[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Driver::

abp470n5



Registry::

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem]

"DisableTaskMgr"=-

"DisableRegistryTools"=-



File::

c:windowssystem32driverskkujmj.sys

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по логу ваш компьютер заражён autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{5317cb26-c482-11dd-ae49-000c6e7eab83}]

[-HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{28ABC5C0-4FCB-11CF-AAX5-81CX1C735612}]



Folder::

c:recyclerS-1-5-21-1482476501-1644491937-682003330-1013

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Лог выглядит нормально.
Проблема проявляется сейчас ?

[Admin]

Запустите Оперу.
Кликните Инструменты ->Настройки.
Откройте вкладку Дополнительно.
Выберите раздел Содержимое.
Кликните по кнопке Настроить JavaScrypt.
Найдите строку «Папка пользовательских файлов JavaScrypt.
Удалите всё содержимое.
Закройте настройки и сам браузер.
Запустите его снова и проверьте результат.

Перед тем как вылечить Firefox, пожалуйста просканируйте компьютер программой DDS.

Cкачайте сканер DDS кликнув по этой ссылке и сохраните файл на вашем рабочем столе.
Дважды кликните по скачанному файлу.
Когда программа закончит работу, будут показаны два лога (DDS.txt и Attach.txt).

В свое следующее сообщение вставьте лог DDS.txt.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Эти оба драйвера не имеют абсолютно никакого отношения к инструкции.
Возможно в вашем случаи они были отключены операционной системой в связи установкой других специфичных драйверов для вашей материнской платы.

С компьютером проблем нет ?

[Admin]

Практически чисто, но нужно немного подчистить реестр.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{60bbfc1c-993e-11dd-aaa5-0013d336b0bf}]

Кликните по кнопке MoveIt!.

удаленная ранее McAfee. шалит.

Судя по RSIT логу программа далеко не удалена. Вам нужно пройти полную процедуру деинсталляции.

Несколько завершающих действий.

Запустите программу OTMoveIT3. Кликните по кнопке CleanUp. Если появится запрос на перезагрузку компьютера, то кликните Да/Yes.
Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ..

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Admin]

Выглядит гораздо лучше, но работа ещё осталась.

Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

Microsoft

NetSharing

saves



:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{6f7ce3e6-dbf7-11dd-a7c0-0011675af0e4}]



:files

C:WINDOWSsaves.exe

C:WINDOWSSystem32Performancesmss.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
Так же приложите свежий RSIT лог.

[Admin]

Combofix подчистил компьютер и удалил UberIcon из автозагрузки. Как теперь работает компьютер ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

kamsoft.exe это компонент autorun.inf трояна.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"kamsoft"=-

"cdoosoft"=-



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0fc67178-0900-11db-96f2-806d6172696f}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0fc67179-0900-11db-96f2-806d6172696f}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7566a1a0-0d1b-11db-9703-001731164789}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{c67eaeec-39cf-11dd-99e7-001731164789}]



:files

C:WINDOWSsystem32gasretyw1.dll

C:WINDOWSsystem32gasretyw0.dll

C:uvsqfgwd.cmd

C:WINDOWSsystem32nmdfgds1.dll

C:w98.com

C:WINDOWSsystem32olhrwef.exe

C:WINDOWSsystem32nmdfgds0.dll

C:ij.bat

C:WINDOWSsystem32kamsoft.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
Так же приложите к вашему ответу свежий RSIT лог.

[Admin]

RSIT лог выглядит нормально. Как работает компьютер ?

[Admin]

Вот теперь OTMoveIt отработал правильно. RSIT лог выглядит нормально. Есть ли проблемы с компьютером ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по RSIT логу ваш компьютер заражён autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующую строку:

F2 - REG:system.ini: UserInit=C:WINDOWSSystem32userinit.exe

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

NetCtrl

usprserv



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{1A6F66F8-04C0-414D-881B-91B2253C5960}]



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"Network Assistant"=-



[-HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAtiMonitor]

[-HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregavpa]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{04b2b50e-c5e1-11dc-9d8e-000b6a59364a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{05996baf-fe08-11dc-9e3f-000b6a59364a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0f496b71-a8a2-11dc-9d37-000b6a59364a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1a5a92fe-4229-11dd-90f8-000b6a59364a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1b629084-7f2a-11dd-9179-000b6a59364a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{91c8a090-c280-11dc-9d80-000b6a59364a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{99ec1998-cd87-11dc-9da1-000b6a59364a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9e11689c-816c-11dd-917f-000b6a59364a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{d58eae47-8948-11dd-9192-000b6a59364a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{d90190ce-c5c6-11dc-9d8e-000b6a59364a}]



:files

C:Documents and SettingsAll UsersApplication Datamvvlib.dll

C:WINDOWSsystem32driverssmss.exe

C:WINDOWSsystem32locale.exe

C:WINDOWSsystem32avpo.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
Так же приложите к вашему ответу свежий RSIT лог.

[Admin]

Здравствуйте.

Процесс mdm.exe это легальный процесс Windows, но некоторые паразиты могут использовать такое же имя.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ.

[Admin]

Проверим ещё одной программой.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Нет, с таким странным поведением курсора я не сталкивался.
Пожалуйста просканируйте компьютер с помощью RSIT и получившийся лог вставьте в ваше следующее сообщение.

[Автор]

Сообщения