Созданные ответы форума
-
Сообщения
-
Здравствуйте, добро пожаловать на Spyware-ru форум.
Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.:Processes
explorer.exe
:reg
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{FEB86D92-AF90-4059-9E72-CC283F85A94F}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0a54d630-bb5b-11d6-a640-f63bdcefab8b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{31983992-d07f-11d5-a5ec-f434e8a2cf8b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{39698f32-c40a-11d6-a647-97476ecc388c}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{51ac4895-159b-11d6-a60b-d07468e5498b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{586625c2-1d1f-11d7-87f7-806d6172696f}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{6745ed40-e356-11d4-a5de-f9541a1dfc8b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7ad8a2a0-1c6d-11d6-a614-bb6e2f743e8c}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{88ddce53-d9f7-11d6-a650-a5805e44108c}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{94890780-1993-11d6-a610-e9c93555808b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{97ac6760-d221-11d6-a64e-931fe91df98b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a332a11f-e4a0-11dd-a686-a5d51e7a528c}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{c170d5f0-b5a1-11d5-a5e2-a055b10be68b}]
:files
C:Documents and SettingsAll UsersApplication Datakrrlib.dll
:Commands
[emptytemp]
[start explorer]
[Reboot]Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог.
Енто хорошо, что сами справляетесь 🙂
Но судя по логам, приведенным вами раннее, есть ещё один подозрительный компонент.
Поэтому скиньте свежий RSIT лог (только log.txt).Хм, судя по логу ваш компьютер заразился ещё одним трояном.
Скачайте программу RegDelNull кликнув по этой ссылке и расспакуйте её в корень диска C (C:).Кликните Пуск, Выполнить, введите
RegDelNull.exe HKEY_USERS -sНажмите Enter.
Если во время работы программы появится сообщение «Delete (y/n)», введите y.Просканируйте компьютер используя Combofix снова и получившийся лог вставьте в ваш ответ. Так же сообщите программа RegDelNull спрашивала вас (delete y/n) или нет ?
Действительно так и есть 🙂
Спасибо друзья что заметили и создали этот топик. Всех так же поздравляю с годовщиной, в этом году мы вместе вылечим ещё больше компьютеров!Хотя у меня и мало времени на поддержание этого ресурса, и к сожалению часто не успеваю ответить всем, но всё же стараюсь урвать часок другой из личного времени и забежать проведать форум.
Валерий.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Проблема описанная вами наблюдается в каком браузере ?
Здравствуйте, добро пожаловать на Spyware-ru форум.
Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.:Processes
explorer.exe
:services
winsecguard
:reg
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{42C864C8-E1F9-4546-92E2-BCBA0E0AFB94}]
:files
C:Program FilesCommon Files{6EA9B29A-C801-4F76-805F-E41ACF9ED16Z}
C:WINDOWSFontszpx2.exe
C:Documents and SettingsAll UsersApplication Datafxklib.dll
:Commands
[emptytemp]
[start explorer]
[Reboot]Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.
Смотрю вы запускали Combofix 5 раз, после этого проблема сохранилась ?
И ещё, вы пробовали запускать Malwarebytes Anti-malware в безопасном режиме ?
Я не знаю кто делает этих паразитов, но знаю одно, их делаю для того, чтобы заработать денег. Кстати это метод заработка распространён только у русскоязычных пользователей, я лично не встречал ни одного подобного случая у западных пользователей.
Combofix лог выглядит практически нормально, но есть ещё небольшая работа.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:Folder::
e:program filesCommon Files{6EA9B29A-C801-4F76-805F-E41ACF9ED16Z}
e:temp{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}
e:tempWPDNSE
DDS:
uInternet Settings,ProxyServer = http=127.0.0.1:8600
reglock::
[HKEY_USERSS-1-5-21-1614895754-287218729-682003330-500SoftwareMicrosoftInternet ExplorerUser Preferences]
Registry::
[HKEY_USERSS-1-5-21-1614895754-287218729-682003330-500SoftwareMicrosoftInternet ExplorerUser Preferences]
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=-
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=-
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=-Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ (не присоединяйте лог, а вставьте в ваше сообщение содержимое этого лога).Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Driver::
e113a8ff
Registry::
[-HKEY_LOCAL_MACHINESystemControlSet002Servicese113a8ff]
File::
%windir%System32driverse113a8ff.sys
DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:8600Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.Здравствуйте, добро пожаловать на Spyware-ru форум.
Trojan Remover!Выдает следующее: FILE IS SUSPICIOUS:WRONG SIZE OR BAD VERSION
This userinit.exe file is either the wrong size,or has missing/incorrect version infjrmationВозможно вирус сидит в системном файле.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Здравствуйте, добро пожаловать на Spyware-ru форум.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.
* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Registry::
[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem]
"DisableTaskMgr"=0
"DisableRegistryTools"=0Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.Проверьте ещё ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результаты сканирования вставьте в ваш ответ.
