Порно баннер+win32.kido.ih+трояны (((((
 

История болезни такова:
Изначально был подцеплен порно-баннер, который занимал пол страницы браузера (Opera) и просил отправить SMs и тд. Далее перестали отображаться и загружаться любые страницы, хотя подключение к сети есть и оно активно. Ссылается на то, что невозможно найти удаленный сервер . При чем запрашиваемый сайт например yandex , внизу дублируется фразой : Вы попытались получить доступ к адресу: http: freepornokino.info/fcontent.ru/index…..Не дает скачивать обновления, не дает зайти ни в один ICQ пейджер. Пробовал ставить Megafon Internet ( в качестве другого провайдера) , но ситуация та же самая.
При загрузке Windows ( SP 3) , появляется на пару секунд окно DOS со следующей надписью: Start Hasp Emu. C:\ Documents and Settings\ Andrey\ net start haspnt
После этого появляется окно сетевых подключений со следующей надписью : Вы или программа попытались запросить информацию с mrim.mail.ru (или как вариант с smilekand). Выберите подключение.
Еще одна странность: При нажатии правой кнопкой мыши на ярлык Мой компьютер или любую папку запускается Windows Installer и пытается установить пакет установки FineReaderEdition.msi. Пишет, что нужный ресурс находится на сетевом ресурсе, который сейчас недоступен.

Борьба заключалась в следующем:
1) Установлен Kaspersky 2010 и Tune Up Utilities. Kaspersky нашел около 20 вирусов, среди которых был Win32.Kido.ih . Очищен реестр, проведены все возможные оптимизации системы.
2) Установлен CCleaner и Nod 32. Последний нашел еще пару вирусов и убил их.
3) Установлен Zone Alarm и Trojan Remover
4) Установлен KidoKiller v 3.1 и KK последней версии
5)Установлен Dr.Web
6) Установлен WinsockFix
7) Установлен Atf-Cleaner ( ссылается, что невозможо очистить временные файлы Opera).
8) Установлены все заплатки для Windows , рекомендуемые при Win32.Kido.ih
Потерял надежду исправить все своими силама. С нетерпением жду помощи профессионалов.
P.S. : Логи отправляю с другого компьютера, тк зараженный не имеет выхода.
Стоят два браузера IE и Opera. Логи записывались при открытом окне IE. Не знаю имеет ли это значение или нет.

Сделайте ещё этот лог.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Malwarebytes' Anti-Malware 1.42
Версия базы данных: 3289
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

12.12.2009 19:50:15
mbam-log-2009-12-12 (19-50-15).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 246084
Прошло времени: 45 minute(s), 35 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 9
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 15

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\browserhelp.anyxplayer (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{bc656258-2f9d-4448-94a8-ff8c551ba3fb} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{533bbe22-df4d-4f55-bfc1-30cb5d7e4607} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{557bbc12-0937-4263-8205-b424f51618ca} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\browserhelp.anyxplayer.1 (Trojan.PornDialer) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\WINDOWS\system32\dfshimrt.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander\Soft\fitW\fitW.exe (Malware.Packer) -> Quarantined and deleted successfully.
D:\distr\Nero 6.0\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\distr\Кодеки и плееры\Winamp_5.3\Crack\Keymaker.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dp1.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> Quarantined and deleted successfully.

Перезагрузился. Без изменений. Проблема осталась.

• Скачайте на заведомо "здоровом" компьютере утилиту от DrWeb - CureIT! Запишите её на CD или DVD, можно записать и на флешку, если производителем предусмотрен режим защиты данных от изменений (только чтение). Иначе активный вирус повредит утилиту ещё до запуска. Сделайте полную проверку зараженного компьютера в режиме Safe Mode, затем в нормальном.
Как работать с утилитой CureIT! можно прочитать в теме - Как лечить файловый вирус

1. Скачиваем VundoFix на рабочий стол, после чего закрываем все открытые окна и запускаем программу.
2. Как работать с программой читаем в теме - Как удалить Vundo?

На тот редкий случай, когда VundoFix вдруг не может помочь:
1. Скачиваем на рабочий стол VirtumundoBegone и перезагружаем компьютер в безопасный режим: Читать ниже по тексту - На тот редкий случай, когда VundoFix вдруг не может помочь.

Далее ...

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
После всех процедур выполните скрипт
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
И удалите лишние антивирусы - у вас на системе должен быть один антивирус. Несколько установленных антивирусов это не хорошо для системы. Будут друг другу мешать работать.

Скрипты выполнил, ничего не изменилось.
O2 - BHO: AnyxPlayer Class - {1DFA2A6E-3CB3-4141-A96F-D42244A6B50E} - C:\WINDOWS\system32\dfshimrt.dll - вот эта строчка при скане в HiJackThis отстутсвует. Фиксить нечего.

Сделайте новые логи.

