Созданные ответы форума
-
Сообщения
-
@Valeri wrote:
Уже хорошо 🙂
Пропустили один адваре компонент:O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:PROGRA~1MYCENT~1InfoBarMYCENT~1.DLL (file missing)В остальном нормально, но при этом рекомендую в структурировать скрипт следующим образом:
1. Работа с драйверами
2. Работа с реестром
3, Работа с файлами.Делать это нужно для того, чтобы программы могла удалить файлы, которые могут быть заняты запущенными процессами/драйверами/сервисами.
Так что можете отсылать свой скрипт пользователю 🙂
Вижу работаете и учитесь.После ответа пользователя скиньте сюда ваши следующие предложения ему.
Спасибо, просмотрел его лог после чистки ComboFix в логах ничего вредоносного невижу
:Processes
explorer.exe
:files
C:Documents and SettingsAll UsersApplication Datavjwjsqu.dll
C:Documents and SettingsAll UsersApplication Databoitsqu.dll
C:Documents and SettingsAll UsersApplication Dataucxvbqu.dll
:reg
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{37D24D2C-060A-4F10-A69E-93DFCC20453E}]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{4B7B8BCE-7E00-450D-BFBF-4F49F21BE610}]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{6D7B211A-88EA-490c-BAB9-3600D8D7C503}]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{A449340F-A80D-49BD-A931-45AC4DB33881}]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{C4A9BDD1-CD85-4398-A370-C2C53E1C70EA}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b5d58eee-204c-11de-b2de-0007e97d8779}]
:Commands
[emptytemp]
[start explorer]
[Reboot]Скрипт по новому переписанный 🙂
Здраствуйте добро пожаловать на форум
Выполните эти правила и мы сможем вам помочь 😉Доброго времени суток и добро пожаловать на форум
Выполните эти правила и мы сможем вам помочь!Ответ на задачу 🙂
:Processes
explorer.exe
:files
C:Documents and SettingsAll UsersApplication Dataucxvbqu.dll
C:Documents and SettingsAll UsersApplication Databoitsqu.dll
C:Program FilesConnectionServicesConnectionServices.dll
C:Documents and SettingsAll UsersApplication Datampnlib.dll
C:Documents and SettingsAll UsersApplication Datavjwjsqu.dll
C:Program FilesCommon FilesInstallShieldUpdateServiceisuspm.exe
:reg
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"isuspm"=-
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWdf01000.sys]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWdf01000.sys]
[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b5d58eee-204c-11de-b2de-0007e97d8779}]
:Commands
[emptytemp]
[start explorer]
[reboot]пофиксить в HiJackThis:
BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C}
@zohar wrote:
меня проблема комп работает нормально, но есть дни что вдруг вылетают 100 и даже 1000 окон Symantek с разными текстами , комп блокируется и сделать ничего невозможно,помогите.
Здраствуйте добро пожаловать на форум
сделайте логи и мы сможем точно или приблизительно вам сказать, возможно ваш ПК заражён ❗@dashavasia wrote:
Большое спасибо за ответ.
Простите, создать тему на форуме? И чем мне это поможет?
Заранее благодарна,
ДарьяНет Дарья все скопированные логи постите в этой теме.
Вы спрашиваете: чем?
