[Admin]

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Гораздо лучше 🙂

Запустите программу Malwarebytes Anti-malware, обновите её и выполните полное сканирование. Удалите всё что она найдет.
В конце работы программы будет показан лог, вставьте его в ваше следующее сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microIT-Master.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

R3 - URLSearchHook: (no name) - - (no file)

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,\?globalrootsystemrootsystem32V0jL36Q.exe,\?globalrootsystemrootsystem322hUgv3y.exe,

O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - C:PROGRA~1FieryAdsFieryAds.dll (file missing)

O4 - HKCU..Run: [Shell] C:Documents and SettingsAll Userssystems.exe

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

"{16664848-0E00-11D2-8059-000000000000}"=-



[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworknm]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworknm.sys]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{5682988e-84f1-11de-89a9-0019dbaa118f}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{6def00cc-6405-11de-8954-0019dbaa118f}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b3d4e2fc-8721-11de-89b3-0019dbaa118f}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{d0dbfe18-e06e-11dc-84f8-0019dbaa118f}]



:files

C:WINDOWStasksWindowsCheck.job

C:WINDOWSsystem32kgHTra2.exe

C:WINDOWSsystem32hehpik.exe

C:WINDOWSsystem32cnFeuxC.exe

C:WINDOWSsystem32rwLbGX6.exe

C:WINDOWSsystem32OkvhiVN.exe

C:WINDOWSsystem32XxaPizt.exe

C:WINDOWSsystem32QsW03nt.exe

C:WINDOWSsystem32ZNRIfBc.exe

C:WINDOWSsystem32LHrUALh.exe

C:WINDOWSsystem32LavgDwd.exe

C:WINDOWSsystem32fK2pei1.exe

C:WINDOWSsystem32datculu.exe

C:WINDOWSsystem32lvsqps.exe

C:WINDOWSsystem32XYLOFWS.exe

C:WINDOWSsystem32qnkAJon.exe

C:WINDOWSsystem32h4Z8WBe.exe

C:WINDOWSsystem32peahnvp.exe

C:WINDOWSsystem32rjxemg.exe

C:WINDOWSsystem32ddjtjhw.exe

C:WINDOWSsystem32gajucd.exe

C:WINDOWSsystem32AS6xBaB.exe

C:WINDOWSsystem32JJlQG4N.exe

C:WINDOWSsystem32hbngghe.exe

C:WINDOWSsystem32hkexhu.exe

C:WINDOWSsystem32U2uAnWN.exe

C:WINDOWSsystem32BZpKWN5.exe

C:WINDOWSsystem32tFgC3E7.exe

C:WINDOWSsystem32B6llFdB.exe

C:WINDOWSsystem32fvrwlgz.exe

C:WINDOWSsystem32etuasy.exe

C:WINDOWSsystem32ElmNhCT.exe

C:WINDOWSsystem32XBYknIt.exe

C:WINDOWSsystem322FMV3QG.exe

C:WINDOWSsystem32SXrwhdy.exe

C:WINDOWSsystem325MVNZmV.exe

C:WINDOWSsystem32lVdBNVp.exe

C:WINDOWSsystem32m51lhGk.exe

C:WINDOWSsystem32Q8tlQ6N.exe

C:WINDOWSsystem32O9lLc2H.exe

C:WINDOWSsystem32uOAXdIu.exe

C:WINDOWSsystem32kcdh63A.exe

C:WINDOWSsystem32Zz0iYmX.exe

C:WINDOWSsystem32kGWHg69.exe

C:WINDOWSsystem32PM8KRwn.exe

C:WINDOWSsystem32Y5IPQft.exe

C:WINDOWSsystem32U3mh2O1.exe

C:WINDOWSsystem32NCndeAY.exe

C:WINDOWSsystem32SnQyby7.exe

C:WINDOWSsystem32XmrrVm8.exe

C:WINDOWSsystem32Q350tNt.exe

C:WINDOWSsystem32rozuvO1.exe

C:WINDOWSsystem3245lnP6j.exe

C:WINDOWSsystem32yL0cPnN.exe

C:WINDOWSsystem32QUDmW4K.exe

C:WINDOWSsystem328MFaG1E.exe

C:WINDOWSsystem32VZThNUc.exe

C:WINDOWSsystem32qwoq9i8.exe

C:WINDOWSsystem32L98xMg6.exe

C:WINDOWSsystem32VWl4j94.exe

C:WINDOWSsystem32R4GXYE3.exe



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Скачайте OTM by OldTimer кликнув по этой ссылке. Сохраните файл так же под именем iexplore.exe (не в туже папку куда вы сохранили RSIT)/
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{00A6FAF1-072E-44cf-8957-5838F569A31D}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{07B18EA1-A523-4961-B6BB-170DE4475CCA}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}]



