[Admin]

Скачайте свежую версию Combofix.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem]

"DisableTaskMgr"=0

"DisableRegistryTools"=0



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{2a581a98-3ef3-11dd-ac47-001b10000115}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{3d8cf4ec-4374-11dc-a9b9-ab02b5889675}]



File::

I:dyjfsc.exe

H:wdgm.exe

C:WINDOWSsystem32driversgloenm.sys

C:WINDOWSsystem32driversaexpqt00.SYS

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
Так же сообщите как сейчас работает компьютер.

[Admin]

RSIT лог выглядит нормально.

Как сейчас работает компьютер ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Необходима дополнительная проверка.
Проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Содержимое этого лога вставьте в ваше следующее сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Admin]

Здравствуйте.

Combofix лог выглядит нормально, видимо вы правы и combofix подчистил реестр.
В настоящий момент компьютер работает нормально ?

[Admin]

Проверим ещё одно программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

winsecguard



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{4F541691-A732-4D3B-AFC6-9011C1A52935}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{8FF0EE4E-E24E-4E8D-8094-CE9B190D35B4}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{FEB86D92-AF90-4059-9E72-CC283F85A94F}]



:files

C:WindowsHelpzpx2.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microЭдуард.exe

и нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующую строку, если они присутствует:

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = http=127.0.0.1:8600

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Вставьте в ваше ответное сообщение OMoveIt лог и свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.

Получившийся лог вставьте в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Combofix удалил несколько троянов, но нужно ещё немного подчистить реестр.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{2cb92ac8-fa9d-11dd-ac57-0015afff3c52}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{4ec7e745-11a9-11de-ac7d-0015afff3c52}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{940d9934-df4f-11dd-ac3a-0015afff3c52}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{94ff8057-1261-11de-ac7e-0022159bf692}]

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Combofix лог выглядит нормально.

Valeri добрый день подскажите как вы узнали что комп заражон трояном

Из Combofix лога.

[HKEY_USERSS-1-5-21-1454471165-1078145449-1417001333-500SoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{9069E153-DBB9-D31F-3C35-1D0F7CBED9BB}*]

Как сейчас работает компьтер ?
Проверьте ещё ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результат сканирования вставьте в ваш ответ.

[Admin]

Смотря какая программа 🙂
(с) Всё можно, если осторожно.

Плюс бывает вирусы шалят и удаляют со злости важные вещи, плюс существует вероятность сбоя винчестера.

[Admin]

Практически нормально, но есть один драйвер, подозрительный на вид.
Удалим его.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Driver::

Adofomtk

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

САЛАМ АЛЙКУМ , ВАЛРИ. НАКОНЕЧТО ВЫ МНЕ ОТВЕТИЛИ А ТО Я ПОДУМАЛ ЧТО ПОПАЛ В СПИСОК НЕЖЕЛАТЕЛЬНЫХ КЛИЕНТОВ.

Хмм 🙂 Для меня нет нежалательных клиентов, всем рад помочь, НО, мало времени. Поэтому просто физически не успеваю. Отвечаю уже ночью.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Скопируйте ниже приведённый текст в Input script Box:

Drivers to delete:

clbdriver



Registry values to delete:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexplorerSharedTaskScheduler | {B5AC49A2-94F2-42BD-F434-2604812C897D}



Registry keys to delete:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun | advap32

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyWLCtrl32

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalclbdriver.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkAnn45.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkAqq67.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkclbdriver.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkIcn78.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkIvv34.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkKhh34.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkOcc67.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkRii54.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkRqn25.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkSrr14.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWcc12.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWqq67.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkXdd56.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkYss25.sys



Files to delete:

%windir%system32driversclbdriver.sys

Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{151475ae-266c-11dd-8aec-001d603f6aa8}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{5676968b-ad4f-11dc-8a3b-001d603f6aa8}]



:Commands

[emptytemp]

[start explorer]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение:
— Avenger лог
— OTmoveIt лог
— свежий RSIT лог

[Admin]

Тогда остаётся только один вариант, скачать RSIT на рабочий компьютер, записать на флэшку и перенести на нерабочий. Затем получившиеся лог файлы в обратном порядке.

[Admin]

Вы пробовали выйти в Интернет в безопасном режиме с загрузкой сетевый драйверов ? В этом режиме (не путайте просто с Безопасным режимом) сеть должна работать без проблем.

[Автор]

Сообщения