Созданные ответы форума
-
Сообщения
-
Так получше.Но системные файлы заражены+некоторых нет.Попытаемся так, а далее посмотрим.
Удалите старый CFScript.txt.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
KillAll::
Fcopy::
c:windowssystem32dllcachewinlogon.exe | c:windowssystem32winlogon.exe
c:windowsERDNTcacheqmgr.dll | c:windowssystem32qmgr.dll
c:windowsServicePackFilesi386winlogon.exe | c:windowssystem32winlogon.exe
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.Проверьте такие файлы на http://www.virustotal.com и ссылку выложите:
c:documents and settingsAll UsersApplication DataDreamFarmjngload.dll
c:windowssystem32d3d9.dllc:windowssystem32driversbmbemu.sys
c:windowssystem32driversnnkey.sys
Известно?(похоже на руткиты и дата создания полностью одинакова).Если не известно, тогда:
Удалите старый CFScript.txt.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
KillAll::
Fcopy::
c:windowssystem32dllcachewinlogon.exe | c:windowssystem32winlogon.exe
File::
c:windowssystem32driversnnkey.sys
c:windowssystem32driversbmbemu.sys
Driver::
bmbemu
nnkey
Folder::
Registry::
FileLook::
DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Компьютер должен сам перезагрузиться.
Новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
У вас есть установочный диск вашей ОС?Конечно и вирусы у вас есть. 😉
Запустите HijackThis, для этого кликните Пуск, Выполнить, введитеC:Program Filestrend micromy_name.exeи нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=%windir%Explorer.exe
O15 - Trusted Zone: http://*.dc2
O15 - Trusted Zone: http://*.vk.com
O15 - Trusted Zone: http://*.vkontakte.ru
Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix и подтвердите свои действия выбрав YES.Перезагрузите компьютер.
кликните сюда, такой лог сделайте и прикрепитеДля начала проверьте эти файлы на http://www.virustotal.com и ссылки на результаты выложите:
c:program files42fs4hff.exe
c:program filesCommon Filestime.cv
c:program filesCommon Filesunins000.exe
c:windowssystem32winlogon.exe
c:program filesCommon Filesunins000.dat
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
KillAll::
File::
c:windowssystem32dhmdlb.exe
c:windowssystem32b70a0d63.exe
c:windowsIsUn0419.exe
c:windowssystem32jhseee.exe
c:windowssystem32loqyxd.exe
Driver::
Folder::
c:program filesCommon Fileswm
Registry::
[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparameterspersistentroutes]
"74.55.40.0,255.255.255.0,10.196.7.0,1"=-
"78.137.164.0,255.255.255.0,10.196.7.0,1"=-
"74.52.233.0,255.255.255.0,10.196.7.0,1"=-
"78.47.87.0,255.255.255.0,10.196.7.0,1"=-
"80.190.130.0,255.255.255.0,10.196.7.0,1"=-
"80.237.132.0,255.255.255.0,10.196.7.0,1"=-
"78.108.86.0,255.255.255.0,10.196.7.0,1"=-
"84.40.30.0,255.255.255.0,10.196.7.0,1"=-
"85.17.210.0,255.255.255.0,10.196.7.0,1"=-
"85.255.19.0,255.255.255.0,10.196.7.0,1"=-
"87.106.242.0,255.255.255.0,10.196.7.0,1"=-
"75.125.29.0,255.255.255.0,10.196.7.0,1"=-
"75.125.82.0,255.255.255.0,10.196.7.0,1"=-
"85.31.222.0,255.255.255.0,10.196.7.0,1"=-
"83.202.175.0,255.255.255.0,10.196.7.0,1"=-
"80.190.154.0,255.255.255.0,10.196.7.0,1"=-
"79.125.5.0,255.255.255.0,10.196.7.0,1"=-
"80.86.107.0,255.255.255.0,10.196.7.0,1"=-
"74.53.201.0,255.255.255.0,10.196.7.0,1"=-
"87.106.254.0,255.255.255.0,10.196.7.0,1"=-
