

C:WINDOWS59cfszywa5e1603.exe

C:WINDOWS4551spa9se289z.dll

C:WINDOWSsystem325e66doznloader9429.dll

C:WINDOWS3e5fbazkdoor5999.dll

C:WINDOWS25e9vi9z96.dll

C:WINDOWS2248th9eaz25526.exe

C:WINDOWSsystem32944notza-95rus6a6.dll

C:WINDOWSsystem3259932viruz9f.dll

C:WINDOWS7573thi9f18z8.dll

C:WINDOWS5487zpy969.dll

C:WINDOWS3744ba9kd5or1651z.dll

C:WINDOWS20987vir5s3zc9.dll

C:WINDOWS16511hac95ooz467.exe

C:WINDOWSsystem325638zi5939.exe

C:WINDOWSsystem325105dozn9o5der1646.dll

C:WINDOWSsystem3299975rzj3c9.dll

C:WINDOWSsystem32291espar952354z.exe

C:WINDOWS92543hacktozl54.dll

C:WINDOWSsystem3292759tro524z.dll

C:WINDOWS51b89zief854.dll

C:WINDOWSsystem3225712z5rm1d69.exe

C:WINDOWSsystem324765s9ywaze1869.exe

C:WINDOWSsystem321d95wnloader952z.dll

C:WINDOWS14290zp511.exe

C:WINDOWSsystem321911vir9s459z.dll

C:WINDOWS5z4faddware9462.exe

C:WINDOWSz7025hac5tool289.exe

C:WINDOWSsystem323016backd9or55z.dll

C:WINDOWSsystem322fd5oz9loader3194.exe

C:WINDOWS789ztr5j2b0.exe

C:WINDOWSsystem325992vi5z457.dll

C:WINDOWSsystem3214693zot-9-virus685.dll

C:WINDOWSsystem329697adz5are448.dll

C:WINDOWS29a1threat1645z.exe

C:WINDOWSz9e9backdoor7155.dll

C:WINDOWSsystem32373viruz591.dll

C:WINDOWSsystem3249f6azdware2595.dll

C:WINDOWSsystem32985ba5zware726.exe

C:WINDOWSsystem325895t5ief938z.dll

C:WINDOWS908035acktozl20c.dll

C:WINDOWS68f9do5nlzader423.dll

C:WINDOWSsystem32c9caddzar59015.exe

C:WINDOWSsystem32setup2.exe

C:WINDOWSsystem321259ztr5j9a1.exe

C:WINDOWSsystem321z549ir11125.dll

C:WINDOWSsystem32z56sp9rse2521.exe

C:WINDOWS30z895orm5149.dll

C:Documents and SettingsUserApplication DataFieryAds

C:WINDOWS2258addwzre9252.dll

C:WINDOWS153wz9m325.exe

C:WINDOWS583bsparz51809.dll

C:WINDOWSsystem3218861notza-vi9us695.dll

C:WINDOWSSystem32driversdwshd.sys

C:WINDOWSsystem32driverssfc.sys



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог (log.txt).

[Admin]

Лог выглядит нормально, за исключением одного сервиса.
Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

usprserv



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.
Так же опишите проблемы с этим компьютером.

[Admin]

Для дополнительной проверки пришлите ещё свежий Combofix лог.

[Admin]

Рад что вы решили свою проблему 🙂

Не забудьте удалить Combofix, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Всего доброго.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Сообщите в каком браузере наблюдается ваша проблема.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Лог выглядит нормально. Как сейчас работает QIP ?

[Admin]

В любом случае можно было вылечить и 9 версию.

Всего доброго.

[Admin]

Откройте папку C:Program FilesMozilla Firefoxextensions
и удалите папку {9CF826EF-2211-4747-ACD8-711F744C2424} стандартной функцией Windows.

Для дефрагментации:
* откройте папку Мой компьютер
* выберите диск, на котором вы хотите выполнить дефрагментацию, щелкнув на нем правой кнопкой мыши
* в появившемся вспомогательном меню выберите пункт Свойства
* кликните по вкладке Сервис
* нажмите кнопку Выполнить дефрагментацию

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

HijackThis лог выглядит нормально.
Попробуйте переустановить InternetExplorer..
Кроме этого, для дополнительной проверки скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Да, судя по Combofix логу, Combofix и подчистил вам компьютер.
Не забудьте продезинфицировать ваш флешки программой Flash Disinfector.

Всего доброго.

[Admin]

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]

"Web Navigate"=-



DDS::

uInternet Settings,ProxyServer = socks=127.0.0.1:7070



FireFox::

FF - user.js: network.proxy.socks - 127.0.0.1

user_pref(network.proxy.socks_port,7070);



File::

c:windowstaskmrg.exe

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Автор]

Сообщения