[Admin]

пишет что обнаружен dr web хотя у меня он вроде отключен. хотя буду признателен если напишите еще раз как отключить его. заранее напишу что отключил spider guard путем отключения в проге ccleaner.

Антивирус нужно отключать в его собственноых настройках. Запустите DrWeb, войдите в настройки, и отключите автозащиту (spider guard).

Отлично, теперь еще одна проблема появилась, — когда появляется рабочий стол выскакивает сообщение с ошибкой — Cant load language data !

У вас Windows русская версия или английская + модуль руссификации (MUI) ?

[Admin]

Ничего особого.
Как сейчас работает компьютер?

[Admin]

RSIT лог выглядит нормально, есть ли проблемы с компьютером ?

[Admin]

Здравствуйте,
попробуйте деинсталировать NOD используя Revo Uninstaller.
http://google.com/translate?langpair=en%7Cru&u=http://www.revouninstaller.com/

[Admin]

Здравствуйте Тимофей, добро пожаловать на Spyware-ru форум.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

amd64si



:reg

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"Администратор"=-

""=-

"antispy"=-



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

"AppInit_DLLS"=""



:files

C:Documents and SettingsАдминистраторsxdinsxdinsxdinsxdins.exe

C:Documents and SettingsАдминистраторГлавное менюПрограммыАвтозагрузкаRapid Antivirus.lnk

C:Program FilesRapid Antivirus

C:WINDOWSsystem32mmmzrhal.dll

C:Documents and SettingsАдминистраторApplication DataRapid Antivirus

C:Program FilesRapid Antivirus

C:WINDOWSsystem32redirect_key.txt

C:WINDOWSsystem32mmmtzxvy.dll

C:WINDOWSsystem32wincreate.exe

C:WINDOWSsystem32redirect_original.txt

C:WINDOWSsystem32redirect_fake.txt

C:WINDOWSsystem32mmmywcra.dll

C:WINDOWSsystem32mmmhfwxp.dll

C:WINDOWSsystem32mmmaswrl.dll

C:WINDOWSsystem32mmmfsyqy.dll

C:WINDOWSsystem32mmmuptnx.dll

C:WINDOWSsystem32mmmiwgog.dll

C:WINDOWSsystem32mmmquhdn.dll

C:WINDOWSsystem32mmmdicyl.dll

C:WINDOWSsystem32mmmgxiii.dll

C:WINDOWSsystem32search_fid.txt

C:WINDOWSsystem32mmmujvup.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог.

[Admin]

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

PowerManager



:reg

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"din"=-



[-HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^GStartup.lnk]



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

"AppInit_DLLS"=""



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]

"FCFBFICE"=-



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

"{16664848-0E00-11D2-8059-000000000000}"=-



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9209bbf0-5812-11dd-b010-00e018b9243d}]



:files

G:invwft2h.com

C:Documents and SettingsdinApplication DataanvB3

C:Documents and SettingsdinApplication Dataanv7B

C:Documents and SettingsdinApplication Dataanv46

C:Documents and SettingsdinApplication DataanvF

C:Documents and SettingsdinApplication Dataanv55

C:WINDOWSsystem32mmmaxzbe.dll

C:WINDOWSsystem32mmmlrwke.dll

C:Documents and SettingsdinApplication DataanvCC

C:WINDOWSsystem32wincreate.exe

C:Documents and SettingsdinApplication DataanvDE

C:WINDOWSsystem32mmmepqep.dll

C:WINDOWSsystem32redirect_original.txt

C:WINDOWSsystem32redirect_fake.txt

C:WINDOWSsystem32mmmgdewn.dll

C:WINDOWSsystem32search_fid.txt

C:Documents and SettingsdinApplication DataanvB6

C:WINDOWSsystem32mmmtbhrj.dll

C:Documents and SettingsdinApplication Dataanv8E

C:Documents and SettingsdinApplication Dataanv7

C:Documents and SettingsdinApplication Dataanv5B

C:Documents and SettingsdinApplication DataanvDF

C:Documents and SettingsdinApplication Dataanv9

C:Documents and SettingsdinApplication Dataanv81

C:Documents and SettingsdinApplication Dataanv4A

C:Documents and SettingsdinApplication Dataanv68

C:Documents and SettingsdinApplication Dataanv8

C:Documents and SettingsdinApplication Dataanv9C

C:Documents and SettingsdinApplication Dataanv5A

C:Documents and SettingsdinApplication Dataanv2B

C:Documents and SettingsdinApplication Dataanv93

C:Documents and SettingsdinApplication Dataanv6F

C:Documents and SettingsdinApplication Dataanv11

C:Documents and SettingsdinApplication DataanvEE



:Commands

[emptytemp]

[start explorer]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. По-завершении работы программы должен будет показан лог (в правой части окна программы).

Вставьте в ваше ответное сообщение содержимое этого лога и приложите свежий RSIT лог (только log.txt).

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Скопируйте ниже приведённый текст в Input script Box:

Drivers to delete:

winsecguard



Registry keys to delete:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9188820D-6784-4721-B4C9-49214EDA2EAC}

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{EA982585-D249-40C8-A368-C2BE7944ABC2}



Files to delete

C:Documents and SettingsAll UsersApplication Dataoallib.dll

C:Documents and SettingsAll UsersApplication Dataklhlib.dll

C:WINDOWSDriver Cachezpx2.exe



Folders to delete:

C:Program FilesCommon Files{6EA9B29A-C801-4F76-805F-E41ACF9ED16Z}

Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microUser.exe

и нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующую строку, если она присутствует:

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = http=127.0.0.1:8600

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Вставьте в ваш ответ Avenger лог и свежий RSIT лог.

[Admin]

Проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Содержимое этого лога вставьте в ваш ответ.

[Admin]

Проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Вставьте содержимое этого лога в ваш ответ.

[Admin]

Несколько завершающих действий.

1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и обновите Windows.

2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

3. Подойдите к защите вашего компьютера более серьёзно.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ.

Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую использовать Оперу или Firefox.

4. Создайте новую точку восстановления и удалите все старые.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

5. И несколько дополнительных советов.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Всего доброго!

[Admin]

Хм, смотрю новый троян к вам попал.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

amd64si

ati64si

fips32cup

i386si

netsik

nicsk32

port135sik

securentm

systemntmi



:reg

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Лог выглядит нормально.
Как сейчас работает компьютер ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

is-8SG1Ldrv

ethvzjlx

fips32cup



:reg

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"antispy"=-



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

"AppInit_DLLS"=""



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e452c244-d897-11dc-92e3-0016d35f345e}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ef833660-5fc6-11dd-9361-0016d35f345e}]



:files

C:Program FilesRapid Antivirus

C:WINDOWSsystem32DRIVERS71582088.sys

C:WINDOWSsystem32driversethvzjlx.sys

C:WINDOWSsystem32driversfips32cup.sys

C:WINDOWSsystem32mmmcbikw.dll

C:Documents and SettingsАдминистраторraipwekrygnubipvelsah.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Проверим ещё одной программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Пожалуйста вставьте в ваш ответ второй RSIT лог, он находится на вашем системном диске в папке RSIT и называется info.txt.

Кроме этого проверьте ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результаты сканирования так же вставьте в ваш ответ.

[Автор]

Сообщения