и

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Лог от GMER :


С группы поддержки Kaspersky был получен следующий ответ: В присланном Вами файле не найдено ничего вредоносного.

Nightslim, Давайте попробуем эти средства:

• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.

• Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.\nКак использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Судя по этому у вас установлен крек для 1С. Использование эмулятора ключа Hasp, нарушает права 1С,
Вы устанавливали этот эмулятор ?
И скорее всего эта проблема у вас появилась после установки этого крека.

2 Drongo: Лог от SDFix прикрепляю.

При запуске ComboFix пишет следующее: ComboFix is Offline

2 Iskander-k: 1C была установлена , но сейчас не стоит. Видимо ключ так до сих пор и висит, но раньше он не мешал выходу в интернет. Все началось после появления порно баннера.

Прикрепляю скрины, посмотрите. Первый при занрузке, второй при попытке загрузить страницу.

Еще одна странность. При попытке очистить временные файлы и историю Opera - ATF Cleaner'om, последний ссылается что ни один файл не был удален (No files were removed). После деинсталляция Opera и установки новой версии, вся история сохранена, как будто ничего не чистили и не удаляли.
С IE таких проблем нет.

Удалите всё что касается этого крека - все его файлы. Возможно он заражен. Так как придраться больше не к чему.
Если не не получиться удалить штатными средствами скажите. Удалим через скрипт.

Еще один скрин при появлении Окна с просьбой о подключении + Диспетчер задач!

При появлении окна сетевых подключений, в диспетчере задач появляется вот этот процесс - rasautou.exe - что это?
2 Iskander-k: Удалить всю папку где он находится? Или только startnt.bat ?

ONLine- проверка
http://www.pcpitstop.com/default.asp

Онлайновые антивирусы

Я как раз смотрю что у вас в диспетчере.

rasautou.exe (Remote Access Dialer) - У нормального должен быть размер 11 776 байт.


попробуйте - http://vil.nai.com/vil/stinger/
Ad-Aware SE! - http://www.lavasoftusa.com/default.shtml.ru
Tauscan

Online проверка не получится, тк компьютер не заходит ни на один сайт(см. фото SDC10513 JPG).

У вас был установлен ZoneAlarm ?

Проверьте vsmon.exe. Если он от ZoneAlarm то должен быть в C:\WINDOWS\system32\ZONELABS\

Да, Zone Alarm был. Сейчас идет проверка вот этой прогой: http://vil.nai.com/vil/stinger/
Каким образом проверить vsmon.exe?

Проверить можно (если зайдёте на сайт)
http://www.virustotal.com/ru/

И поищите где он находится . Раз его у вас нет то почему он висит в процессах ? Под таким именем ещё троянцы прячутся.

Записал vsmon.exe на диск , проверил на вышеуказанном сайте. Вот ответ:

Файл уже проанализирован:
MD5: f8c283ca4f542283b36b6a09e7362e16
First received: 2009.10.20 01:57:17 UTC
Дата: 2009.10.24 20:45:04 UTC [>52D]
Результаты: 0/41
Permalink: analisis/6f896dd63e10e16540ad92932d4e044541c5f78f6b00bcba2107e30229aede4d-1256417104

А находится vsmon.exe как раз там где вы указали.

Сейчас идет проверка Stringer. Отчет выложу сразу после проверки Ad-Aware.

И еще вопрос: Почему "не чистится" Opera ???

Лучше выкладывать ссылки на проверку. Просто скопируйте после проверки, адрес на страничку из адресной строки.

На данный момент ситуация такая:
1) Антивирус Stringer не обнаружил ни одной вредоносной программы.\
2) Антивирус Ad-Adware при Full Scan обнаружил 8(восемь) вредоносных программ. Лог выкладываю.
3) Сейчас идет проверка Outpost Antivirus Pro.

Дублирую вопрос: Почему не чистится Opera ???

Outpost Antivirus нашел еще три вредоносные программы. Одна из которых сидела в процессах.

Это от утилиты "sdfix" (c:\sdfix\apps\process.exe) - так что это ложное срабатывание.
Два других в архивах системы восстановления.


Вы остатки от Zone Alarm и от крека для 1С - удалили ?



•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Заработал IE. Но ни один другой браузер работать не хочет + при нажатии правой кнопкой мыши стала появляться следующая строка: Abby FineReader 8.0 Prof.Edition. Внутренняя ошибка 2753. InstallTools.dll.
Вообще никак не удаляется , ни при помощи средств Windows , ни при помощи Your Uninstaller ( вообще не видит , что AbbyFineReader установлен)

Логи от RSIT

Не запускается ни один пейджер : ни ICQ, ни Mail Agent, ни Qip... Пробовал переустанавливать, результат тот же. Не заходит.

Нет идей?? Может решить проблему Format C: ?

Не, не надо :)

Запустите AVZ, меню - файл - выполнить скрипт:

Полечите систему по этой инструкции.

