[Admin]

Всё чисто.
Как дела с компьютером ?

[Admin]

Лог выглядит нормально.

Проблема с информером сохранилась ? Если да, то в каком браузере.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Ваш компьютер заражён несколькими троянами, включая троян который использует флешки для распространения.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

VIDEO



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}]



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"Windows Help Service"=-



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]

"1"=-



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"Windows Help Service"=-



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]

"Windows Help Service"=-



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

"AppInit_DLLS"=""



[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyWinCtrl32]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalVIDEO]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkVIDEO]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2C]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{34edf592-3449-11dd-945c-806d6172696f}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{34edf593-3449-11dd-945c-806d6172696f}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{6700da14-3aae-11dd-9d30-aaf9eb0e268c}]



:files

F:WINDOWSsystem32vmmreg32.dll

F:WINDOWSSYSTEM32winhelp32.exe

F:WINDOWSSYSTEM32WinCtrl32.dll

F:WINDOWSSYSTEM32VIDEO.sys

F:fun.xls.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
Кроме этого в ваш ответ включите свежий RSIT лог.

[Admin]

Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

CbEvtSvc



:files

C:WINDOWSSystem32CbEvtSvc.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
Кроме этого к вашему ответу приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Откройте блокнот и вставьте в него следующий текст:

Registry::

[-HKEY_LOCAL_MACHINE~Browser Helper Objects{4AC09A5A-8139-4FDF-813B-F6EF2E65FC0B}]

[-HKEY_LOCAL_MACHINE~Browser Helper Objects{99F62063-7F8E-4120-9E94-D2EFD3C772D0}]

[-HKEY_LOCAL_MACHINE~Browser Helper Objects{DEA35A5D-49C2-4D1F-BC60-FBBC0DC0183D}]



File::

c:windowssystem32grplib.dll

c:windowssystem32hiklib.dll

c:windowssystem32gwllib.dll

Запишите получившийся файл на ваш рабочий стол под именем CFScript.
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Здраствуйте, добро пожаловать на Spyware-ru форум.

winupgro.exe — это компонент опасного вируса w32.bagle (Beagle).
Удалить можно, но сложно.

Опасаясь за жесткий диск счел за лучшее переустановить систему

Если диск не был переформатирован, то обязательно проверьте его хорошим антивирусом.

[Admin]

Всё чисто 🙂

Несколько завершающих действий.

Удалите HijackThis и RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

Оставьте программу Malwarebytes Anti-malware. Обновляйте эту программу время от времени, и выполняйте полное сканирование компьютера раз в неделю.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Admin]

Лог выглядит хорошо.
Как поживает ваш компьютер ?

[Admin]

В этот раз OTMoveIt отработал правильно.
RSIT лог выглядит нормально.

Есть ли проблемы с компьютером ?

[Admin]

Глянул ваш последний лог ещё раз, и нашёл ещё кое-что требуещее удаления.
Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки:

O23 - Service: CbEvtSvc - Unknown owner - C:WINDOWSSystem32CbEvtSvc.exe

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

В свой ответ включите свежий RSIT лог.

т.к. ни Hijackthis ни RSIT не хотят работать с AVG

В смысле не хотят ?

я вообще с удивлением наблюдаю за Вашей работой на этом форуме… в наше время, когда тебе «бесплатно даже морду не набьют», когда постоянно то и дело сталкиваешься с человеческим безразличием и равнодушием, так удивительно было набрести на этот оазис содействия, участия и, что самое главное, стремления помочь всем без исключения… это просто невероятно!

Дык стараюсь помочь, к сожалению времени маловато, по этому остальные разделы форума простаивают.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Все логи выглядят нормально.
Просканируйте ваш компьютер ещё двумя.
Скачайте OTViewIt кликнув по этой ссылке.
— Запишите файл на ваш Рабочий стол.
— Запустите программу.
— Отметьте галочкой «Scan All Users»
— Кликните по кнопке «Run Scan»
По завершении процесса сканирования откроется два лога, OTViewIt.txt будет открыт, второй Extra.txt будет свёрнут.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечисленны все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Встаьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Сделайте окно GMER активным снова.
В верхней части кликните по кнопке «> > >».
Выберите вкладку Autostart.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Встаьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Закройте программу GMER.

Вставьте все логи (два от первой программы и два от второй программы) в ваш следующий ответ.
Если логи получаться большими, то можете разбить их на несколько частей и вставить по очереди.

[Admin]

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b9d3b22f-c66e-11dd-b57e-0019213f8ddd}]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
Так же приложите к ответу свежий RSIT лог.

[Admin]

Судя по обеим логам, OTMoveIt отработал некорректно.

Попробуйте повторить инструкцию в моём предыдущем сообщении ещё раз.
Когда вставите скрипт в большое поле ввода, то проверьте что он выглядит так как набран.
Возможно при копировании и вставке текста в предыдущий раз произошла ошибка.
Если есть пробелы слева от директив скрипта, таких как :reg, :files и тд то удалите их.
То есть приведите скрипт в такое же состояние как на экране монитора.

Как и в прошлый раз жду от вас OTMoveIt лог и RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Раз уже вы скачали Combofix, то запустите его ещё раз и получившийся лог вставьте в ваше следующее сообщение.

[Admin]

Лог выглядит нормально.
Как поживает компьютер и окно с принудительным завершением работы выскакивает ?

[Автор]

Сообщения