[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Что сказать, авторы паразитов не стоят на месте, поэтому в вашем случае инструкция помогла, но несколько вредоносных программ выжило.
Приступим к лечению.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{0B014B81-4E12-46F9-806F-55867AF8FD3C}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}]



:files

C:WINDOWSsystem32winsystems.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
Так же в ваше сообщение вставьте свежий RSIT лог.

[Admin]

Выглядит нормально. Как работает компьютер ?
Так же попробуйте запустить Malwarebyres Anti-malware ещё раз и сообщите каков будет результат.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Кроме проблем описанных вами, судя по логу ваш компьютер так же заражён autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{065C52C3-9AA2-4577-AFB0-33F17EA5686E}]



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"services"=-



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1d742d22-b198-11dd-81e1-00173164d2a9}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{c5aa9e48-b0e1-11dd-81de-00173164d2a9}]



:files

C:Documents and SettingsAll UsersApplication Dataagblib.dll

C:WINDOWSservices.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
Кроме этого к вашему ответу приложите свежий RSIT лог.

[Admin]

Получше 🙂
Надо ещё подредактировать одно значение в реестре.

Запустите редактор реестра (Пуск -> Выполнить, введите regedit и нажмите Enter).
В левой части окна открывайте последовательно
HKEY_LOCAL_MACHINE
system
currentcontrolset
control
session manager

В правой части окна найдите ключ BootExecute и кликните по нему дважды.
В открывшемся окне удалите весь текст и введите:

autocheck autochk *

Кликните OK и закройте редактор реестра.

Запустите combofix снова, будет создан свежий лог. Вставьте его в ваше следующее сообщение.

[Admin]

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

win32x



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{6FF9CCE7-EE1B-47B5-A33B-D0519D922547}]



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"lsass driver"=-



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"29800100628240979157008890236031"=-



[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9f126e1b-a40a-11db-9269-0015f2a81198}]



:files

C:Program FilesAntivirus 2009

C:WINDOWSsystem32shell31.dll

C:WINDOWSmsauc.exe

C:WINDOWSsystem32driverswin32x.sys

C:WINDOWSsystem32toylib.dll

C:WINDOWSsystem32digeste.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.

Судя по логу у вас есть программа Avenger и вы её ранее запускали.
Запустите Avenger снова, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, пожалуйста вставьте его в ваш ответ.

Кроме этого вставьте в ваш ответ свежий RSIT лог.

Таким образом жду от вам три лога: OTMoveIt лог, avenger лог, RSIT лог.

[Admin]

Этим вы прикроете дыру в Windows. Но не удалите сам червь.
Антивирус справился ? Компьютер работает без проблем ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Combofix удалил кучу паразитов, но в логе ещё присутствуют три подозрительных сервиса. Удалим их.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Driver::

RasAutoTrkWks

RDSessMgrwscsvc

WebClientNetman

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Лог выглядит нормально.
Нет проблем сейчас ? Приложите пожалуйста свежий combofix лог к ответу.

[Admin]

Практически чисто, но нужно ещё немного подчистить реестр.

Запустите HijackThis. Кликните Пуск, Выполнить, введите следующее:

C:Program Filestrend microLord.exe

Нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки:

R3 - URLSearchHook: My-Tool Toolbar - {0e6d7a5d-b560-4d1c-9713-18dd1ade6011} - C:Program FilesMy-TooltbMy-0.dll (file missing)

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.

Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}]



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]

"{0e6d7a5d-b560-4d1c-9713-18dd1ade6011}"=-



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]

"NT Printing Services6"=-



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
Так же в ваш ответ вставьте свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.
Логи выглядят нормально.

Пожалуйста вспомните и сообщите когда впервые возникла проблема?
Кроме этого проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Закройте все используемы программы.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечисленны все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Встаьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Сделайте окно GMER активным снова.
В верхней части кликните по кнопке «> > >».
Выберите вкладку Autostart.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Встаьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Закройте программу GMER.

Вставьте оба лога в ваш следующий ответ.

[Admin]

Лог выглядит нормально, как работает компьютер ?

[Admin]

Пожалуйста, рад вам помочь 🙂

Всего доброго.

[Admin]

А где должен появиться OTMoveIt3 by OldTimer лог?

После загрузки компьютера, должен автоматически запуститься блокнот и в нём показан лог файл.

Проверил ваш RSIT лог, выглядит нормально.
Как работает компьютер?

[Admin]

вроде ошибок больше не появляется.

Проверил лог, всё нормально.

Несколько завершающих действий.

Запустите программу OTMoveIT3. Кликните по кнопке CleanUp. Если появится запрос на перезагрузку компьютера, то кликните Да/Yes.
Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Admin]

Прекрасно 🙂
Несколько завершающих действий.

Запустите программу OTMoveIT3. Кликните по кнопке CleanUp. Если появится запрос на перезагрузку компьютера, то кликните Да/Yes.
Удалите HijackThis, RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Автор]

Сообщения