[Admin]

Лог выглядит нормально. Какова сейчас ситуация со скрытыми файлами ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Пробовали удалять папку где находится карантин ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microАдминистратор.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = http=127.0.0.1:41653;

R3 - URLSearchHook: (no name) - - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Вижу вы запускали Combofix, запустите эту программу снова и получившийся лог вставьте в ваше следующее сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Необходимо выполнить дополнительную проверку.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Компьютер заражён несколькими троянами.
Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microMaks.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

F2 - REG:system.ini: Shell=Explorer.exe, C:Program FilesCommon FilesOffice filesword.exe

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Driver::

Cpqvcass

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Driver::

Virtual Memory Dispatcher

Windows_system32



Registry::

[-HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]



File::

e:windowssystem32nxgl.dll

e:windowssystem32xlejkiycx.dll

e:windowssystem32vbiyhb.dll

e:windowssystem32hmbrwcx.dll

e:windowssystem32rpmm.dll

e:windowssystem32oqantp.dll

e:windowssystem32ghw.dll

e:windowssystem32ws.dll

e:windowssystem32jmekxsni.dll

e:windowssystem32alfq.dll

e:windowssystem32bqefdyslg.dll

e:windowssystem32jaohkexe.dll

e:windowssystem32t.dll

e:windowssystem32hrjrxsqv.dll

e:windowssystem32njo.dll

e:windowssystem32vcqw.dll

e:windowssystem32spfal.dll

e:windowssystem32kguavi.dll

e:windowssystem32aweoiars.dll

e:windowssystem32rsmw.dll

e:windowssystem32lhjl.dll

e:windowssystem32czwyt.dll

e:windowssystem32blflsylvx.dll

e:windowssystem32bdzrt.dll

e:windowssystem32yeff.dll

e:windowssystem32tc.dll

e:windowssystem32xykiil.dll

e:windowssystem32pdiczz.dll

e:windowssystem32itncp.dll

e:windowssystem32pbh.dll

e:windowssystem32ophn.dll

e:windowssystem32ea.dll

e:windowssystem32kmwresfc.dll

e:windowssystem32tynutp.dll

e:windowssystem32ssuejmnj.dll

e:windowssystem32vt.dll

e:windowssystem32ezfnpk.dll

e:windowssystem32uramwadae.dll

e:windowssystem32glwfcfwl.dll

e:windowssystem32o.dll

e:windowssystem32zljfnt.dll

e:windowssystem32pu.dll

e:windowssystem32bp.dll

e:windowssystem32kqlicdxd.dll

e:windowssystem32muu.dll

e:windowssystem32qov.dll

e:windowssystem32dyi.dll

e:windowssystem32cf.dll

e:windowssystem32deklkjjq.dll

e:windowssystem32clkqqb.dll

e:windowssystem32jkbskrel.dll

e:windowssystem32mpzbkn.dll

e:windowssystem32zi.dll

e:windowssystem32dt.dll

e:windowssystem32xnaduql.dll

e:windowssystem32zbvebm.dll

e:windowssystem32wlndi.dll

e:windowssystem32urlhkcxak.dll

e:windowssystem32oraxap.dll

e:windowssystem32iaahmxtq.dll

e:windowssystem32gmhe.dll

e:windowssystem32l.dll

e:windowssystem32ejqyquc.dll

e:windowssystem32x.dll

e:windowssystem32gmtapdy.dll

e:windowssystem32zn.dll

e:windowssystem32wdso.dll

e:windowssystem32qxsv.dll

e:windowssystem32rwb.dll

e:windowssystem32aqhzm.dll

e:windowssystem32jmlvz.dll

e:windowssystem32uksbjaymq.dll

e:windowssystem32lnewyayrb.dll

e:windowssystem32ioipbsruj.dll

e:windowssystem32i.dll

e:windowssystem32bmyxv.dll

e:windowssystem32yso.dll

e:windowssystem32vvevis.dll

e:windowssystem32wkdg.dll

e:windowssystem32nosy.dll

e:windowssystem32khe.dll

e:windowssystem32dxhma.dll

e:windowssystem32wngecj.dll

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Admin]

Извините за задержку с ответом.
Какова сейчас ситуация с компьютером ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Вирус то может и остался где-то?

Пришлите свежий RSIT лог для проверки.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Этот компьютер находится в офисе ? Если да, то вы уведомили системного администратора, что обратились за помощью в лечении вирусов на форум ?

[Admin]

Здравствуйте.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:services

dwshd

hy1ioghkrs

nnyoamnq6vuxoq3e



:reg

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"Проверка обновления"=-

"Обновление"=-

"mekook"=-

"coohezup"=-



:files

C:WINDOWSsystem32posoub.exe

C:WINDOWSsystem32lawogydus.exe

C:WINDOWSsystem32CheckUpdates.exe

C:WINDOWSsystem32lp.exe

C:WINDOWSsystem32CheckUp.exe

C:WINDOWSSystem32driversdwshd.sys

C:WINDOWSsystem32koussijutto.exe

C:Documents and SettingsLocalServiceApplication DataMicrosoftfitoomooh.exe



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога и приложите свежий RSIT лог и Combofix лог.

[Admin]

Здравствуйте.

Необходима дополнительная проверка.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Здравствуйте.

Вижу у вас есть Combofix. Просканируйте компьютер этой программой ещё раз и получившийся лог встаьвте в ваше следующее сообщение.
По возможности не присоединяйте лог, а вставьте его содержимое в тело сообщения.

[Admin]

Вам не нужно обьединять оба лога. Вставьте их по очереди.
Так же можете их присоединить к вашему сообщению (кликните вкладку Добавить вложения).

[Admin]

Когда появится этот экранчик, попробуйте нажать F8 ещё раз.

[Автор]

Сообщения