[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

и все равно потом Ad-Aware SE Pro 1.06 нашел файлы эти

А что за файлы, путь и имя их можете сообщить ?

[Admin]

RSIT лог выглядит нормально.

он снова нашол зараженные обьекты
F:ioockw.bat — Win32/PSW.OnLineGames.NMY троянская программа

Вполне возможно (мы удалили автозапуск вируса из реестра и основные модули с диска), вам нужно проверить все ваши диски и флешки, при этом с флешками будьте внимательны.
Лучше всего их обработайте Flash Disinfector`ом.

Как сейчас поживает компьютер ?

[Admin]

Да, лог выглядит нормально.

Несколько завершающих действий.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Запустите программу OTMoveIT3. Кликните по кнопке CleanUp. Если появится запрос на перезагрузку компьютера, то кликните Да/Yes.
Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ..

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Admin]

Вы запускали Flash Disinfector ?

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Встаьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.

Вставьте получившийся лог в ваше следующее сообщение.

[Admin]

Извините за задержку с ответом.

Avenger нашел руткит, удалим его.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Скопируйте ниже приведённый текст в Input script Box:

Drivers to delete:

TDSSserv.sys



Files to delete:

%windir%system32driversTDSSigab.sys

Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, пожалуйста вставьте его в ваш ответ.

Попробуйте запустить Malwarebytes Anti-malware.

[Admin]

Кроме информера: ваш компьютер заражён autorun.inf трояном.
Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

ethdfzcf



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{753A8E27-66CF-424B-9DF1-D821231E7E9F}]

[-HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregxqkaiszu.exe]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1fb697ff-b306-11dd-8362-806d6172696f}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{446f1a16-cce8-11dd-b146-002215d0a8ae}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ab20ff0b-dcef-11dd-8cc8-002215d0a8ae}]



:files

C:WINDOWSsystem32driversethdfzcf.sys

C:WINDOWSxqkaiszu.exe

C:Documents and SettingsAll UsersApplication Datamzdlib.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. Так же приложите свежий RSIT лог.

[Admin]

Combofix лог выглядит нормально.

Несколько завершающих действий.

Обновите Java, у вас устаревшая версия. Прочитайте эту инструкцию: Как обновить Java.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

На компьютере нет антивируса, нужно установить любой обязательно!
Кроме этого установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ..

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по логам ваш компьютер так же заражён autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите C:Program Filestrend microАлексей.exe и нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующую строку:

F2 - REG:system.ini: Shell=Explorer.exe work.exe

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

FCI



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{73407F73-6DAE-4FD8-9C8F-9028B18E7E10}]



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"services"=-



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"mswindws"=-



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{5688501a-d584-11dd-b7db-000461443fc2}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{91fd3756-e935-11dd-b7fd-000461443fc2}]



:files

C:Documents and SettingsAll UsersApplication Datazdjlib.dll

C:WINDOWSsystem32mssql.exe

C:WINDOWSservices.exe

C:WINDOWSwork.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. Так же приложите свежий RSIT лог.

[Admin]

Первый файл — это драйвер защиты от копирования, в второй — это драйвер антивируса касперского.
Есть ли сейчас проблемы с компьютером ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

ag02f5wn

auftqegx



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{99EB8A8F-604F-4017-8309-13E28F824776}]



[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{01fe8b32-4200-11dd-806c-000461a7154a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{d384fdc0-c905-11dc-a2c5-806d6172696f}]



:files

C:WINDOWSsystem32msansspc.dll

C:WINDOWSsystem32driversag02f5wn.sys

C:WINDOWSsystem32driversauftqegx.sys

C:Documents and SettingsAll UsersApplication Datamlqlib.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. Так же приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Вижу у вас есть Combofix, воспользуемся этой программой для лечения вашего компьютера.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Driver::

7369aab5

98b49c2b

aw4oj84b



Registry::

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{065C52C3-9AA2-4577-AFB0-33F17EA5686E}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{757FF18E-494C-46AC-AF9D-6A6012C315A3}]



File::

C:WINDOWSSystem32drivers7369aab5.sys

C:WINDOWSSystem32drivers98b49c2b.sys

C:WINDOWSsystem32driversaw4oj84b.sys

C:Documents and SettingsAll UsersApplication Dataxaelib.dll

C:Documents and SettingsAll UsersApplication Dataagblib.dll

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Сразу после запуска ноутбука

Это сразу после включения ? Или уже когда Windows начинает загружаться ?

[Admin]

Лог выглядит нормально. Как работает компьютер ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{99EB8A8F-604F-4017-8309-13E28F824776}]



:files

C:Documents and SettingsAll Users.WINDOWSApplication Datamlqlib.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. Кроме этого приложите свежий RSIT лог.

[Автор]

Сообщения