[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте GMER лог и оба RSIT лога (их содержимое) в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend microОлеся.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe, rundll32.exe rihd.pno eaoydsi

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32b93a7577.exe,\?globalrootsystemrootsystem325W1TJtd.exe,

O1 - Hosts: 112.137.162.181 vkontakte.ru

O1 - Hosts: 112.137.162.181 www.vkontakte.ru

O1 - Hosts: 112.137.162.181 vk.com

O1 - Hosts: 112.137.162.181 www.vk.com

O1 - Hosts: 112.137.162.181 durov.ru

O1 - Hosts: 112.137.162.181 www.durov.ru

O1 - Hosts: 112.137.162.181 www.zaycev.net

O1 - Hosts: 112.137.162.181 torrents.ru

O1 - Hosts: 112.137.162.181 www.rambler.ru

O1 - Hosts: 112.137.162.181 google.com

O1 - Hosts: 112.137.162.181 qip.ru

O1 - Hosts: 112.137.162.181 a1help.ru

O1 - Hosts: 112.137.162.181 www.help.goldfon.ru

O1 - Hosts: 112.137.162.181 zaycev.net

O1 - Hosts: 112.137.162.181 www.durov.ru

O1 - Hosts: 112.137.162.181 rambler.ru

O1 - Hosts: 112.137.162.181 www.qip.ru

O1 - Hosts: 112.137.162.181 help.goldfon.ru

O1 - Hosts: 112.137.162.181 www.odnoklassniki.ru

O1 - Hosts: 112.137.162.181 www.loveplanet.ru

O1 - Hosts: 112.137.162.181 yandex

O1 - Hosts: 112.137.162.181 durov.ru

O1 - Hosts: 112.137.162.181 www.icq.com

O1 - Hosts: 112.137.162.181 www.narod.ru

O1 - Hosts: 112.137.162.181 www.pda.vkontakte.ru

O1 - Hosts: 112.137.162.181 odnoklassniki.ru

O1 - Hosts: 112.137.162.181 pda.vkontakte.ru

O1 - Hosts: 112.137.162.181 www.torrents.ru

O1 - Hosts: 112.137.162.181 youtube.com

O1 - Hosts: 112.137.162.181 narod.ru

O1 - Hosts: 112.137.162.181 google.ru

O1 - Hosts: 112.137.162.181 www.a1help.ru

O1 - Hosts: 112.137.162.181 www.google.ru

O1 - Hosts: 112.137.162.181 loveplanet.ru

O1 - Hosts: 112.137.162.181 icq.com

O1 - Hosts: 112.137.162.181 www.youtube.com

O1 - Hosts: 112.137.162.181 www.yandex.ru

O1 - Hosts: 112.137.162.181 www.ya.ru

O1 - Hosts: 112.137.162.181 ya.ru

O1 - Hosts: 112.137.162.181 mail.ru

O1 - Hosts: 112.137.162.181 www.mail.ru

O1 - Hosts: 112.137.162.181 my.mail.ru

O1 - Hosts: 69.10.53.230 odnoklassniki.ru

O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru

O1 - Hosts: 69.10.53.230 vkontakte.ru

O1 - Hosts: 69.10.53.230 www.vkontakte.ru

O1 - Hosts: 69.10.53.230 vk.com

O1 - Hosts: 69.10.53.230 www.vk.com

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)

O4 - HKLM..Run: [plugin] "C:Program Filesplugin.exe"

O4 - HKLM..Run: [Generic Host for Win32 Services] ‘|x

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:services

Netprotocol

sfc



:reg

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]