"85.12.57.0,255.255.255.0,10.196.7.0,1"=-
"80.153.193.0,255.255.255.0,10.196.7.0,1"=-
"87.230.79.0,255.255.255.0,10.196.7.0,1"=-
"81.176.66.0,255.255.255.0,10.196.7.0,1"=-
"81.177.31.0,255.255.255.0,10.196.7.0,1"=-
"81.24.35.0,255.255.255.0,10.196.7.0,1"=-
"82.117.238.0,255.255.255.0,10.196.7.0,1"=-
"82.151.107.0,255.255.255.0,10.196.7.0,1"=-
"82.165.103.0,255.255.255.0,10.196.7.0,1"=-
"82.98.86.0,255.255.255.0,10.196.7.0,1"=-
"83.222.23.0,255.255.255.0,10.196.7.0,1"=-
"83.223.117.0,255.255.255.0,10.196.7.0,1"=-
"83.222.31.0,255.255.255.0,10.196.7.0,1"=-
"85.214.106.0,255.255.255.0,10.196.7.0,1"=-
"87.238.48.0,255.255.255.0,10.196.7.0,1"=-
"87.242.72.0,255.255.255.0,10.196.7.0,1"=-
"87.242.74.0,255.255.255.0,10.196.7.0,1"=-
"87.242.79.0,255.255.255.0,10.196.7.0,1"=-
"88.221.119.0,255.255.255.0,10.196.7.0,1"=-
"89.111.176.0,255.255.255.0,10.196.7.0,1"=-
"89.108.66.0,255.255.255.0,10.196.7.0,1"=-
"89.202.149.0,255.255.255.0,10.196.7.0,1"=-
"89.202.157.0,255.255.255.0,10.196.7.0,1"=-
"90.156.159.0,255.255.255.0,10.196.7.0,1"=-
"90.183.101.0,255.255.255.0,10.196.7.0,1"=-
"91.121.97.0,255.255.255.0,10.196.7.0,1"=-
"91.199.212.0,255.255.255.0,10.196.7.0,1"=-
"91.209.196.0,255.255.255.0,10.196.7.0,1"=-
"92.123.155.0,255.255.255.0,10.196.7.0,1"=-
"92.53.106.0,255.255.255.0,10.196.7.0,1"=-
"93.184.71.0,255.255.255.0,10.196.7.0,1"=-
"93.191.13.0,255.255.255.0,10.196.7.0,1"=-
"94.236.0.0,255.255.255.0,10.196.7.0,1"=-
"94.23.206.0,255.255.255.0,10.196.7.0,1"=-
"95.140.225.0,255.255.255.0,10.196.7.0,1"=-
"75.125.185.0,255.255.255.0,10.196.7.0,1"=-
"74.55.74.0,255.255.255.0,10.196.7.0,1"=-
"174.120.186.0,255.255.255.0,10.196.7.0,1"=-
"208.43.71.0,255.255.255.0,10.196.7.0,1"=-
"74.53.70.0,255.255.255.0,10.196.7.0,1"=-
"74.54.139.0,255.255.255.0,10.196.7.0,1"=-
"74.86.232.0,255.255.255.0,10.196.7.0,1"=-
"174.133.38.0,255.255.255.0,10.196.7.0,1"=-
"174.120.185.0,255.255.255.0,10.196.7.0,1"=-
"174.120.184.0,255.255.255.0,10.196.7.0,1"=-
"74.54.130.0,255.255.255.0,10.196.7.0,1"=-
"74.54.46.0,255.255.255.0,10.196.7.0,1"=-
"75.125.189.0,255.255.255.0,10.196.7.0,1"=-
"75.125.43.0,255.255.255.0,10.196.7.0,1"=-
"74.86.125.0,255.255.255.0,10.196.7.0,1"=-
"75.125.212.0,255.255.255.0,10.196.7.0,1"=-
"207.44.254.0,255.255.255.0,10.196.7.0,1"=-
"83.102.130.0,255.255.255.0,10.196.7.0,1"=-
"87.242.75.0,255.255.255.0,10.196.7.0,1"=-
"81.176.67.0,255.255.255.0,10.196.7.0,1"=-
"212.59.118.0,255.255.255.0,10.196.7.0,1"=-
"208.43.44.0,255.255.255.0,10.196.7.0,1"=-
"188.40.74.0,255.255.255.0,10.196.7.0,1"=-
"62.67.184.0,255.255.255.0,10.196.7.0,1"=-
"74.55.143.0,255.255.255.0,10.196.7.0,1"=-
"195.222.17.0,255.255.255.0,10.196.7.0,1"=-
[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
"14373:TCP"=-
[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon]
"Userinit"="c:windowssystem32userinit.exe,"
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
c:windowssystem32driversnnkey.sys
c:windowssystem32driversbmbemu.sys
c:windowssystem32qmgr.dll
c:windowssystem32dllcacheportcls.sys
c:windowssystem32WINLOGON.EXE
c:windowssystem32driversportcls.sys
c:windowssystem32driversdrmk.sys
c:windowsSystem32DRIVERSgrdkey.sys
c:windowssystem32driversNVKEYNT.SYS
c:windowssystem32drivershddirect.sys
c:windowsd3dx.dat
Проверить на http://www.virustotal.com и ссылки(все)предоставьте.