Отвечу: Мы по логам определим, где завёлся у вас микроб в компьютере и поможем вам его удалить, тем самым вылечим ваш ПК и за одно проконсультируем(выпишем рицепт) что нужно использывать, чтобы ваш ПК больше не болел 😉Вот скрипт
:Processes
explorer.exe
:services
spupdsvc.exe
yvqdiqu.dll
:reg
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{068119DB-00E9-416A-AC2E-9F837E6FB3C3}]
"{068119DB-00E9-416A-AC2E-9F837E6FB3C3}"="yvqdiqu.dll"
:Files
C:Documents and SettingsAll UsersApplication DataMicrosoftMedia Playeryvqdiqu.dll
C:WINDOWSSET8.tmp
C:WINDOWSSET4.tmp
C:WINDOWSSET3.tmp
C:FOUND.000
C:WINDOWSsystem32spupdsvc.exe
:Commands
[emptytemp]
[start explorer]
[Reboot]Вроде все 🙂
Если что то неправельно пожалуйста поправте меня 🙂C:WINDOWSsystem32spupdsvc.exe
А этот файл чем провинился ?информация по нему это же чистой воды троян,
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{068119DB-00E9-416A-AC2E-9F837E6FB3C3}]
LA Data Provider — C:Documents and SettingsAll UsersApplication DataMicrosoftMedia Playeryvqdiqu.dll [2007-04-03 609280]
Это и есть запуск порнобанеров. Имена файлов меняются, результат остаётся.Во уже начинаю шарить по BHO — Валерий я ведь на BHO не ориентировался, так как конторы которые чистил от вирусов в основном были Вормы или автораны и изредка троянны, а вот с BHO столкнулся только тут
Пишите скрипт лечения для OTMoveIt и скидывайте сюда.
сегодня если успею физически 🙂 так как работа еще с учёбой, надеюсь вы на меня из-за этого неосерчаете 😉
@dashavasia wrote:
Здравствуйте,
У меня то же самое происходит. программу RSIT скачала- 2 блога появилось. и что с ними теперь делать, подскажите пожалуйста!!создать свою тему, открыть начала текстовый файл под именем «log.txt» скопировать все и вставить в своё сообщение, потом открыть «info.txt» выделить все скопировать и вставить в своей теме в своё следующие сообщение
@natter393 wrote:
Касперский постоянно показывает заражение Trojan-Ransom. Win32. Hexzone.gsz, что это?
Trojan-Ransom. Win32. Hexzone.gsz это В июне 2008 года «Лаборатория Касперского» выделила в отдельные поведения несколько семейств вредоносных программ. Были созданы два новых поведения: Trojan-Mailfinder и Trojan-Ransom.
Основная функция программ, вошедших в Trojan-Mailfinder, заключается в сборе адресов электронной почты на зараженных компьютерах для пополнения баз спамеров. Это поведение сформировано как из различных троянских программ, так и из части программ, ранее относившихся к поведению SpamTool класса Other Malware.
Немногочисленные, но весьма опасные троянцы-«вымогатели» выделены нами в отдельное поведение Trojan-Ransom. Сюда относятся все вредоносные программы, которые тем или иным образом выводят из строя ОС, шифруют пользовательские файлы (таким образом злоумышленники получают возможность вымогать у пострадавших деньги, предлагая взамен восстановление
Выполните правила и тогда мы сможем вам помочь вылечится от негоэтих надо удалить
:Files
C:WINDOWSSET8.tmp
C:WINDOWSSET4.tmp
C:WINDOWSSET3.tmp
C:FOUND.000
C:WINDOWSsystem32spupdsvc.exe
Предлагаю ему посоветовать обновить систему до СП3, а так же есть подозрение на кидо!
вот этого товарищи предлагаю отправить в вирлаб или же проверить на вирустотале[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{068119DB-00E9-416A-AC2E-9F837E6FB3C3}]
LA Data Provider - C:Documents and SettingsAll UsersApplication DataMicrosoftMedia Playeryvqdiqu.dll [2007-04-03 609280]Так как попадает под подозрение на вирус
нужно убрать вот этот мусор от ДрВеба
C:WINDOWStasksDr.Web Update.job
C:WINDOWStasksDr.Web Daily scan.jobвроде все 🙂
@Valeri wrote:
Как у вас продвигается работа по порнобанерам ? Берите только стандартные варианты, то есть использование модулей BHO.
Чтобы проверить теорию, нужна практика, а вы мне пока не разрешаете помогать, какой от меня тут толк если я тут ради прикола числюсь? А помогать вы мне разрешение недавали 🙁
Валерий, а что значит когда вы пишите ветку реестра и заражённый ключ вот так
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"aaa"=-
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyEntry_Name]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"aaa"="111""aaa"=-, "aaa"="111"— что это? название ключа? или ключ со значением нуль? или что то еще?