Повторите лог RSIT

Скрипт выполнил.

Новый лог от RSIT:

Никаких изменений после выполнения скрипта :((

Попробуем такой вариант:

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Запустите HijackThis, поставте галочку напротив :
нажмите FixChecked

Скачайте и установите SUPERANTISPYWARE, запустите пусть просканирует систему, отпишитесь о результате проверки.

З.Ы. KidoKiller запускали или нет?

Да, КК запускал несколько раз. В разных режимах. Ничего вредоносного не находит. Заплатки поставил.

All processes killed
========== PROCESSES ==========
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\Documents and Settings\Андрей\Application Data\Mail.Ru\Agent\Mra\dll\newmrasearch.dll moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\"Authentication Packages"|hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,00 /E : value set successfully!
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02d26d59-bd87-11dd-95ae-00112f8aaa12}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02d26d59-bd87-11dd-95ae-00112f8aaa12}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47aa3bec-34e5-11de-967a-00112fa63572}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47aa3bec-34e5-11de-967a-00112fa63572}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc269594-5ad9-11dd-9493-00112f8aaa12}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bc269594-5ad9-11dd-9493-00112f8aaa12}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Андрей
->Temp folder emptied: 112195314 bytes
->Temporary Internet Files folder emptied: 5039707 bytes
->Opera cache emptied: 5613465 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2133863 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
Windows Temp folder emptied: 2947624 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23931996 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 2372722981 bytes

Total Files Cleaned = 2*408,00 mb


OTM by OldTimer - Version 3.1.3.0 log created on 12222009_153325

В HijackThis такой строчки нету.

SUPERANTISPYWARE нашел три вредоносных программы:

1) Adware. Tracking Cookie
2) Trojan. Agent/ Gen-Data Keeper (C: Documents and Settings\Андрей\DOCTORWEB\QUARANTINE\AONDPFQR.dll
3) Trojan. Agent/ Gen-Nulo {Short} (D:System Volume Information\_Restore{BD7490AA-85B3-49D0-A699-9EDBCA021330}\RP80\A0025080.EXE

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

sanek_freeman, данные процедуры выполнялись неоднократно. Результаты их можно посмотреть на предыдущих страницах. Все безрезультатно.
Или есть смысл сделать их еще раз???

Я знаю, что они делались неоднократно. Но ведь и после логов были предприняты действия. В общем, делайте в такой последовательности: Предварительные действия -> МВАМ -> ComboFix ->RSIT. И выкладывайте логи.

ок.

При попытки очистить ATF временные файлы Opera , выдается следующее сообщение: No files were removed.
Это как-то странно.

Очистите с помощю CCleaner

Выкладываю логи:

Nightslim, по логам вроде чисто. Проблемы остались?

Да, на данный момент не работает ни один брауезер , кроме IE. При попытке зайти через Opera пишет, что невозможно подключиться к FREEPORNOKINO.INFO. Не заходит ни в один ICQ пейджер. Не дает делать обновления антивирусам.

+ при нажатии правой кнопкой мыши на ярлык Мой компьютер или любую папку стала появляться следующая строка: Abby FineReader 8.0 Prof.Edition. Внутренняя ошибка 2753. InstallTools.dll.

Nightslim,Попробуйте скачайте и запустите утилиту LSPFix, также скачайте и пройдитесь по системе программой SpyWareBlaster , сообщите о результатах.

LSPFix - No problems were found.
SpyWareBlaster - включил всю защиту, с последними обновлениями. Но ничего не изменилось.

Могу еще раз выложить скрины Opera. И ошибки аси, с агентом.

Поудаляйте лишнее антивирусное ПО, оставте только один антивирус и утилиты для лечения (ComboFix,Avz,Rsit,HijackThis...) Попробуйте еще проверить компютер этой
программой. распакуйте архив в любую папку, запустите файл a2free.exe, обновите базы,потом выберите ScanPC - DeepScan - Scan.(есть русский язык). Сохраните лог работы программы и прикрепите к следующему сообщению, также не удаляйте все сразу одним нажатием, перед удалением посмотрите что это за файлы и пути к ним, а то можна потерять что-то важное...

Combofix скачайте еще раз.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

E-mpty, выкладываю лог:

akok, выкладываю лог:

c:\windows\Installer\57f869.msp - проверьте на VT

Больше не вижу к чему придраться.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up



Проблемы остались?

akok, да, все как и было так и осталось.

Да уж, тяжелый у вас случай... Надеюсь в вас еще есть дух оптимизма? ;)

• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению.
Описание SDFix есть здесь.

•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Сделайте эти логи. Попробуем еще чуть-чуть поколдовать :)

sanek_freeman, Спасибо за поддержку :) Оптимизм как-то начинает меня покидать)) Завтра выложу логи.
Может еще поколдуем и над ошибкой Abby Fine Reader?? Я еще выше описывал....