[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

вылазит что-то наподобие ошибки.(дело в том что бук у родственника дома,если что завтра с собой его привезу).

Можно подробнее, какое сообщение пишет ноутбук ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Компьютер заражён autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{16a310dd-ce94-11dd-a882-001c10642930}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{36297db5-d488-11dd-a88a-001c10642930}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a79801fd-4dc7-11de-a94a-00112f910a3b}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ab08a035-e35e-11de-aa51-00112f910a3b}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b6aa8488-c85d-11dd-a87b-00112f910a3b}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b96ff040-f94a-11dd-a8d5-00112f910a3b}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{dd88e6b6-059b-11de-a8ea-00112f910a3b}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{fa37e390-c0a0-11dd-a86b-001c10642930}]



:files

C:WINDOWStasksAt1.job

C:WINDOWStasksAt2.job

C:Documents and SettingsAll UsersStart MenuProgramsStartupSrvMod.lnk

C:Documents and SettingsillyaStart MenuProgramsStartup654A3E.lnk

C:WINDOWSsystem325C935C654A3E.EXE



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И свежий RSIT лог.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Загружается только через F8.

Из этого меню все режимы работают ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Антивирус удалил тело вируса, но не записи о нём в реестре. Поэтому и стали возникать ошибки.
Запустите HijackThis. Если нет иконки на рабочем столе, то программа находится в папке C:Program FilesTrend MicroHijackThis
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

F2 - REG:system.ini: Shell=Explorer.exe C:WINDOWSsystem32fservice.exe

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O4 - HKLM..PoliciesExplorerRun: [DirectX For Microsoft� Windows] C:WINDOWSsystem32fservice.exe

O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableTaskMgr"=0

"DisableRegistryTools"=0



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{141ccada-0992-11de-b682-0013d4a63b85}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{5c27c70f-c39d-11dd-b5ce-001060d1823c}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{5c27c710-c39d-11dd-b5ce-001060d1823c}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{76c54987-6ece-11dd-8180-000e2ef34d63}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a84ad620-c453-11de-b859-0013d4a63b85}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b97f63d2-d25e-11dd-b5f4-001060d1823c}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b97f6402-d25e-11dd-b5f4-001060d1823c}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{c580698e-a071-11de-b7f0-001060d1823c}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{de342952-6515-11dd-8165-000e2ef34d63}]



:files

C:WINDOWStasksAt1.job



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог.

[Admin]

Вы вставили не полный лог, запустите программу ещё раз и получившийся лог вставьте в ваше сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Вы подключали к компьютеру заражённый внешний диск или флешку.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Жду от вас этот лог и свежий RSIT лог.

[Admin]

Быстрого ответа нет, но можно проверить компьютер.
Проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Содержимое этого лога вставьте в ваше следующее сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

1) Когда пытаюсь зайти в карантин, то выдает ошибку Error code:724 (0,9).

Ошибка говорит о том, что программа не может загрузить базу с данными об объектах помещенных в карантин.
Вы вручную не перемещали или удаляли что-либо из домашней папки программы ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Comodo нашел один и тот же троян TrojWare.Win32.TrojanDownloader.Agent.hylu@97495475

А на какие конкретно файлы он ругается ?

[Admin]

У вас Windows XP ?
И ещё, у вас есть инсталляционный диск Windows ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

ри выборе БР мне предлагает прекратить или продолжить загрузку файлов SPTD.SYS и затем точно такой же вопрос оносительно d347bus.sys.

Чтобы вы не выбирали результат одинаков ? Чёрный экран ?

[Admin]

Скачайте сканер OTL кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Поставьте галочку в пункте «Scan All Users».
* В окно Custom Scan/Fixes вставьте следующий текст:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%systemroot%system32*.dll /lockedfiles
%systemroot%Tasks*.job /lockedfiles
%SYSTEMDRIVE%*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
imm32.dll
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%*. /mp /s
%systemroot%system32*.dll /lockedfiles
CREATERESTOREPOINT
* Кликните по кнопке «Run Scan».
* Когда программа закончит работу, будут показаны два лога (OTListIt.txt и Extra.txt).

Вставьте оба OTL лога в ваш ответ. Каждый лог в отдельное сообщение.

Кроме этого проверим ваш компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Содержимое этого лога так же вставьте в ответное сообщение.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Filestrend micronata.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

F2 - REG:system.ini: Shell=explorer.exe rundll32.exe nldk.yxo bxwjh

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1de52d7f-1db9-11de-9efc-00150035494d}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{80c90182-37d9-11de-9f36-00150035494d}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{823a199d-a137-11de-9fb4-00150035494d}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ce10b074-fdd5-11de-a04c-00150035494d}]



:Commands

[emptytemp]

[Reboot]

Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.

[Admin]

Зайдите в диспетчер устройств (Кликните правой клавишей по иконке Мой компьютер, вкладка Оборудование, кнопка Диспетчер устройств).
В списке есть устройства выделенный желтым восклицательным знаком или красным крестиком ?

[Admin]

mbr.exe и ComboFix констатируют у них MBR-rootkit инфекцию

Они констатируют не это 🙂
Они показывают наличие неизвестного драйвера в загрузке, при этом сообщают что «user & kernel MBR OK «.
Такое бывает при наличии в системе какого-то низкоуровневого драйвера, например от эмулятора (виртуального) сд дисковода.

установлена с Гостовского образа

А что это за такой образ ?

[Автор]

Сообщения