[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Извините за задержку с ответом.
Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{068119DB-00E9-416A-AC2E-9F837E6FB3C3}]



:files

C:Documents and SettingsAll UsersApplication DataMicrosoftMedia Playeryvqdiqu.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог.
Кроме этого пожалуйста подскажите, вам знакома эта программа C:WINDOWSfelix.exe — Felix-Billing Client ?

[Admin]

:services
spupdsvc.exe
yvqdiqu.dll

Не путайте имя сервиса/драйвера и имя файла. Это разные вещи.

C:WINDOWSsystem32spupdsvc.exe
А этот файл чем провинился ?

информация по нему это же чистой воды троян,

Не нужно путать файлы C:WINDOWSsystem32spupdsvc.exe и %Program Files%Common Filesspupdsvc.exe
Это абсолютно разные вещи. Один легальный, а второй троян.
Кроме названия файла вам нужно обращать внимание на дату создания, на то какие файлы были так же созданы в этот момент.

И ещё по-поводу удаления файлов созданных программой дефрагментации (FOUND.xxx), делать это не рекомендуется, так как эти файлы представляют собой отмеченные проблемные места на жестком диске.

В остальном неплохо, я пролечу этого пользователя.
Вам дам новую задачу.

[Admin]

Ещё пришлите содержимое файла mbr_check.

[Admin]

Правда AVG, время от времени, отлавливает пачку троянов, но типа успешно их «хилит»

Если найдёт снова, то запишите имена файлов и название заражения, после чего скиньте в этот топик.

Кроме этого проверьте ещё ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результаты сканирования вставьте в ваш ответ.

offtopic 🙂
И рисунки, конечно Вещь 🙂 Нарисовано на компьютере с использованием планшета ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Некоторое время назад Avast выдал предупреждение об обнаружении Rootkit Gmer.

Сообщение стало появляться после запуска Combofix ?

[Admin]

Malwarebytes Anti-malware поработал хорошо, но нужно ещё немножко подчистить.
Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



:files

%windir%digeste.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог.

[Admin]

Вижу, что троян стал себя активно проявлять.
Пришлите свежий Combofix лог.

[Admin]

очень вам благодарен,уже непервый раз выручаете

Рад помочь 🙂

DDS не показал заражение Firefox`а, таким образом остаётся одно — переустановить программу.
Если нужно сохранить закладки.
Запустите Firefox, кликните Закладки.
Кликните Управление закладками.
Кликните Файл, выберите пункт Экспорт. После переустановки вы можете зайти в это меню и выбрать Импорт для восстановления закладок.
Запишите файл на ваш рабочий стол.

Кликните Пуск, Настройки, Панель управления, Панель удаления и добавления программ.
Удалите Firefox.
Зайдите в папку c:Program Files и удалите папку Mozilla Firefox.
Кликните Пуск, выполнить, введите %appdata% и нажмите Enter.
Откроется папка Application Data. Удалите папку Mozilla.
Скачайте свежйю версию Firefox с сайта http://www.getfirefox.com и установите на компьютер.

В ваш ответ вставьте свежий RSIT лог, и сообщите как работает компьютер.

[Admin]

Несколько завершающих действий.

1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и обновите Windows.

2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.

Запустите программу OTMoveIT3. Кликните по кнопке CleanUp. Если появится запрос на перезагрузку компьютера, то кликните Да/Yes.
Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

3. Подойдите к защите вашего компьютера более серьёзно.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ.

4. Создайте новую точку восстановления и удалите все старые.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

5. И несколько дополнительных советов.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Всего доброго!

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Ваш компьютер заражён несколькими троянами, включая autorun.inf троян.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

sysdrv32

MSNETDED

msrpxy

msrsys

WindowsTelephony

msile



:reg

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"Microsoft(R) System Manager"=-

"netmon"=-



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalmsile]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalMSNETDED]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalmsrsys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalSVCWINSPOOL]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWindowsTelephony]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkmsile]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkMSNETDED]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkmsrsys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkSVCWINSPOOL]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWindowsTelephony]



[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]

