Созданные ответы форума
-
Сообщения
-
Здравствуйте, добро пожаловать на Spyware-ru форум.
Да, необходима дополнительная проверка.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.
Нужно выполнить приведённую инструкцию или привести свежий RSIT лог, для проверки, остался ли паразит на компьютере.
Компьютер был заражён несколькими паразитами. Вставьте свежий RSIT лог, для проверки, всё ли удалил ваш антивирус.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Запустите HijackThis, для этого кликните Пуск, Выполнить, введите
C:Program FilesTrend MicroHijackThisUser.exeи нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,\.globalrootsystemrootsystem32userinit.exe,Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.:services
dwshd
:reg
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0f324e6c-3535-11de-a272-0016d4fd604b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0f324e6f-3535-11de-a272-0016d4fd604b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{40c390f8-e895-11dd-a254-0016d4fd604b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{48dabb0c-f67b-11dd-a25b-0016d4fd604b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{48dabb11-f67b-11dd-a25b-0016d4fd604b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{48dabb12-f67b-11dd-a25b-0016d4fd604b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{49f01a06-bc8d-11de-a295-0016d4fd604b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{75cc5006-f6a5-11dd-a25c-0016d4fd604b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{75cc5007-f6a5-11dd-a25c-0016d4fd604b}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{75cc5014-f6a5-11dd-a25c-0013e81b702d}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{fb5f747e-4f36-11dc-a125-806d6172696f}]
:files
C:WINDOWSSystem32driversdwshd.sys
:Commands
[emptytemp]
[Reboot]Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.
обнаруживает и удаляет от двух до пяти троянов и бэкдоров — как правило, в папке System Volume Information/restore и так далее (один раз было в WINDOWS/system32).
1. После сканирования и удаления, если снова просканировать сразу же, находит что-либо ?
2. Каким именем он помечает найденное ?
3. Про Webmoney, попробуйте установить программу в другую папке, например wmmЗдравствуйте, добро пожаловать на Spyware-ru форум.
Судя по логу, есть признаки трояна.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.
Эта инструкция удаляет компоненты вредоносной программы, которая показывает баннер.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Судя по логу, на компьютере ещё остались компоненты вируса.
Выполним дополнительную проверку.Cкачайте сканер DDS кликнув по этой ссылке и сохраните файл на вашем рабочем столе.
Дважды кликните по скачанному файлу.
Когда программа закончит работу, будут показаны два лога (DDS.txt и Attach.txt).Вставьте оба DDS лога в ваш ответ. Каждый лог в отдельное сообщение.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.:reg
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{A668CEB5-2DB6-1337-4A8E-83A756EB383C}]
[-HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupfolderC:^Users^user^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Gariki for every day.lnk]
:files
C:s_RfQlzvG6x6Dl2R.dll
C:WindowstasksPCConfidential.job
:Commands
[emptytemp]
[Reboot]Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
NetSvc::
epzck
cttrwf
rntxmn
oguqct
oeceyrqxq
xeqpbo
jwmxbd
MBR::Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.Кроме этого проверьте файл следующие два файла:
C:QooboxQuarantineCWINDOWSsystem32winlogon.bak.vir
c:windowssystem32winlogon.exeна сайте VirusTotal.
В поле Отправить файл кликните по кнопке Browse/Обзор.
Выберите подозрительный фай, о котором я писал выше.
Кликните по кнопке Отправить файл.Результат сканирования так же вставьте в ваше ответное сообщение.
Извиняюсь за задержку, но к сожалению я один, а запросов о помощи много.
По-поводу Combofix:
1. пробовали скачать и запустить новую версию программу ?
2. запустить Combofix их безопасного режима ?Здравствуйте.
Выполним дополнительную проверку.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Необходимо выполнить дополнительную проверку.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.
Здравствуйте, добро пожаловать на Spyware-ru форум.
У вас легальная версия Windows ?
Здравствуйте, добро пожаловать на Spyware-ru форум.
P.S. Rsit я кже загрузила что дальше делать я не понимаю(((((((
* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).Вставьте оба RSIT лога (их содержимое) в ваш ответ. Каждый лог в отдельное сообщение.
