[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Пожалуйста скачайте сканер RSIT кликнув по этой ссылке.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ.

[Admin]

Судя по RSIT логу, с момента предыдущего запуска RSIT ваш компьютер заразился autorun.inf вирусом. Возможно подхватили с заражённой флэшки (Диск F).
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующую строку:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{8aea003e-c859-11dd-9c52-00e04ccb7b3b}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{fbf269c0-55c1-11dd-9a51-00e04ccb7b3b}]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.

Жду от вас OTMoveIt лог и свежий RSIT лог.

[Admin]

Кроме всего прочего ваш компьютер заражён autorun.inf вирусом.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{46ED3683-C8BC-4A41-8DC2-3F091DB94D24}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{d3c6dafa-e9e6-11db-bd8f-973606acbc27}]



:services

usprserv

autorun



:files

C:Documents and SettingsAll UsersApplication Dataspvlib.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.

В ваш ответ вставьте OTMoveIt лог и свежий RSIT лог.

[Admin]

Выглядит нормально. Но давайте проверим ваш компьютер ещё одним сканером.
Скачайте OTViewIt кликнув по этой ссылке.
— Запишите файл на ваш Рабочий стол.
— Запустите программу.
— Отметьте галочкой «Scan All Users»
— Кликните по кнопке «Run Scan»
По завершении процесса сканирования откроется два лога, OTViewIt.txt будет открыт, второй Extra.txt будет свёрнут.

Вставьте содержимое лог файлов в ваш ответ, если не будут влазить, то разделите их на несколько частей и добавьте по очереди.

[Admin]

Рад вам помочь, несколько завершающих действий.

Удалите HijackThis, RSIT, OTMoveIt, Avenger и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Admin]

Здравствуйте Лия, добро пожаловать на Spyware-ru форум.

Кроме информера на вашем компьютере есть ещё паразиты.
Приступим к лечению.
Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки:

O2 - BHO: spvlibP - {46ED3683-C8BC-4A41-8DC2-3F091DB94D24} - C:Documents and SettingsAll UsersApplication Dataspvlib.dll

O16 - DPF: {33331111-1111-1111-1111-611111193423} -

O16 - DPF: {33331111-1111-1111-1111-611111193429} -

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {43331111-1111-1111-1111-611111195622} -

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:WINDOWSsystem32vbsys2.dll

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

После этого, скачайте сканер RSIT кликнув по этой ссылке.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.
С каким браузером у вас такая проблема ? Вы пробовали использовать другой браузер для скачивания файлов ?

[Admin]

Может ли этот сервис sfc блокировать выход в интернет? Со вчерашнего обеда у меня не было интернета (выделенка), пришлось сегодня заходить через модем. После сканирования Avenger’ом и перезагрузки, все чудесным образом восстановилось, Или это просто совпадение?

Немогу сказать наверняка, но это возможно.

Еще в папке system32 есть файлы sfc.dll, sfc.exe, sfc_os.dll, sfcfiles.dll. Это нормально?

Да, это нормальные файлы Windows. Удалять их нельзя.
Сервис что мы удалили в предыдущем шаге создавался файлом sfc.sys. А вот по этому файлу никакой информации нет, поэтому наиболее вероятно что это паразит.

RSIT лог выглядит нормально.
Есть ли каки-либо проблемы с компьютером ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Приступим к лечению.
Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки:

O2 - BHO: ygtlibP - {0890773E-C574-473A-BF4B-7A0AC87A484F} - C:WINDOWSsystem32ygtlib.dll

O4 - HKLM..Run: [Felix] "C:WINDOWSfelix.exe" /tray

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер и проверьте наличие рекламы.

Для дополнительной проверки, скачайте сканер RSIT кликнув по этой ссылке.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

В общем лог выглядит нормально, НО очевидно что компьютер заражён одним из вариантов autorun.inf вируса.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Далее, скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{2a98e8c0-8c84-11dd-b96d-0019dbcfcc02}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{6f3d45c8-99f1-11dd-b981-0019dbcfcc02}]



:files

c:tio8x6.cmd

Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
Так же в свой ответ вставьте свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Кроме паразита показывающего рекламу, ваш компьютер заражён autorun.inf вирусом.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Далее, откройте блокнот и вставьте в него следующий текст:

Registry::

[-HKEY_LOCAL_MACHINE~Browser Helper Objects{AB95711E-261B-4D76-A421-080BFC64861D}]



File::

c:windowssystem32ovylib.dll



Folder::

c:program filesMyCentria

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ (отвечайте в этой же теме).
И конечно-же проверьте наличие рекламы.

[Admin]

Здравствуйте Алексей, добро пожаловать на Spyware-ru форум.

Пожалуйста отвечайте в этой теме.
RSIT лог выглядит нормально.

Если информер наблюдается только в Опере, то попробуйте следующее. Если не поможет, то попробуем другой вариант.
Запустите Оперу.
Кликните Инструменты -> Настройки -> вкладка Дополнительно -> раздел Содержимое.
Кликнте по кнопке Настроить JavaScrypt.
В поле ввода «Папка пользовательских файлов JavaScrypt» удалите всё содержимое, если там что-то есть.
Желательно, также удалить из папки, указанной в строке «Папка пользовательских файлов JavaScrypt» файлы с расширением js, или всю папку целиком.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Заразили вы свой компьютер основательно. Приступим к лечению.
Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:services

VIDEO

vmi386



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}]



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"Windows Help Service"=-



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

"AppInit_DLLS"=""



[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyctlsys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalmmctl.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkmmctl.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalVIDEO]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkVIDEO]



[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]

"C:Program FilesWindows Messengersvchost.exe"=-

"C:Documents and Settings��Local SettingsTemp4svchost.exe"=-

"C:Documents and Settings��Local SettingsTemp5svchost.exe"=-

"C:Documents and Settings��Local SettingsTemp7svchost.exe"=-

"C:Documents and Settings��Local SettingsTemp8svchost.exe"=-

"C:Documents and Settings��Local SettingsTemp9svchost.exe"=-

"C:Documents and Settings��Local SettingsTemp10svchost.exe"=-

"C:Documents and Settings��Local SettingsTempinit.exe"="-



:files

C:WINDOWSsystem32MSVCR32.DLL

C:WINDOWSsystem32winhelp32.exe

C:WINDOWSsystem32vmmreg32.dll

C:WINDOWSSYSTEM32VIDEO.sys

C:WINDOWSSystem32driversvmi386.sys

C:Program FilesWindows Messenger

C:Program FilesAntivirusXP2008

C:WINDOWSsystem32webmin



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!.
По-завершении работы программы (в процессе работы возможна перезагрузка компьютера) должен будет показан лог, вставьте его в ваш ответ.
Так же приложите к ответу свежий RSIT лог.
И ещё, проверьте файл C:WINDOWSsystem32MSVCR32.DLL сайте VirusTotal.

В поле Отправить файл кликните по кнопке Browse/Обзор.
Выберите подозрительный фай, о котором я писал выше.
Кликните по кнопке Отправить файл.

Результат сканирования так же вставьте в ваше ответное сообщение.

Итого в вашем ответе должно быть три лога:
— OTMoveIt лог
— RSIT лог
— результат сканирования файла

[Admin]

Эта программа физически не могла требовать активации, возможно вы что-то путаете.

[Автор]

Сообщения