Сделайте лог HiJackThis.
Printable View
Сделайте лог HiJackThis.
Сделал.
[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
[CODE]
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [WinCheck] C:\Users\Пользователь\AppData\Local\wincheck\wincheck.exe
[/CODE]
Сделайте новый лог
Сделал, но строки не удаляются.
От имени Администратора запускаете HiJackThis?
Да, конечно.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/B92LqRQ.png[/img]
Выполнил.
(у меня в менеджере вложений подходит к концу выделенное пространство. Можно удалять старые файлы?)
[QUOTE]Можно удалять старые файлы?[/QUOTE]
Да. Мой кабинет => Вложения
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
HKLM-x32\...\Run: [WinCheck] => C:\Users\Пользователь\AppData\Local\wincheck\wincheck.exe
HKU\S-1-5-21-4089980803-3195541541-2592835429-1000\...\Run: [AdobeBridge] => [X]
C:\Users\Пользователь\AppData\Local\wincheck
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
2015-02-17 13:17 - 2015-02-17 13:17 - 00000742 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-02-17 13:17 - 2015-02-17 13:17 - 00000742 __RSH () C:\ProgramData\ntuser.pol
2011-12-15 13:04 - 2011-12-19 13:59 - 0000088 __RSH () C:\ProgramData\0B3282168C.sys
2011-12-15 13:04 - 2011-12-19 14:00 - 0002516 ___SH () C:\ProgramData\KGyGaAvL.sys
2014-07-02 17:10 - 2014-07-02 17:10 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
C:\Users\Пользователь\thumbdb.bat
AlternateDataStreams: C:\ProgramData\TEMP:D282699C
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D282699C
EmptyTemp:
Reboot:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Сделайте новый лог HiJackThis.
Выполнил. Пробовал менять автозапуск в msconfig, та же картина, не могу изменить ничего.
[QUOTE]Сделайте новый лог HiJackThis.[/QUOTE]
[COLOR="#FFFFFF"]...[/COLOR]
Сделал лог.
Скачайте ComboFix [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]здесь[/url] и сохраните в корень диска С.
1. [color=red]Внимание![/color] Обязательно закройте все браузеры, [URL="http://virusinfo.info/showthread.php?t=130828"]временно выключите антивирус, firewall и другое защитное программное обеспечение[/URL]. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите [b]combofix.exe[/b], когда процесс завершится, скопируйте текст из [b]C:\ComboFix.txt[/b] и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
Программа отработала.
Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С.[/B][/COLOR]
[code]
KillAll::
File::
Driver::
Folder::
c:\users\Пользователь\AppData\Local\EmieBrowserModeList
Registry::
FileLook::
DirLook::
C:\Device
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
После отработки программы в корне диска С лог-файла, как и файла скрипта нет. Остается только сама программа. Пробовал 3 раза.
Попробуйте в безопасном режиме выполнить скрипт.
Пробовал в безопасном режиме, пробовал с диска D. Та же самая картина - нет лог файла и файл скрипта исчезает.
Удалите вручную тогда эти папки:
[QUOTE]c:\users\Пользователь\AppData\Local\EmieBrowserModeList
C:\Device[/QUOTE]
Первой папки уже нет, вторую удалил.
Автозапуск все равно не меняется.