[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microГлавный.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,\?globalrootsystemrootsystem32U9qOOmD.exe,\?globalrootsystemrootsystem32vDA55xy.exe,

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:files

c:windowssystem32U9qOOmD.exe

c:windows\system32vDA55xy.exe



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог.

[Admin]

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

RegLock::

[HKEY_LOCAL_MACHINESystemControlSet001ServicesOMSCAN]



Driver::

OMSCAN

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

Кроме этого скачайте программу RegSearch кликнув по этой ссылке.
Распакуйте и запустите программу. В окне «search box», введите:

ru.msn.com

Кликните по кнопке «Ok».
Когда поиск закончится откроется Блокнот с результатами поиска.
Вставьте его содержимое в ваше следующее сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microadmin.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

O4 - HKLM..Run: [userini] C:WINDOWSexplorer.exe:userini.exe

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Жду от вас свежий RSIT лог.

[Admin]

Возможно этот паразит самоудалился.
Проверим ещё одной программой.
Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено. В конце работы будет показан лог.
Содержимое этого лога вставьте в ваше ответное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Если не получиться запустить или скачать RSIT, то попробуйте следующее:
1. зайти в безопасном режиме с поддержкой сетевых драйверов и попытаться снова
2. создать нового пользователя, авторизоваться как этот пользователь и затем попробовать скачать/запустить программу

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend micro1.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

R3 - URLSearchHook: (no name) - - (no file)

F2 - REG:system.ini: UserInit=C:Windowssystem32userinit.exe,C:Windowssystem32e4302868.exe,

O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - (no file)

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

К компьютеру неоднократно подключали заражённые флешки.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0d5a9da0-ce75-11dd-b759-001f3aeae673}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{2d205478-7b6e-11df-99fe-d1a5ac5f22ae}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{429b3372-e166-11dd-8d7c-001f3aeae673}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{4dda6901-e13e-11dd-8f01-001f3aeae673}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{52b48a4c-4c33-11de-a44e-d7fb59860216}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{631fc7f6-e210-11dd-ab39-001f3aeae673}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7b95f358-5e25-11dd-8570-001f3aeae673}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7c963f8c-457f-11df-bd55-de6ca025830d}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7defeea2-d01c-11dd-ba55-001f3aeae673}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b466380d-1c87-11df-87ef-9dcca56d8dc7}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{cc02937c-7dc0-11dd-a614-001f3aeae673}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e4e76afb-e5ed-11dd-9c53-001f3aeae673}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e4e76b06-e5ed-11dd-9c53-001f3aeae673}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e4e76b0c-e5ed-11dd-9c53-001f3aeae673}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{f4425a51-1b7b-11df-bb72-e849879bb33e}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{f4906d20-d583-11dd-8224-001f3aeae673}]



:files

C:Windowssystem32e4302868.exe



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Нужно проверить ваш компьютер.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе. Если эта ссылка для вас не работает, то попробуйте одну из приведённых здесь.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога (их содержимое) в ваш ответ. Каждый лог в отдельное сообщение.

Если не получиться запустить или скачать программу, то попробуйте следующее:
1. зайти в безопасном режиме и повторить попытку
2. создать нового пользователя, авторизоваться как этот пользователь и затем попробовать скачать/запустить программу

[Admin]

Проверим ещё одной программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Здравствуйте.

доходить до быбора режима (безпасный….обычный итд

Пробовали выбирать режим Последняя работоспособная конфигурация ?

[Admin]

Рад что вы решили свою проблему 🙂

Всего доброго.

[Admin]

Проверим другой программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Здравствуйте.

Нужно глянуть логи.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе. Если эта ссылка для вас не работает, то попробуйте одну из приведённых здесь.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога (их содержимое) в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:services

bzlfvegi

fnybwebf

knqmugir

mugtocoq

usbf37

zcoeojbt



:reg

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"ebsjlsiht"=-

"RegistryMonitor1"=-

"ebsjlsih@"=-

"Microsoft(R) System Manager"=-

"AutoStart"=-



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"Test321"=-

"ebsjlsiht"=-

"ebsjlsih@"=-

"MSConfig"=-



[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycsbdll]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e0088de3-3458-11dd-8dde-bec2cad70e72}]



:files

C:WINDOWSsystem32qtplugin.exe

C:WINDOWSsystem3225b8ee.exe

C:RECYCLERS-1-5-21-0243556031-888888379-781863308-1455fresdg.exe

C:Documents and SettingsОлегpxc.exe

C:WINDOWSsystem32csbdll.dll

C:WINDOWSsystem32driversbzlfvegi.sys

C:WINDOWSsystem32driversfnybwebf.sys

C:WINDOWSsystem32driversknqmugir.sys

C:WINDOWSsystem32driversmugtocoq.sys

C:WINDOWSsystem32driversusbf37.sys

C:WINDOWSsystem32driverszcoeojbt.sys



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

появляется на заставке материнки

Ничего подобного не встречал.

однако обладает свойством находиться поверх многих (не всех) окон

А какими окнами перекрывается ? Например при просмотре видео на полный экран или при игре, баннер виден ?

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Давайте проверим ваш компьютер.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе. Если эта ссылка для вас не работает, то попробуйте одну из приведённых здесь.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога (их содержимое) в ваш ответ. Каждый лог в отдельное сообщение.

[Автор]

Сообщения