Здравствуйте.скачайте комбофикс, сделайте его лог и прикрепите его
P.S.У вас есть трояны.Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
KillAll::
File::
c:windowsTasksScheduled Update for Ask Toolbar.job
Driver::
Folder::
c:program filesAsk.com
Registry::
[-HKEY_LOCAL_MACHINE~Browser Helper Objects{D4027C7F-154A-4066-A1AD-4243D8127440}]
FileLook::
c:program files42fs4hff.exe
c:program fileslaunch.exe
c:program filesCommon Filestime.cv
c:program filesCommon Filesunins000.dat
c:program filesCommon Filesunins000.exe
DirLook::
c:program filesZards softwareStartup Defender
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.Здравствуйте.Добро пожаловать на форум. 🙂
Спокойно, нет не решаемых проблем.
Привод CD/DVD есть у нуотбука?Здравствуйте.
Запустите HijackThis, для этого кликните Пуск, Выполнить, введитеC:Program Filestrend micromy_name.exeи нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=%windir%Explorer.exe
O15 - Trusted Zone: http://*.dc2
O15 - Trusted Zone: http://*.vk.com
O15 - Trusted Zone: http://*.vkontakte.ru
Сами писали?
ProxyServer = 10.42.3.4:3128
comfortel.local
10.42.3.2,10.42.3.3
Если нет, также галочкой отмечаем эти строки:
Проверьте внимательно, сами писали или нет!
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = 10.42.2.*;10.42.3.*;*.rmh.ru;83.234.212.13;83.234.212.2;*.mmmedia.ru;*.fsk-ees.ru;10.18.26.*;10.19.32.40;193.125.99.16;83.244.222.13;10.18.26.152;*.unitline.ru;
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = 10.42.3.4:3128
O17 - HKLMSystemCCSServicesTcpipParameters: Domain = comfortel.local
O17 - HKLMSoftware..Telephony: DomainName = comfortel.local
O17 - HKLMSystemCCSServicesTcpip..{797C9D74-8E94-4AE3-A455-DFDCA7D957F8}: NameServer = 10.42.3.2,10.42.3.3
O17 - HKLMSystemCS1ServicesTcpipParameters: Domain = comfortel.local
O17 - HKLMSystemCS2ServicesTcpipParameters: Domain = comfortel.local
O17 - HKLMSystemCS3ServicesTcpipParameters: Domain = comfortel.local
O17 - HKLMSystemCS4ServicesTcpipParameters: Domain = comfortel.local
Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix и подтвердите свои действия выбрав YES.Перезагрузите компьютер.
такой лог сделайте и прикрепитеЗдравствуйте. 🙂
такой лог сделайте и приложите его
А также:
Cкачайте GMER со случайным именем. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.Поймите вы!Вашу тему ведет Валерий, он немного занят.Остальные не могут отвечать в вашей теме.А вот мне пришлось. 😐
Несколько завершающих действий.
1.Удалите комбофикс, как написано здесь
2. Обновите ваши программы.
Adobe Reader до последней версии
Зайдите на сайт update.microsoft.com и проверьте наличие обновлений для Windows.3. Создайте новую точку восстановления и удалите все старые.
Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.4. И несколько дополнительных советов.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Всего доброго! 🙂Что сейчас с проблемами?Компьютер продолжает тормозить?Если, то давайте еще антируткитом посмотрим:
Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем
http://www.gmer.net/download.php
Gmer в zip-архиве (перед применением распаковать в отдельную папку)
http://www.gmer.net/download.php
— Запустите программу (пользователям Vista и 7 запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. После завершения экспресс проверки отметьте все диски.
— Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.http://www.adobe.com/ru
работает, проверьте.
