[Admin]

Чтобы вылечить Firefox необходимо его переустановить.

Кликните Пуск, Настройки, Контрольная панель, панель удаления и добавления программ.
Удалите Firefox.

Далее зайдите в папку C:Program Files и удалите папку Mozilla Firefox.
Кликните Пуск, Выполнить, введите %appdata% и нажмите Enter.
Откроется окно с содержимым папки Application Data, удалите папку Mozilla.

Скачайте свежую версию Firefox и установите на компьютер. Проверьте в работе.

[Admin]

Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Скопируйте ниже приведённый текст в Input script Box:

Registry keys to delete:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{fe7f594b-547e-4d93-a2f2-d90860c79cb3}



Registry values to delete:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun | toniyamewu

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun | CPM87ca00f8

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad | SSODL

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexplorerSharedTaskScheduler | {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}



Registry values to replace with dummy:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows | AppInit_DLLS



Files to delete:

C:WINDOWSsystem32bufufodu.dll

C:WINDOWSsystem32wodekife.dll

C:WINDOWSsystem32zuleluje.dll

C:WINDOWSsystem32yejimoya.dll

C:WINDOWSsystem32wopebulu.dll

C:WINDOWSsystem32vagazodi.dll

C:WINDOWSsystem32tisuleto.dll

C:WINDOWSsystem32sezerabo.dll

C:WINDOWSsystem32nifarake.dll

C:WINDOWSsystem32muzupera.dll

C:WINDOWSsystem32lomuduje.dll

C:WINDOWSsystem32kalerazo.dll

C:WINDOWSsystem32huwulita.dll

C:WINDOWSsystem32hinirole.dll

C:WINDOWSsystem32hezubuti.dll

C:WINDOWSsystem32dikemude.dll

C:WINDOWSsystem32bajibuli.dll

C:WINDOWSsystem32xvcord.dll

C:WINDOWSsystem32igurohib.ini

C:WINDOWSsystem32cbdzfr.dll

C:WINDOWSsystem32azonakon.ini

C:WINDOWSsystem32dtcnsv.dll

C:WINDOWSsystem32efifehur.ini

C:WINDOWSsystem32byxccw.dll

C:WINDOWSsystem32iyizoyub.ini

C:WINDOWSsystem32kyvwaj.dll

C:WINDOWSsystem32ojasudan.ini

C:WINDOWSsystem32niytuj.dll

C:WINDOWSsystem32ilekebez.ini

C:WINDOWSsystem32erpuho.dll

C:WINDOWSsystem32anosihuy.ini

C:WINDOWSsystem32ortwhi.dll

C:WINDOWSsystem32kdecqx.dll

C:WINDOWSsystem32enefiwip.ini

C:WINDOWSsystem32bfkmkc.dll

C:WINDOWSsystem32alolek.dll

Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, запишите его на ваш рабочий стол.

Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]

"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог.

Жду от вас
— Avenger лог
— OTMoveIt лог
— свежий RSIT лог

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Раз вы уже запускали Combofix, то запустите снова. Получившийся лог вставьте в ваше следующее сообщение. Это нужно для дополнительной проверки.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