"C:WINDOWSsystemsvhost.exe"=-

"C:WINDOWSSystem3260.scr"=-

"C:WINDOWSSystem3281.scr"=-

"C:WINDOWSSystem3244.scr"=-

"C:WINDOWSSystem3245.scr"=-

"C:WINDOWSSystem3278.scr"=-

"C:WINDOWSSystem3283.scr"=-

"C:WINDOWSsystemmsrsys32.exe"=-

"C:WINDOWSSystem3234.scr"=-

"C:WINDOWSsystemmsile.exe"=-

"C:WINDOWSSystem3275.scr"="-

"C:Documents and SettingsВладик12377323801848.exe"=-

"C:Documents and SettingsВладик12377378501896.exe"=-

"C:WINDOWSTEMP20.exe"=-

"C:WINDOWSTEMP48.exe"=-

"C:WINDOWSTEMP81.exe"=-

"C:WINDOWSTEMP84.exe"=-

"C:WINDOWSTEMP77.exe"=-

"C:WINDOWSTEMP42.exe"=-

"C:WINDOWSsystemservices.exe"=-

"C:WINDOWSTEMP6.exe"=-

"C:WINDOWSTEMP70.exe"=-

"C:WINDOWSTEMP61.exe"=-

"C:WINDOWSTEMP7.exe"=-

"C:WINDOWSTEMP75.exe"=-



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{6d2c3b78-1612-11de-a186-00173164511c}]



:files

C:WINDOWSmsmacro32.exe

C:WINDOWSmsoff32.exe

C:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665

C:WINDOWSsystem32driverssysdrv32.sys

C:WINDOWSsystemsvhost.exe

C:WINDOWSsystem32msr.exe

C:WINDOWSsystemmsrsys32.exe

C:WINDOWSsystemmsile.exe

C:WINDOWSsystemservices.exe

C:WINDOWSsystem32sysmgr.exe

C:WINDOWSSystem3260.scr

C:WINDOWSSystem3281.scr

C:WINDOWSSystem3244.scr

C:WINDOWSSystem3245.scr

C:WINDOWSSystem3278.scr

C:WINDOWSSystem3283.scr

C:WINDOWSSystem3234.scr

C:WINDOWSSystem3275.scr

C:WINDOWSTEMP20.exe

C:WINDOWSTEMP48.exe

C:WINDOWSTEMP81.exe

C:WINDOWSTEMP84.exe

C:WINDOWSTEMP77.exe

C:WINDOWSTEMP42.exe

C:WINDOWSTEMP6.exe

C:WINDOWSTEMP70.exe

C:WINDOWSTEMP61.exe

C:WINDOWSTEMP7.exe

C:WINDOWSTEMP75.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог.

[Admin]

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Driver::

NdisFileServices32

abp470n5



Registry::

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{897f4a06-03e6-11de-b61a-c60ebc8a56be}]



File::

c:windowssystem32driversptgpr.sys

c:windowssystem32driversoluenh.sys

F:igsqe.cmd

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{AAF01C24-2681-4FE6-9EDC-F7772F810E73}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}]



:files

C:Documents and SettingsAll UsersApplication DataMicrosoftMedia Playereurrvqu.dll

C:Documents and SettingsAll UsersApplication Datasowwrqu.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог.

[Admin]

аваст ругался на него но удалить не мог (ДВД диск)

Возможно был заражённый ДВД диск, конечно же его никак вылечить нельзя.

Лог чистый, осталась одна не критичная операция. Подчистим реестр от разрешений, который червь установил, для обеспечения доступа в Интренет для себя.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]

"C:WINDOWSSYSTEM32yjua472.exe"=-

"C:DOCUME~19335~1LOCALS~1Tempw7f068.exe"=-

"C:DOCUME~19335~1LOCALS~1Tempw2a0456.exe"=-

"C:DOCUME~19335~1LOCALS~1Tempw95a22.exe"=-

"C:DOCUME~19335~1LOCALS~1Tempwc6da4.exe"=-

"C:WINDOWSTEMPwb4242.exe"=-

"C:WINDOWSTEMPw49df1.exe"=-

"C:DOCUME~166FD~1.ELELOCALS~1Tempw2cc7340.exe"=-



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!.

Как теперь работает компьютер, есть ли проблемы ?
Приложите свежий RSIT лог к вашему ответу.

[Admin]

Для админа всё ок.
Для пользовательской записи, нужно ещё немножко поработать.

Судя по логу, в компьютер вставляли заражённую флешку или подключали заражённый внешний диск (диск F).
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{4d306d88-b519-11dd-a5d9-001558635d37}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{771f48c8-b063-11dd-a5d5-001558635d37}]



File::

f:restoreS-1-5-21-1482476501-1644491937-682003330-1013sweet.exe

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Выглядит нормально. Как работает компьютер, нет проблем ?

[Автор]

Сообщения