[Admin]

Проверьте имя файла скрипта. Должно быть обязательно CFScript (если с расширением, то CFSCript.txt).
И Combofix и скрипт должны быть на рабочем столе одновременно.

[Admin]

Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки:

F2 - REG:system.ini: UserInit=C:WINDOWSSYSTEM32Userinit.exe,C:WINDOWSsystem32ntos.exe,

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.

Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Скопируйте ниже приведённый текст в Input script Box:

Registry values to delete:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun | bky



Files to delete:

C:WINDOWSsystem32bky.exe

C:WINDOWSsystem32ntos.exe

Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, пожалуйста вставьте его в ваш ответ.
Кроме этого в ваш ответ вставьте свежий RSIT лог.

И ещё, у вас на компьютере присутствуют два блокнона: notepad.exe и notepad2.exe.
Причём по умолчанию используется второй.
Вы сами устанавливали какой-либо расширенный блокнот ?

[Admin]

Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости.
Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, пожалуйста вставьте его в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Никакого видимого вреда не причиняет, насколько я могу судить, процессы не запускает, но само присутствие напрягает. НОД32 обнаруживает, удаляет после перезагрузки, но после очередного захода в винду появляются новые файлы.

То что видимого вреда нет, это ни о чём не говорит. Возможно ваш компьютер использовался как спам машина или для заражения других компьютеров.

Что с этим делать?

Лечить 😉

Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки:

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:Documents and SettingsAdministratorfvxb.exe s,C:WINDOWSsystem32ntos.exe,

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{C248BEB0-911F-4464-8F2B-5990F082A7D5}]



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

bky"=-

"advap32"=-



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]

"5T19I3B27A"=-



[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



:files

C:Documents and SettingsAdministratorfvxb.exe

C:WINDOWSsystem32ntos.exe

C:WINDOWSsystem32atmf.dll

C:WINDOWSsystem32bky.exe

C:DOCUME~1ADMINI~1LOCALS~1Temploader.exe

C:WINDOWScsrs.exe

c:windowssystem32msansspc.dll

C:Documents and SettingsAll UsersStart MenuProgramsStartupMS-0812-upd271848.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.

Запустите блокнот и вставьте в него следующий текст:

dir notepad.exe /a h /s > File.txt

dir notepad2.exe /a h /s > File1.txt

Кликните Файл, записать как.
Выберите тип файлы — Все файлы.
Назовите файл fix.bat и сохраните его на ваш рабочий стол.
Кликните дважды по файлу для запуска.
Кода он отработает, на рабочем столе появятся два файла File.txt и File1.txt

Жду от вас OTMoveIt3 лог, свежий RSIT лог и содержимое файлов File.txt и File1.txt.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Есть кто нибудь?

Есть, всем поможем, в порядке очереди 😉

На вашем компьютере осталось несколько троянов, и кроме этого компьютер заражён autorun.inf вирусом.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Откройте блокнот и вставьте в него следующий текст:

Registry::

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinej16.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWingl38.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWingm84.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinhm27.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinhn52.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinye51.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinyf74.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinej16.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWingl38.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWingm84.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinhm27.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinhn52.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinye51.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinyf74.sys]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{58d53ee7-5e39-11dd-9b92-9dd447e94339}]



File::

c:windowssystem32digeste.dll

c:RECYCLERS-1-5-21-1482476501-1644491937-682003330-1033cfmon.exe

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Подчеркну ещё раз, использовать Combofix до того, как об этом попросят специалисты сайта может быть опасным.
Откройте блокнот и вставьте в него следующий текст:

Registry::

[HKEY_LOCAL_MACHINE~Browser Helper Objects{DA12E469-0694-4A98-859A-723964A5BECD}]



File::

c:windowssystem32lvelib.dll

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
И конечно-же проверьте InternetExplorer в работе.

[Admin]

Хорошо.
Нужно переустановить Firefox.
Удалите Firefox используя панель Добавления/удаления программ, которая находится в контрольной панели.
Далее зайдите в папку C:Program Files и удалите папку Mozilla Firefox.
Кликните Пуск, Выполнить.
В строке ввода введите %APPDATA% и кликните OK.
Откроется содержимое папки Application Data.
Найдите и удалите папку Mozilla.

Скачайте и установите последнюю версию Firefox.
Запустите и проверьте в работе.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

У меня установлены две ОС. На одной установлен kis 2009, на другой Dr.Web. Оба ничего не находят.

Судя по логам, в текущей ОС установлены два антивируса. Обязательно удалите один.

В списке драйверов находится один странный, удалим его.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

is-11A3Hdrv



:files

C:WINDOWSsystem32DRIVERS14401859.sys



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ. Кроме этого к ответу приложите свежий RSIT лог.

[Admin]

Несколько завершающих действий.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Admin]

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Рад вам помочь 🙂
Несколько завершающих действий.

Запустите программу OTMoveIT3. Кликните по кнопке CleanUp. Если появится запрос на перезагрузку компьютера, то кликните Да/Yes.
Удалите HijackThis и RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!
С наступающим Новым годом!

[Admin]

Лог выглядит нормально.
Есть ли проблемы с компьютером ?

[Admin]

Прекрасно 🙂
Несколько завершающих действий.

Запустите программу OTMoveIT3. Кликните по кнопке CleanUp. Если появится запрос на перезагрузку компьютера, то кликните Да/Yes.
Удалите HijackThis, RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

1. На страничке где вы скачивали Combofix есть предупреждение, что программу нужно использовать только при запросе на это от специалиста сайта.
2. По-поводу программы Bat, попробуйте воспользоваться советом данным вам выше.
3. Ваш компьютер серьёзно заражён, включая autorun.inf вирус. Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.
4. Откройте блокнот и вставьте в него следующий текст:

Driver::

VIDEO

sosprtov

ws2_32sik



Registry::

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]

"AppInit_DLLs"=""



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalVIDEO]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{84c66690-d330-11dd-bcec-0013023e4c25}]



File::

c:windowssystem32msvcrt2.dll

c:windowssystem32ht5.exe

c:windowssystem32autorun.i

c:windowssystem32autorun.in

c:windowssystem32webmin

c:windowssystem32VIDEO.sys

c:windowssystem32vmmreg32.dll

c:windowskwvrm.cfg

c:windowskwv.cfg

c:windowskrvm.cfg

c:documents and settingsAll UsersApplication Datapdalib.dll.dll

c:documents and settingsAll UsersApplication Datapdalib.dll

c:windowssystem32driverssosprtov.sys

c:windowssystem32driversws2_32sik.sys

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

часто удаляет нужные dll-ки специальных узкопрофильных программ.

возможно эти программы используют не стандартные ключи запуска в реестре, или их имена попадают под маску опасных файлов. Combofix не волшебная программа и как остальные антивирусы часто перестраховывается, удаляя неизвестные вещи.

Комбофикс еще и это умеет? Отжег.

Он много чего умеет, и не нужно забывать что эту программу разрабатывает группа зарубежных программистов, которые болезненно относятся к крякам и не лицензионным программам.

[Автор]

Сообщения