"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00



[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



:files

C:WINDOWStasksRPCReminder.job

C:WINDOWSsystem32523yCls.exe

C:WINDOWSsystem32vLpeUqc.exe

C:WINDOWSsystem32m5kzDKF.exe

C:WINDOWSsystem32159svni.exe

C:WINDOWSsystem32dqI6kOm.exe

C:WINDOWSsystem32tSpaygX.exe

C:WINDOWSsystem32ZDLUV1W.exe

C:WINDOWSsystem32ZwpW28E.exe

C:WINDOWSsystem326ajAWvL.exe

C:WINDOWSsystem32eHpZeZN.exe

C:WINDOWSsystem32netprotocol.dll

C:WINDOWSsystem32AvPiwmP.exe

C:WINDOWSsystem32Ce00vM2.exe

C:WINDOWSsystem32lKG5UHG.exe

C:WINDOWSsystem32fb5df98d.exe

C:WINDOWSsystem325IZ9fEX.exe

C:WINDOWSsystem32NTGEs7E.exe

C:WINDOWSsystem32uPTZl2J.exe

C:WINDOWSsystem32D56haBY.exe

C:WINDOWSsystem32hyxD3Yk.exe

C:WINDOWSsystem32V33iMlJ.exe

C:WINDOWSsystem32H5Xc7IG.exe

C:WINDOWSsystem32iHl5IPz.exe

C:WINDOWSsystem32UAbMAQS.exe

C:WINDOWSsystem3233RvYQN.exe

C:WINDOWSsystem328eUbu23.exe

C:WINDOWSsystem32igjIYbb.exe

C:WINDOWSsystem32zJcbOcZ.exe

C:WINDOWSsystem32o8cr0MB.exe

C:WINDOWSsystem32UdXEzMO.exe

C:WINDOWSsystem32KDV5Rlr.exe

C:WINDOWSsystem32T8CjKFR.exe

C:WINDOWSsystem32Aavc22.exe

C:WINDOWSsystem32Iyeffbi.exe

C:WINDOWSsystem325W1TJtd.exe

C:WINDOWSsystem32b93a7577.exe



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога (их содержимое) в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по логам, компьютер заражён скрытым трояном.
Необходима дополнительная проверка.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Извиняюсь за задержку.

Попробуйте следующий способ.
Откройте папку Мой компьютер.
Кликните Сервис, Свойства папки.
Выберите вкладку Типы файлов.
В открывшемся списке найдите тип Устройство.
Выберите его и кликните по кнопке Дополнительно.
В открывшемся окне кликните по кнопке Установить значок.
Откроется окно с доступными иконками, выберите нужную вам.
Кликайте OK, чтобы по очереди закрыть все окна.
Перезагрузите компьютер.

[Admin]

Нужно ещё немного поработать.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9F0EA3A5-B7BA-4631-8F6D-A7CA68DC28CB}]



:files

C:Documents and SettingsДимаStart MenuProgramsStartup_uninst_setup_9.0.0.722_03.04.2010_21-05.exe.lnk

C:Documents and SettingsAll UsersApplication Datapfjgcydu.exe336032826999

C:Documents and SettingsAll UsersApplication Datapfjgcydu.exe

C:Documents and SettingsAll UsersApplication Datapfjgcydu.exe332996826853

C:Documents and SettingsДимаApplication Datapfjgcydu.exe



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

Темп с файлом WGAErrLog не исчез…

Этот файл создаётся операционной системой.

[Admin]

Судя по скриншоту Combofix пытался восстановить системный файл, который был заменён трояном и произошёл сбой.
Проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Этот лог и свежий RSIT лог вставьте в ваше следующее сообщение.

[Admin]

Combofix полностью не отработал.
Скачайте новую версию и запустите. Получившийся лог вставьте в ваше ответное сообщение.

[Admin]

ок 🙂

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Предварительно необходимо проверить ваш компьютер.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога (их содержимое) в ваш ответ. Каждый лог в отдельное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"Shell"=-



:files

C:Userssystems.exe



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Судя по логу, трояны присутствуют.
Нужна дополнительная проверка.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Логи выглядят нормально 🙂

[Admin]

Я лично не встречался с такой проблемой как у вас.

Создайте загрузочный диск, например http://www.hirensbootcd.net/
Загрузитесь с него и отформатируйте системный раздел, затем попробуйте запустить установку Windows заново.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога (их содержимое) в ваш ответ. Каждый лог в отдельное сообщение.

[Автор]

Сообщения