[Admin]

Лог выглядит нормально.
Как работает компьютер ?

[Admin]

Лечим Оперу:
Запустите Оперу.
Кликните Инструменты ->Настройки.
Откройте вкладку Дополнительно.
Выберите раздел Содержимое.
Кликните по кнопке Настроить JavaScrypt.
Найдите строку «Папка пользовательских файлов JavaScrypt.
Удалите всё содержимое.
Сохраните настройки.
Закройте Оперу и запустите её снова.
Проверьте наличие информера.

Cкачайте сканер DDS кликнув по этой ссылке и сохраните файл на вашем рабочем столе.
Дважды кликните по скачанному файлу.
Когда программа закончит работу, будут показаны два лога (DDS.txt и Attach.txt).

В ваш ответ вставьте содержимое DDS.txt лога.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Ваш компьютер так же заражён autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

atbd5tb7

ITGrdEngine



:reg

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"ChristmasTree"=-

"Microsoft Windows logon process"=-

"Internet Antivirus Pro"=-



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{225354fa-9832-11dd-91f2-0013d33bcefd}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{39d84b4c-7f6b-11dd-91b6-0013d33bcefd}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{966f93b8-e6e2-11dd-92a9-0013d33bcefd}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{966f93b9-e6e2-11dd-92a9-0013d33bcefd}]



:files

C:Documents and SettingsAdminApplication DataInternet Antivirus Pro

C:Program FilesInternet Antivirus Pro

C:Program FilesCommon Filesfile.exe

C:Program FilesCommon FilesInternetAntivirusPro.exe

c:RECYCLERS-1-6-21-2434476501-1644491937-600003330-1213

C:Documents and SettingsAdminLocal SettingsApplication DataMicrosoftWindowsservices.exe

C:Documents and SettingsAdminApplication DataMicrosoftWindowswinlogon.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог.

[Admin]

А дальше приступим к лечению 🙂

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{724A6EE6-216C-4CA9-AABD-43C0C3BCDD82}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{C6B765D8-BCF6-4006-85BC-937A5F2A9D56}]



:files

C:Documents and SettingsAll UsersApplication Datamrzlib.dll

C:Documents and SettingsAll UsersApplication Datafhulib.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите к вашему ответу свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Перед тем как приступить к лечению, мне необходимы симптомы заражения.
Что твориться с вашим компьютером, расскажите подробнее.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{1A16EC86-94A1-47D5-A725-49F5970E335D}]



:files

C:Documents and SettingsAll UsersApplication Datazsglib.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

nmlii

NetSvc



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{20D9BE3A-C204-48FB-9988-513409575D5F}]



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"Mouse Suite 98 Daemon"=-

"lsass driver"=-

"servises"=-



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]

"servises"=-



[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt]



:files

C:WINDOWSsystem32driverssfoinaeupop.sys

C:WINDOWSsystem32crypts.dll

C:WINDOWSsystem32digeste.dll

C:WINDOWSmsauc.exe

C:Documents and SettingsAll UsersApplication Dataviylib.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Вообще никаких,даже стандартные Мой компьютер и Мои документы не выставляются.Хотя в Проводнике видно что на рабочем столе все иконки стоят!!!

Но панель задач и кнопку Пуск имеется ?
Если файл сохранять на рабочий стол, то иконка появляется или нет ?

Проверим компьютер с помощью программы которая ищет руткиты.
Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.

Вставьте в ваш ответ содержимое получившегося GMER лога.

[Admin]

Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Скопируйте ниже приведённый текст в Input script Box:

Drivers to delete:

dac970nt

Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.

По-окончании работы будет показан лог, пожалуйста вставьте его в ваш ответ + приложите свежий RSIT лог.

[Admin]

Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено.

В конце работы будет показан лог, его содержимое + свежий RSIT лог вставьте в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Кроме проблемы описанной вами, ваш компьютер заражён autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

winsecguard



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{1A16EC86-94A1-47D5-A725-49F5970E335D}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{3e171eb4-b7b8-11dd-b5ec-00037ac58a8d}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{635487c0-a4b7-11dd-b5cd-00037ac58a8d}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{aa171470-a710-11dd-b5d0-00037ac58a8d}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{aa171471-a710-11dd-b5d0-00037ac58a8d}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{c717f4fc-4401-11dd-b50d-00037ac58a8d}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e4e4140a-b407-11dd-b5e5-00037ac58a8d}]



:files

C:WINDOWSHelpzpx2.exe

C:Documents and SettingsAll Users.WINDOWSApplication Datazsglib.dll

C:WINDOWSsystem32zpx2.exe

E:Recycledctfmon.exe

E:RavMonE.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microSERGEY.exe

и нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующую строку, если она присутствует:

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = http=127.0.0.1:8600

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Вставьте в ваше ответное сообщение содержимое OTMoveIt лога + свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Лог выглядит нормально.
То что RSIT не работает, это бывает в двух случаях, программа блокируется трояном, и в некоторых случаях она не работает по причине точно не установленной (внутренний баг).

Проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.

Жду от вас содержимое получившегося лога.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{7C259B3D-D4FD-4C45-972A-AAEA8B4E33B6}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{072b5e7c-cacb-11dd-8117-00137760a0ab}]



:files

C:Documents and SettingsAll UsersApplication Datamymlib.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё к вашему ответу приложите свежий RSIT лог.

[Автор]

Сообщения