vmi386

ajgkm6la

al6rfplt

01SAC

0ZL7203BUH

18WI3V

29YMG3

2I3ZH0U2

2X0GRQN8D

3BUFF

45YHK3J

4NX99N9OJRR1

4Y817PF

66NZGF

9BTAMB4WACI

9LBPU5AU

A0BX03ZP7

ADN2I683

B4TA1G

B5CL9WC2TN

FL5U28QJ

FY37G48K

GF9EY79FI5SX

H1YH7PJQ

H6QF83

HSRJA

K1NJC

KE9XY66KU9C

KL2LA7TC

M0W1GPJ2A

NCCLMMTTEE

ORACFA

OYJC0

REXLJH

T0CUIKB

VSV1XH7B85AM

WWFCZH2D5LU

XCGS7

Z721NPH4TP

ZB1TX34OSW5X

ZJRPWCR9R

0NTFLVSLF8O

0UC2T9RUIS

1HEPQIB6SV

26GPKBZR9

3HZ4EUP5

4KSRIEWX4Q

4VJZO

5YMZR9Q

66YZDJ

830IC

8W3TBGUDZ

9961PFMF8ZMJ

9G1874F

9T1N3X2Q61BO

A3QHTJ

B2TKT00VA

B8JD2

BTRUFF

CT7TBYZ

DALNVF

DX71X90BMD5

EKO2O76I37

EO4UOBSHK

F6XZG

H17H5QK

HPUMGFX

jlqk

jtqk

KCEIVY

M5FJMB

MI59JGA723GE

MK7YLK

MSVPJT040FNJ

PTUAGBL62FPM

QIWS6H

QPYPJ8W

QVLUFRQ5

TRY0FZ7JG

UHLTBW1

UVY1I1HQ43

UYQU4IL

WSTF86AWF

Z8KSVOIGLA

Z9CD1

ZI3IY2

ZRUQKI88



:reg

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



:files

C:windowssystem32msansspc.dll

C:Program Files4ZH8S8BS1WVO7E0I.EXE -DEPKPZB1GKH

C:Program FilesHWVFBQ2PRYK9.EXE

C:Program FilesH5NURRZBZ2B9IFBNA6647OS.EXE

C:Program FilesHDHJ00G0VPWPHCVHL.EXE

C:Program FilesIW470ZFPV.EXE

C:Program FilesKTCWU3YV37AXBYHNFUA9.EXE

C:Program FilesJBV6W0CNFQDDW3FC.EXE

C:Program FilesPYK3E8F69D2FFK470M.EXE

C:Program FilesRD4CS90T2UFHZO5KN96CY.EXE

C:Program FilesSREDEHYGWAP2CH.EXE

C:Program FilesR8ZQL0HF4FJA.EXE

C:Program FilesUW13NDMLI0VADFXRG.EXE

C:Program FilesUKOUFIOI84.EXE

C:Program FilesUTWHIDPKZQVWE5.EXE

C:WINDOWSGZAKADY3STHH.exe

C:WINDOWSH3D6W.exe

C:WINDOWSI3WJUMURBU08.exe

C:WINDOWSIY5JUSFRWFOZ.exe

C:WINDOWSJF6L6CBGB0G.exe

C:WINDOWSKXIX0U7T0G.exe

C:WINDOWSNZBM3.exe

C:WINDOWSO99TW2J.exe

C:WINDOWSOT6176E2T.exe

C:WINDOWSNFHVYK4L.exe

C:WINDOWSSDJBYWQ.exe

C:WINDOWSPNOPCZIODCE.exe

C:WINDOWSQGQ5GS.exe

C:WINDOWSSWL8N8F9Z.exe

C:WINDOWSSKJP42.exe

C:WINDOWSYCXK3U1M.exe

C:WINDOWSZBDGAP4VXT2.exe

C:WINDOWSTSZ35GD.exe

C:WINDOWSWS0MUX4U.exe

C:WINDOWS7Z7MA7FC.exe

C:WINDOWS1OHWN5QW.exe

C:WINDOWS1RUCC.exe

C:WINDOWS41YIR37WB3RK.exe

C:WINDOWS6L6VY2T2.exe

C:WINDOWS6FGT2QU5.exe

C:WINDOWSXWK2367F4.exe

C:WINDOWS8P9NZ6R87.exe

C:WINDOWSsystem32jlqk.exe

C:WINDOWSsystem32jtqk.exe

C:WINDOWS9GJ3I.exe

C:WINDOWSNO5MS734.exe

C:WINDOWSYP4UJQ.exe

C:WINDOWSW27MZ2E2.exe

C:WINDOWSPBWXRXM542H.exe

C:WINDOWSE2B4V0.exe

C:WINDOWSW69Q60QF.exe

C:WINDOWS5H9KKLLGOF.exe

C:WINDOWS9PRFFIIHLQ.exe

C:WINDOWSC8IFILN4OPF.exe

C:WINDOWSEXPXXCVTF.exe

C:WINDOWSC9HX4.exe

C:WINDOWSVZUVNSD3F.exe

C:WINDOWSE8CBN7RLQ5H.exe

C:WINDOWSHGMAP1UVHBD4.exe

C:WINDOWSII5FJ87.exe

C:WINDOWSHN9X31E1.exe

C:WINDOWSSBQ3CMNGN3.exe

C:Program FilesZAM4NC7818E3NEGQ070JCZNC.EXE

C:Program Files22KNYSZ242O6YWUZKCQ7V6.EXE

C:Program FilesZOXGQWFGANSRSIN8B8.EXE

C:WINDOWSKGTQ44Y2.exe

C:Program FilesXANFKLG813G.EXE

C:Program FilesYEEZT519MIAZL1PR1.EXE

C:WINDOWSsystem32driversal6rfplt.sys

C:WINDOWSsystem32driversajgkm6la.sys

C:WINDOWSSystem32driversvmi386.sys

C:Program FilesYVF4ZKWNO1AGHHH0M.EXE

C:Program Files2IKX1D3WHHQMG9K76V23.EXE

C:Program Files27JRQT4QD2QPFJA.EXE -ZG3YXZH6QPT

C:Program Files2RJTLMMLDEQVE5IDK2FY.EXE

C:Program Files2JBH00WY3SNTGWG4VV.EXE

C:Program Files7WEZ62VZBPZ6L.EXE

C:Program Files664PS4337B6U90JXJC7U8E.EXE

C:Program FilesRLXVJLCRYX2K2VG9EDYP2EYZ.EXE

C:Program FilesPZ27MZKW9S753VUQHKC20W0B.EXE

C:Program FilesB7X57R6SONB4.EXE

C:Program FilesI48MH3MZFD.EXE

C:Program FilesD3RBFS6S13S89LN3PSMC56.EXE

C:Program FilesBBOP0OKUN898FJ1HIOFFETL.EXE

C:Program FilesEP7VUTW9T27COG2.EXE

C:WINDOWS5WU3782C38C.exe

C:Program FilesEJVVQAVMR9NS7FEY4JC.EXE

C:Program FilesEC6V44FR9DBQ77KA.EXE



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
Так же приложите к ответу свежий RSIT лог.

[Admin]

Для начала решим вопрос с вашим компьютером.
