[Helper]

Здравствуйте!
Для борьбы с Kido нужно сделать лог Combofix

[Helper]

Скрипты пишутся разные для разных компьютеров.Нельзя использовать скрипты для разных компьютеров!

[Helper]

Судя по логу вы подключали заражённую флешку к вашему компьютеру (с момента создания предыдущего RSIT лога). Проверьте все ваши флешки на вирусы используя ваш антивирус или например, Kaspersky® Virus Removal Tool (ссылка).
Запустите HijackThis, для этого кликните Пуск, Выполнить, введите

C:Program Files (x86)trend microPIONER.exe

O13 - Gopher Prefix:

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = http=127.0.0.1:8992

O4 - HKCU..Run: [jstrndnu] C:UsersPIONERAppDataLocalTempwwgbtixkrftwhmddsjmo.exe

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.Перезагрузите компьютер.Вижу Вы запускали комбофикс.Запустите ещё раз и полученный лог вставьте в Ваш ответ.

[Helper]

В карантин, увы, ничего не попало.

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Что из этого Вам не нужно и можем отключить (напишу скрипт для AVZ)?
Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните полное сканирование всех дисков вашего компьютера. В конце работы будет показан лог.
Его содержимое вставьте в ваше следующее сообщение.Но не удаляйте ничего сначала!

[Helper]

Здравствуйте!Нужно покупать лицензионное ПО, а не использовать кряки с вирусами.Тогда проблема не будет возникать.

[Helper]

Нужно было внимательно читать и аккуратно выполнять.Не самый верный, есть зловреды, которые выживают после обычного форматирование.Правда таких маловато.

[Helper]

Выгрузите всё ПО, включая антивирусное, отключитесь от интернета.
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл — Выполнить скрипт, вставляем написаный скрипт — кнопка Запустить, после выполнения компьютер перезагрузится.

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

ClearQuarantine;

QuarantineFile('C:RECYCLERS-1-5-21-1840630384-1998315189-2812828539-1004Dc17.tmp','');

QuarantineFile('C:RECYCLERS-1-5-21-1840630384-1998315189-2812828539-1004Dc16.tmp','');

QuarantineFile('C:DOCUME~1vohmyninLOCALS~1TempEF169Mgc.sys','');

DeleteFile('C:DOCUME~1vohmyninLOCALS~1TempEF169Mgc.sys');

DeleteFile('C:RECYCLERS-1-5-21-1840630384-1998315189-2812828539-1004Dc17.tmp');

DeleteFile('C:RECYCLERS-1-5-21-1840630384-1998315189-2812828539-1004Dc16.tmp');

DeleteService('EF169Mgc');

BC_ImportAll;

ExecuteSysClean;

BC_DeleteSvc('EF169Mgc');

BC_Activate;

ExecuteRepair(20);

ExecuteRepair(21);

ExecuteWizard('TSW',2,2,true);

ExecuteWizard('SCU',2,2,true);

RebootWindows(true);

end.

После всех процедур выполните скрипт

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

ExecuteStdScr(2);

ExecuteStdScr(3);

RebootWindows(false);

end.

Второй скрипт может выполняться долго(примерно 30 минут), поэтому ждем.После опять автоматическая перезагрузка.
В результате выполнения скрипта будет сформирован карантин quarantine.zip.Вот его отправьте мне в ЛС.Архивы
проверок обновятся, приложите новые:
virusinfo_syscure.zip;
virusinfo_syscheck.zip

[Helper]

Проблема с проводником осталась?

[Helper]

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes

explorer.exe



:Services



:Files

C:WindowstasksInstall_NSS.job

C:UsersPIONERAppDataLocalTemplkpyvbuxffmudtoduerb.exe

C:ProgramDatanNfBa01804



:Reg

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"tddgpmfy"=-

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7f636032-7b10-11df-a91b-0022191d86fd}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{c71679e1-fd6b-11de-8522-0022191d86fd}

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{cc5c1907-2340-11de-8a9a-0022191d86fd}]





:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

В OTM под панелью «Paste Instructions for Items to be Moved» (под желтой панелью) вставьте скопированный текст и нажмите кнопку «MoveIt!».

Компьютер перезагрузится.
Повторите логи RSIT.

[Helper]

Выгрузите всё ПО, включая антивирусное, выполните стандартные скрипты №2 и №3.Тогда папки и архивы в ней появятся. 🙂

[Helper]

сделайте лог Combofix и приложите

[Helper]

Я имел в виду AVZ=> LOG, то есть в корне папки, где находится AVZ, есть папка LOG.Вот там и есть архивы:
virusinfo_syscheck.zip
virusinfo_syscure.zip

[Helper]

Нажмите кнопку ответить.После внизу «добавить вложения».Из папки AVZ-LOG добавьте два архива.

[Helper]

Посмотрите, нет ли лишних плагинов в опере.

[Helper]

Здравствуйте.Это не лог…
Нужно прикрепить архивы:
virusinfo_syscheck.zip
virusinfo_syscure.zip

[Автор]

Сообщения