Созданные ответы форума
-
Сообщения
-
Здраствуйте!
Скачайте полиморфный AVZ
Запустите его ивыполните ниже приведённый скрипт:begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ExecuteRepair(1);
ExecuteRepair(3);
ExecuteRepair(5);
ExecuteRepair(9);
ExecuteRepair(12);
ExecuteRepair(13);
RebootWindows(true);
end.
После выполненого скрипта выполните правила оформления запроса в моей подписи
А если я вот так напишу? или надо по другому?
xn1i9x.com
C:xn1i9x.com
D:xn1i9x.com
E:xn1i9x.com@Valeri wrote:
Всё правильно, но
xn1i9x.com
c:xn1i9x.comздесь формат первой строки не правилен, не указан путь к файлу.
По логам вижу только ключи от него и все , вы нашли путь к нему?
@KovaldorFF wrote:
Уже пробовал и таким способом, но та же петрушка, снова выскакивает выбор девайса…???
Тогда нажимаете ESC — и продолжаете нажимать F8 — на ноутбуках и обычных компьютераъ от DELL или же от ASUS всегда такая фитча
Здраствуйте Добро пожаловать на форум.
для начала выполните эти правила.
А так же вот Рекомендация по его удалению, но после выполнения Рекомендаций, обязательно выполните выше описанные правила, поможем вам удалить после него мусор и еще так диагностика вашему ПК будет очень кстати! ❗:process
explorer.exe
:reg
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{8cc0fe4c-166d-11dd-b6ff-001cc005c266}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{602271be-0983-11dd-b6e8-001cc005c266}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{529a5e32-369f-11dd-b754-001cc005c266}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{8cc0fe4c-166d-11dd-b6ff-001cc005c266}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{529a5e32-369f-11dd-b754-001cc005c266}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{602271be-0983-11dd-b6e8-001cc005c266}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{8cc0fe4c-166d-11dd-b6ff-001cc005c266}]
:file
I:RESTOREk-1-3542-4232123213-7676767-8888886Ogard.exe
I:RESTOREk-1-3542-4232123213-7676767-8888886Ogard.exe
С:RESTOREk-1-3542-4232123213-7676767-8888886Ogard.exe
С:RESTOREk-1-3542-4232123213-7676767-8888886Ogard.exe
C:autorun.inf
:Commands
[emptytemp]
[start explorer]
[reboot]Скрипт переправил 20.04.09
Валерий человек очень долго ждёт помощи — запрашиваю разрешение на выдачю данного скрипта ❗
Здраствуйте пожалуйста прочитайте эту статью — после чего выполните выше написанные правила которые дал вам Valeri
Подождите немного сегодня будет дан вам скрипт, мы все неуспевам, с Уважением De_Frost
Здраствуйте Добро пожаловать скачайтеflash_disinfector, запустите её и после её работы логи от RSIT повоторите 🙂
:Processes
explorer.exe
:reg
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{60F5AFF6-0807-4C5C-BFB7-5D1D06C81944}]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{E0E2F84E-371A-4537-A0A0-902646E8ADE4}]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F7323DE8-9519-45B2-8F77-9FAF1FFA5736}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{3c51cabf-1cfc-11dd-a8dd-0019b9804c26}]
:files
C:WINDOWSsystem32advapi32x.exe
E:ntde1ect.com
C:Documents and SettingsAll UsersApplication Datayvhlib.dll
:Commands
[emptytemp]
[start explorer]
[Reboot]Вроде все или нет?
@Valeri wrote:
Комментарии:
1. Опять упустили правильную запись команды удаления ключа реестра. Необходимо перед первой буквой ставить тире (‘-‘).
2. Секцию работы с реестром вставьте выше секции работы с файлами.
3. Зачем удалять эти файлы:C:WINDOWSwb.ini
C:Program FilesBonjourmDNSResponder.exe
C:Program FilesAdStoper
C:Program FilesAdStoperAdStopperTrayApp.exe4. Ключ подобный этому [HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{3c51cabf-1cfc-11dd-a8dd-0019b9804c26}]
Говорит о том, что пользователь вставлял в компьютер заражённую флешку (прописался автозапуск трояна ntde1ect.com). Поэтому нужно рекомендовать пользователю использование Flash_Disinfector.
5. С чего вы решили что файл C:WINDOWSsystem32DllHost.exe заражён ?1. проспал ночью скрипт писал
2. поправлю
3. первый он мне никогда ненравился зачем пользователю легальный шпион? второй можете его по гууглу пробить — троян на сколько помню
4. Буду имет ввиду — я же у вас Валерий учусь всего сразу знать невозможно 🙂
5. неполенился обратится к гууглу — в него мог прописать своё тело вирус так как этот файл легко этому подаётсяЗ.Ы. прошу строго меня не судить, я все еще учусь и неленюсь
З.Ы.Ы. Вы мне говорите когда скрипт можно отправлять, чтобы я точно знал когда его можно постить 🙂
:Processes
explorer.exe
:reg
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{60F5AFF6-0807-4C5C-BFB7-5D1D06C81944}]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{E0E2F84E-371A-4537-A0A0-902646E8ADE4}]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F7323DE8-9519-45B2-8F77-9FAF1FFA5736} ]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{3c51cabf-1cfc-11dd-a8dd-0019b9804c26}]
:files
C:WINDOWSwb.ini
C:Documents and SettingsAll UsersApplication Datayvhlib.dll
C:Program FilesBonjourmDNSResponder.exe
C:Program FilesAdStoper
C:Program FilesAdStoperAdStopperTrayApp.exe
E:ntde1ect.com
:Commands
[emptytemp]
[start explorer]
[reboot]
Уф… вроде все 🙂
Валерий вот этот файликC:WINDOWSsystem32DllHost.exeговорят чистый, но есть подозрение в том что вирус туда прописал своё тело ❓
Поправил поставил — [-HKEY] — верно всё? =)
@Patriot1973 wrote:
Здравствуйте вот новый лог, а что такое свежий RSIT лог?
Здраствуйте — «свежй лог RSIT» — значит что надо снова снять с помощью RSIT лог и прикрепить его в своё следуюещие сообщение.
Здраствуйте скачайте Anti-Malware , обновите выберите «Полное сканирование» — лог вставте сюда