Пожалуйста просканируйте ваш компьютер программой RSIT снова и результирующий лог вставьте в ваше следующее сообщение.

[Admin]

В логе есть кое-что для удаления.
Запустите HijackThis, для этого кликните Пуск, Выполнить, введите C:Program Filestrend microАдминистратор.exe и нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки:

O4 - HKCU..Run: [Копия cftmon.exe] C:Program FilesToS TrialКопия cftmon.exe

O4 - HKCU..Run: [Lan_service] C:Documents and SettingsAll UsersApplication DataADMINsvchost.exe

O4 - HKCU..Run: [cftmon.exe] C:Program FilesToS Trialcftmon.exe

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Просканируйте компьютер снова используя RSIT и получившийся лог вставьте в ваше следующее сообщение.

[Admin]

Лог выглядит нормально.
У вас служба DHCP включена и запускается автоматически ?

Для более точного анализа компьютера, скачайте OTViewIt кликнув по этой ссылке.
— Запишите файл на ваш Рабочий стол.
— Запустите программу.
— Отметьте галочкой «Scan All Users»
— Кликните по кнопке «Run Scan»
По завершении процесса сканирования откроется два лога, OTViewIt.txt будет открыт, второй Extra.txt будет свёрнут.
Каждый лог вставьте в отдельное сообщение.

[Admin]

Судя по логу ваш компьютер был заражён снова, нужно взглянуть другой программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по логу ваш компьютер, кроме информера, заражён ещё несколькими троянами, включая auorun.inf троян.

Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

CPUGuard

kkdc

ScsiAccess



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{0696F721-79BC-455A-970C-28B97FC1F9EE}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{1094613F-84B6-4131-AEC1-71DF88291044}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{29B981AD-1CE1-42A4-84B1-EF7781BF4326}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{41FD1F0C-5004-4102-921B-BEF3972AB36D}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{7C8DBBC9-FE49-4B10-B8FE-3F3AA484F022}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{A4BC8D60-4A78-43F5-B181-DAE74C38BC45}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{FE7F45BC-15C9-4E8F-9A4E-49C8E06A7E49}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1f7fb190-2373-11dd-8d10-e5013a8b74bf}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{28a0d74c-ef38-11da-829a-001485b1da8a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{3790a7e2-cf48-11dc-9540-001485b1da8a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{6c6ba266-b893-11dc-b090-8da8456c8836}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{6c6ba40e-b893-11dc-b090-8da8456c8836}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e859c568-b558-11dc-b085-9a5304142eb1}]



:files

C:windowssystem32wljlib.dll

C:windowssystem32pllib.dll

C:windowssystem32amylib.dll

C:windowssystem32rxilib.dll

C:windowssystem32qtelib.dll

C:windowssystem32ieqlib.dll

C:windowssystem32aoblib.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
Так же приложите свежий RSIT лог к вашему ответу.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ.

[Admin]

Combofix лог так же выглядит нормально.
Пожалуйста расскажите подробнее о вашей проблеме, спустя какой время после запуска компьютера она проявляется, идёт ли обращение к диску в это момент. Предоставьте как можно больше информации.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Для начала проверим ваш компьютер, возможно вирус полностью не удалён.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ.

[Admin]

Судя по всему CCleaner подчистил реестр и временные каталоги.
Сейчас проблем с компьютером нет ? Приложите свежий RSIT лог к вашему ответу.

И по поводу Combofix, если всё нормально, то нет смысла обращаться к этой программе.

[Автор]

Сообщения