[Admin]

Скачайте RootkitRevealer кликнув по этой ссылке и распакуйте файл в папку, например C:RootkitRevealer.
Отключите соединение с Интернетом и ваш антивирус.
Запустите RootkitRevealer.
Когда программа запустится кликните по кнопке Scan.
Когда сканирование закончится, кликните File->Save и сохраните лог на ваш рабочий стол.
Закройте RootkitRevealer.

Жду от вас RootkitRevealer лог.

[Admin]

Combofix удалил драйвер трояна и сейчас лог выглядит нормально.
Как работает компьютер ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Вы пробовали воспользоваться этой инструкцией http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215 для лечения червя win32.kido ?
Кроме этого ваш компьютер заражён ещё нескольким троянами, но сначала нужно избавиться от Kido.

[Admin]

Нужно ещё немного проверить ваш компьютер.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Что мне посоветуете сделать с плеером для IE?

Попробуйте так же установить самостоятельно.

Зайдите на сайт http://www.adobe.com/ru/ и кликните по кнопке GET ADOBE FLASH PLAYER.
Выберите нужную вам версию, скачайте и установите.

[Admin]

Запустите Оперу.
Кликните Инструменты ->Настройки.
Откройте вкладку Дополнительно.
Выберите раздел Содержимое.
Кликните по кнопке Настроить JavaScrypt.
Найдите строку «Папка пользовательских файлов JavaScrypt».
Удалите всё содержимое.
Сохраните настройки.
Закройте Оперу.

Запустите Оперу снова и проверьте её в работе.

[Admin]

Несколько завершающих действий.

1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и обновите Windows.

2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.

Запустите программу OTMoveIT3. Кликните по кнопке CleanUp. Если появится запрос на перезагрузку компьютера, то кликните Да/Yes.
Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

3. Подойдите к защите вашего компьютера более серьёзно.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ.

Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую установить и использовать только Оперу или Firefox.

4. Создайте новую точку восстановления и удалите все старые.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

5. И несколько дополнительных советов.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Всего доброго!

[Admin]

Касперский сейчас находит что-нибуть ?

Проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.

В ваш ответ вставьте GMER лог и свежий Combofix лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по логу ваш компьютер заражён несколькими троянами, включая autorun.inf троян.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microАдминистратор.exe

и нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующую строку, если она присутствует:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Скопируйте ниже приведённый текст в Input script Box:

Drivers to delete:

abp470n5

nod32drv

ay4f615l

dac970nt

dwshd

Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, запишите его на ваш рабочий стол.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1386de9c-2757-11de-b81a-001bfcab19a6}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1a4d72f6-9d35-11dd-b59b-001bfcab19a6}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{802774fe-648d-11dd-b522-001bfcab19a6}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9fe4591a-e23e-11dd-b65f-001bfcab19a6}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a8d54270-a82f-11dc-b2c5-001bfcab19a6}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{bed2c5f6-abf5-11dc-b2e8-001bfcab19a6}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{c85323b4-dbf6-11dd-b64e-001bfcab19a6}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e859f362-8036-11dd-b551-001bfcab19a6}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{fae6a642-a842-11dc-b358-806d6172696f}]



:files

C:WINDOWSSystem32driversdwshd.sys

C:WINDOWSsystem32driversfijjlo.sys

K:mbil.exe

K:exhp.pif

K:RESTORES-1-5-21-1482476501-1644491937-682003330-1013dark.exe

K:fw.exe

K:znfhvv.exe

M:ftvpv.exe

L:RECYCLERINFO.exe

K:ebflbl.pif

%windir%csrcs.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите Avenger лог и свежий RSIT лог.

[Admin]

RSIT лог выглядит нормально.

Антивирус удалил Flash Desinfector.exe в карантин, в нем обнаружил вирус.

Думаю в данном случае это ошибочное определение.

Кликните Пуск, Выполнить, введите notepad и нажмите enter.
Откроется Блокнот.
Вставьте в него следующий текст:

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP" /fastdetect /NoExecute=OptIn

Кликните Файл, Записать как.
Введите в качестве имени файла boot.ini
При этом в поле Тип файла, выберите Все файлы.
Запишите этот файл в корень диска C (С:).

Перезапустите компьютер.
После этого, как запускается и работает компьютер ?

[Admin]

Здравствуйте Константин, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по всему проблема с железом или возможно сбой биоса.
Если компьютер на гарантии, и вы сами не разбираетесь в компьютерном железе, то лучше всего отнести компьютер в магазин для ремонта.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по описанию и предоставленным вами логам, компьютер заражён трояном DNSChanger (его одной из разновидностей).

Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, пожалуйста вставьте его в ваш ответ.

[Admin]

Здравствуйте.

были проблемы с сетью, но вроде с грехом пополам заработало и через некоторое время снова тотже дефект.

Проблема снова возникла после определённых действий ? Может что-то делали перед тем, как это случилось ?

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Запустите редактор реестра, для этого кликните Пуск, затем Выполнить, введите regedit и нажмите Enter.
В левой панели открывайте по очереде следующие ключи реестра:

HKEY_LOCAL_MACHINE

SYSTEM

CurrentControlSet

Control

Lsa

В правой панели найдите параметр authentication packages, и кликните по нему дважды.
Откроется окно, отредактируйте текст, чтобы было

msv1_0

nwprovau

Кликните OK и закройте редактор реестра.

Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"ctfxmon.exe"=-



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"ctfxmon.exe"=-



:files

C:WINDOWStaskssajeubch.job

C:WINDOWSsystem32sovowuyi.dll

C:WINDOWSsystem32fokivilo.exe

C:WINDOWSsystem32vekukedu.dll

C:WINDOWSsystem32busoguze.dll.vir

C:WINDOWSsystem32wesokaru.exe

C:WINDOWSsystem32nomajuzu.exe

C:WINDOWSsystem32sovowuyi.dll

C:WINDOWSsystem32fokivilo.exe

C:WINDOWSsystem32vekukedu.dll

C:WINDOWSsystem32busoguze.dll.vir

C:WINDOWSsystem32wesokaru.exe

C:WINDOWSsystem32nomajuzu.exe

C:WINDOWSsystem32suwumuwo.dll

C:WINDOWSsystem32seyayewi.dll

C:WINDOWSsystem32powirimu.dll

C:WINDOWSsystem32lilofati.dll

C:WINDOWSsystem32kozezupo.dll

C:WINDOWSsystem32kujonage.dll

C:WINDOWSsystem32rumerubo.dll

C:WINDOWSsystem32wonizaki.dll

C:WINDOWSsystem32jawepuwa.dll

C:WINDOWSsystem32kohuhoro.dll

C:WINDOWSsystem32fedozuta.dll

C:Program FilesAntiSpyware Pro

C:WINDOWSsystem32yoletepu.dll

C:WINDOWSctfxmon.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Автор]

Сообщения