[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Нужно ещё немного поработать.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

File::

c:windowssystem32oagpyqp.dll

c:windowssystem32krmmnzfmq.dll

c:windowssystem32sNriJiB.exe

c:windowssystem32lrv.dll

c:windowssystem324p8clMa.exe

c:windowssystem32cfghcnxv.dll

c:windowssystem32oNcrqR6.exe

c:windowssystem32awylqaciw.dll

c:windowssystem32ttpajd.dll

c:windowssystem32AZMuAQm.exe



MBR::

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Пришлите свежий Combofix лог.

а svchost.exe у меня уже 8

Кол-во этих процессов напрямую не сигнализирует о наличии вирусов.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:files

C:UsersАлексейAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupfldriver.lnk

C:UsersАлексейAppDataRoamingsqhiqdpq.exe



:Commands

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

на некоторых сайтах выскакивает сообщение «Эта ссылка была восстановлена» при этом не переходит. Например в гугле когда нажимаю на поиск.

То есть кликаете по кнопе Поиск и выскакивает сообщение приведённое вами выше ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microАдминистратор.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

R3 - URLSearchHook: (no name) - - (no file)

R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe, C:Program FilesCommon FilesiTunesiTunes.exe

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem3244e7dc52.exe,\?globalrootsystemrootsystem32mgMd6Pz.exe,\?globalrootsystemrootsystem32F9ouvT4.exe,\?globalrootsystemrootsystem32LgQredK.exe,

O2 - BHO: Video BHO - {681147C4-D615-461A-960F-655871E315C3} - (no file)

O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)

O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file)

O2 - BHO: D - {70A23A0B-7885-314B-920B-CC593D4C8095} - (no file)

O2 - BHO: FieryAds advertising module v1.3.3 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)

O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)

O3 - Toolbar: Pivim Multibar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)

O3 - Toolbar: (no name) - {892E81F6-EC63-4d13-8422-835A7A05D6EB} - (no file)

O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Здравствуйте.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{02478D38-C3F9-4efb-9B51-7695ECA05670}]



[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"13"=-

"44"=-

"Windows Microsoft Services"=-

"06"=-



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexplorerSharedTaskScheduler]

"{BC13EDD1-9492-45CD-8FB2-42B2D68ABA6C}"=-



:files

C:WINNTsystem32scdll.exe



:Commands

[emptytemp]

[resethosts]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

при перезагрузке так же его видно поверх заставки материнской платы

В смысле, сразу после включения компьютера, ещё до начала запуска Windows он уже на экране ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Кикает из игры

Вы имели в виду что ? Выкидывает из онлайн режима ? Игра закрывает ?

Фиксить нужно эти строки:
O13 — Gopher Prefix:
O16 — DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} (SysInfo Class) — http://content.systemrequirementslab…i_4.1.72.0.cab
O16 — DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) — http://fpdownload2.macromedia.com/ge…sh/swflash.cab

Эти строчки не имеют важного значения.

[Admin]

Пробовали удалять папку где находится карантин ?

В том смысле, что деинсталировать Malwarebytes, затем удалить все папки относящиеся к этой программе и выполнить свежую установку.

[Admin]

когда подключил вебку при распознавании устройства запросило путь к файлу SP207.AX

Вебка — это вебкамера ?

[Admin]

Что значит на установочном диске ? Раздел куда вы установили Windows ?

[Admin]

Еще попробуйте следующую команду:

Bootrec /FixMbr

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Пробовали загружать компьютер в Безопасном режиме ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Выполним дополнительную проверку.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Автор]

Сообщения