[Admin]

Здравствуйте Павел, добро пожаловать на Spyware-ru форум.

Во-первых конечно же не стоит спешить, необходимо было сразу обратится на наш форум.
Скачайте сканер RSIT кликнув по этой ссылке.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ и сообщите, что конкретно изменилось после ваших действий. Я так понимаю проблема не решена ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачивал программу которую вы выложили для удаления этого вируса

Где это вы нашли такую программу на нашем сайте ? Все рассмотренные программы абсолютно бесплатны.

Pro antispyware 2009 — это поддельная антиспайварная программа, она ни от чего не лечит, а предназначена исключительно для вымогательства денег.

Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено. В конце работы будет показан лог.

Скачайте сканер RSIT кликнув по этой ссылке.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога и MBAM лог в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

HijackThis лог выглядит нормально.
Проверим ваш компьютер более пристально, для этого скачайте сканер RSIT кликнув по этой ссылке.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ и пожалуйста скажите в каком браузере выскакивает описанный вам информер (есть ли он в других браузерах).

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Самая неприятная вещь — вирус залез по FTP на хостинг сайта и добавил в index.php код открывающий pdf-ник с вирусом.

Это очень неприятная вещь.
Сначала небольшой вопрос, вы узнаёте эту программу

C:WebServersdenwerBoot.exe

Особой информации по ней нет, поэтому если вы сами установили её, то не помечайте соответствующую строчку при работе с программой HijackThis.

Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки:

O2 - BHO: WinSurf - {53E30863-280F-4CFA-99AB-55CAEB95271C} - C:WINDOWSps16sys.dll (file missing)

O2 - BHO: MyCentria Internet Mate v2.0 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:PROGRA~1MYCENT~1InfoBarMYCENT~1.DLL

O4 - HKLM..Run: [rdl9432] C:WINDOWSsystem32rdl9432.exe

O4 - HKLM..Run: [C:WINDOWSTEMPlsass.exe ] C:WINDOWSTEMPlsass.exe

O4 - HKLM..Run: [C:WINDOWSTEMPcsrss.exe ] C:WINDOWSTEMPcsrss.exe

O4 - Startup: Create virtual drive for Denwer.lnk = C:WebServersdenwerBoot.exe

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено. В конце работы будет показан лог.

Скачайте сканер RSIT кликнув по этой ссылке.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Жду от вас:
— ответ на мой вопрос, поставленный выше
— MBAM лог
— оба RSIT лога

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки:

O2 - BHO: Crypted Video Codec - {A3F45EDD-9064-4EDA-91FB-DA345C540371} - C:Documents and SettingsAll UsersApplication Dataxptlib.dll

O16 - DPF: {FF3BA0DA-79B5-4110-8FAC-C402D85AAEDA} (IPCAM2 Object) - http://61.59.37.153/view.cab

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Для полной проверки скачайте сканер RSIT кликнув по этой ссылке.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ.

[Admin]

Один сервис не удалился, попробуем другую программу.
Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите и скопируйте ниже приведённый текст в Input script Box:

Drivers to delete:

sfc



Files to delete:

C:WINDOWSsystem32driverssfc.sys

Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог.

Пожалуйста вставьте в ваш ответ avenger лог и свежий RSIT лог.

[Admin]

Правильно ли это?
Открыть opera: Инструменты — Настройки — вкладка Дополнительно — раздел Содержимое — кнопка Настроить JavaScrypt… в строке «Папка пользовательских файлов JavaScrypt.. Удалить строку полностью. Желательно, также удалить из папки, указанной в строке «Папка пользовательских файлов JavaScrypt:» файлы с расширением js, или всю папку целиком.

Да это одна из потенциальных уязвимостей Оперы, использование дополнительных Java Script файлов.
По RSIT логу, всё чисто, но нужно удалить один ключ из реестра.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

"{0AF6F4C1-A419-4EED-BA4E-CBF12A16ADFE}"=-



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt! Программа перезагрузит компьютер. Когда компьютер загрузиться должен будет показан лог, вставьте его в ваш ответ.

Жду от вас OTMoveIt лог и свежий RSIT лог.

[Admin]

Лог выглядит нормально.

…О! СЧАСТЬЕ НАМ, А ВАМ ОГРОМНОЕ СПАСИБО!
ПУСТЬ ГАДЫ КОРЧАТСЯ ВО ТЬМЕ!!!
НАД ВАМИ Ж СОЛНЦЕ И ГОЛУБОЕ НЕБО,
РЕСПЕКТ РЕБЯТА!, УДАЧИ В ЭТОЙ КУТЕРЬМЕ!!!

…собственно, понятно, что гадость красная убит

Проблема решена ?

[Admin]

А ссылочку подскажете?

Читайте ниже. При этом хочу сказать, что KAV очень достойный антивирус, но как и другие гиганты часто не поспевает за авторами вредоносных программ.

А ничего,если будут в двльнейшем проблемы,я вновь обращусь к Вам?

Конечно можете 🙂
Команда сайта будет рада помочь в случае необходимости.

Несколько завершающих действий.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Удалите HijackThis, RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Admin]

Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено. В конце работы будет показан лог.

Жду от ваc
— MBAM лог
— свежий RSIT лог
— есле после работы MBAM информер останется, то сообщите в каком браузере он появляется (проверяли ли вы в других)

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки:

O2 - BHO: (no name) - {0AF6F4C1-A419-4EED-BA4E-CBF12A16ADFE} - C:WINDOWSsystem32awturRhG.dll (file missing)

O2 - BHO: (no name) - {125F9EE3-2C3E-48F9-8165-0C176796488F} - C:WINDOWSsystem32awtrPjgh.dll (file missing)

O2 - BHO: BP Data Feeder - {F3BA2A51-BB4F-4e22-AD0E-DFF956D5B672} - (no file)

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Для дополнительной проверки скачайте сканер RSIT кликнув по этой ссылке.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ.

[Admin]

Лог выглядит нормально.
Есть ли проблемы с компьютером ?

[Admin]

Получше. Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Отключите автозащиту вашего антивируса. Это ложное срабатывание, с программой всё нормально.
И повторите инструкции из моего предыдущего сообщения.

[Admin]

RSIT показал, что ваш компьютер так же заражён autorun.inf трояном. Он использует флэшки для распространения.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalGms41.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalmmctl.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinah06.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinry28.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinuc17.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkGms41.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkmmctl.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinah06.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinry28.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWinuc17.sys]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{2cf475b8-86c4-11dd-b840-00e04ca46ad6}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{f7296a63-8df8-11dd-b84a-00e04ca46ad6}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{f8a98928-b510-11dd-b890-00e04ca46ad6}]



:services

Gms41

mmctl

Winry28

sfc



:files

C:WINDOWSSystem32DriversGms41.sys

C:WINDOWSsystem32mmctl.sys

C:WINDOWSSystem32DriversWinry28.sys

C:WINDOWSsystem32driverssfc.sys

C:WINDOWSsystem32ygtlib.dll.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]

Кликните по кнопке MoveIt!.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.

Жду от вас OTMoveIt лог и свежий RSIT лог.

[Автор]

Сообщения