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"net"=-

"My Web Search Bar Search Scope Monitor"=-

"MyWebSearch Email Plugin"=-

"Jquyawiwif"=-

"qqektrpi"=-



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"smss32.exe"=-

"Cheviwecedul"=-

"Security essentials 2010"=-



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableTaskMgr"=0



:files

C:Documents and SettingsNetworkServiceLocal SettingsApplication Dataxsuembqum



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога и приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе. Если эта ссылка для вас не работает, то попробуйте одну из приведённых здесь.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога (их содержимое) в ваш ответ. Каждый лог в отдельное сообщение.

Если не получиться запустить или скачать программу, то попробуйте следующее:
1. зайти в безопасном режиме
2. создать нового пользователя, авторизоваться как этот пользователь и затем попробовать скачать/запустить программу

[Admin]

Загрузите компьютер в Безопасном режиме с загрузкой сетевых драйверов.
* перезагрузите свой компьютер
* после того как ваш компьютер подаст короткий звуковой сигнал, нажмите клавишу F8
* перед вами покажется меню загрузки Windows
* выберите Безопасный режим с загрузкой сетевых драйверов — вторую строчку сверху и нажмите Enter

Запустите Internet Explorer, кликните Сервис, затем Свойства обозревателя. Здесь откройте вкладку Подключения и кликните по кнопке Настройка параметров локальной сети (LAN). В открывшемся окне снимите галочку в пункте Использовать прокси сервер. Кликните ОК и ещё раз ОК.

Попробуйте снова отправить log.txt.

[Admin]

Нужен ещё один лог — log.txt.
Если не удаётся вставить его содержимое, то можете присоединить его используя функцию форума Добавить вложения.

[Admin]

Здравствуйте.

Я продолжу лечение вашего компьютера.
Пожалуйста пришлите свежий Combofix лог и опишите проблемы которые есть сейчас.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microAdmin.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32d1a5af16.exe,C:WINDOWSsystem32fcoglh.exe,C:WINDOWSsystem32f3cc8b81.exe,C:WINDOWSsystem32wttqqc.exe,

O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

O4 - HKCU..PoliciesExplorerRun: [Secure Star] C:WINDOWSsystem32sidebar32.exe

O4 - S-1-5-18 Startup: monoca32.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: monoca32.exe (User 'Default user')

O4 - Startup: monoca32.exe

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Жду от вас свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

H:Program Filestrend microLara.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

F2 - REG:system.ini: UserInit=h:windowssystem32userinit.exe,\?globalrootsystemrootsystem32fdqc89l.exe,\?globalrootsystemrootsystem32Z1iaRRY.exe,\?globalrootsystemrootsystem32JDNKoA7.exe,

O4 - HKCU..Run: [shell] C:Program FilesCommon FilesSkype Servicestxtfile.exe

O17 - HKLMSystemCS2ServicesTcpipParameters: NameServer = 85.255.113.131 85.255.112.88

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Жду от вас свежий RSIT лог.

[Admin]

Скачайте сканер RSIT кликнув по этой ссылке, но в диалоге сохранения файла измените имя с RSIT.exe на iexplore.exe и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).Если они не будут показаны, то их можно найти в папке rsit на вашем системном диске.

Вставьте оба RSIT лога в ваш ответ (можете присоединить их используя функцию Добавить вложения).

[Admin]

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]

"Netprotocol"=-



[-HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchostNetprotocol]

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Попробуйте скачать Combofix заново, но перед его скачиванием отключить ваш антивирус и когда откроется Диалог записи, измените имя программы, с combofix.exe на 12345.exe

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Выполним дополнительную проверку.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Проверим ещё одной программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Автор]

Сообщения