Созданные ответы форума
-
Сообщения
-
Ну так разница то огромная. 🙂
Если в %windir%system32 находится то в основном чистый.Хотя, даже там бывает иногда патченный.
Регулярно обновляйте Java и Adobe, не открывайте незнакомые файлы и не скачивайте с неизвестных сайтов.Запустите HijackThis, для этого кликните Пуск, Выполнить, введите
C:Program Filestrend microNcore.exeи нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe IEXPLORERS.exe
F2 - REG:system.ini: UserInit=\.globalrootsystemrootsystem32userinit.exe,\?globalrootsystemrootsystem322ETiQMi.exe,\?globalrootsystemrootsystem32RQWUPho.exe,
O4 - HKCU..Run: [Yahoo Messengger] C:WINDOWSsystem32IEXPLORERS.exe
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
O16 - DPF: {093500E9-F79F-4C52-A9B5-D8C7E4B3023E} (ParallelGraphics Installer Class) - file://C:DOCUME~1NcoreLOCALS~1Tempo3d358.tmp.cab
O16 - DPF: {810B649C-CEAE-4AC9-BF26-81341B49E913} (ParallelGraphics PlanEditor Control) - file://C:DOCUME~1NcoreLOCALS~1Tempo3d355.tmp.cab
Если эти программы:
C:Program FilesEMOTIONSOFTHomePageHomePage.exe
C:Documents and SettingsNcoreРабочий столRECSOUNDMPREC.exe вам не известна, тогда также отметьте эти строку:
O4 - HKCU..Run: [Mrecoder] C:Documents and SettingsNcoreРабочий столRECSOUNDMPREC.exe -w
O4 - HKCU..Run: [SetPageOnce] C:Program FilesEMOTIONSOFTHomePageHomePage.exe
Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix и подтвердите свои действия выбрав YES.Перезагрузите компьютер.
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:ComboFix.txt и вставьте в следующее сообщение.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe или во что-нибудь другое.Запустите SalityKiller еще раз.Посмотрите, если вирусов найдено не будет приступайте выполнять дальнейшее рекомендации.Если будут-сообщите.
В скрипте OTM я отключил вам автозапуск, именно из-за него вы заразились и можете заразиться повторно, если его не отключать.А включить его можно в любой момент. 😉
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:Services
:Files
C:WINDOWStasksAt1.job
C:WINDOWStasksAt2.job
D:ofqdg.exe
C:WINDOWSsystem32IEXPLORERS.exe
C:Program FilesCommon Fileskeylog.txt
C:tnwrd.pif
D:tnwrd.pif
H:tnwrd.pif
:Reg
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableTaskMgr"=-
"DisableRegistryTools"=-
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
"NoDriveTypeAutoRun"=dword:0000000FF
[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"D:ofqdg.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinvixrev.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinkkehf.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinomxpcs.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempisqyw.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinqdfm.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinqxbkkc.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempoyjiy.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinfrnddc.exe"=-
"C:DOCUME~1NcoreLOCALS~1Temprrdam.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinojtwk.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinnjpx.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinrqhnhx.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinrdgb.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempuyrf.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinrtuy.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinfgwexx.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinojtxx.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinisukd.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinmujoe.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempefnfw.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinhhxsmy.exe"=-
"C:DOCUME~1NcoreLOCALS~1Templakbj.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinkljlmj.exe"=-
"C:DOCUME~1NcoreLOCALS~1Temptvgv.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinipxrjs.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwindshs.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinrdlb.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempyxftkx.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempvashsb.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinjolj.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempmtxukr.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempkbjvo.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempsray.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempeocn.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinrwrb.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinpuoqvk.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinmxlnyq.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempdiqrhq.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempkghgnn.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinmdjynt.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinqmurf.exe"=-
"C:DOCUME~1NcoreLOCALS~1Templomwa.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinujcf.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinrsjp.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempybatdr.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinxyjo.exe"=-
"C:DOCUME~1NcoreLOCALS~1Temppwvhjp.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinrytb.exe"=-
"C:DOCUME~1NcoreLOCALS~1Temphgbx.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinefruql.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinbttj.exe"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью «Paste Instructions for Items to be Moved» (под желтой панелью) вставьте скопированный текст и нажмите кнопку «MoveIt!».
Компьютер перезагрузится.
После всего повторить логи RSIT+ Скачайте программу: HijackThis, сохраните на рабочем столе. Запустите её двойным кликом, нажмите «I Accept» затем кнопку «Do a system scan and save logfile», файл должен сохранится на рабочем столе, откройте его и содержимое этого файла вставьте в вашей теме.
почитайте описание программы и сделайте его лог.Не забудьте отключить интренет, не нажимать клавиши мышиC:WINDOWSsystem32DRIVERSavipbb.sys
C:WINDOWSsystem32agrsmsvc.exe
C:WINDOWSsystem32driverspctplsg.sys
C:WINDOWSsystem32DRIVERSarp1394.sys
Если эти файлы присутствуют, проверьте их на virustotal.com и ссылки предоставьте.Скачайте архив, сохраните.Распакуйте, и файл SalityKiller.exe сохраните на жесткий диск.Дождитесь окончания сканирования, следуйте рекомендациям программы.Сообщите о результатах.После успешного лечение повторите логи RSIT. 🙂
Здравствуйте! 🙂
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:Services
abp470n5
:Files
C:WINDOWStasksAt1.job
C:WINDOWStasksautochk.job
C:Program FilesCommon Fileskeylog.txt
C:WINDOWSsystem32IEXPLORERS.exe
H:IEXPLORERS.exe
C:WINDOWSsystem32driversfurhsn.sys
:Reg
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableTaskMgr"=0
"DisableRegistryTools"=0
[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"C:WINDOWSsystem32IEXPLORERS.exe"=-
"H:IEXPLORERS.exe"=-
"C:Documents and SettingsNcoreРабочий столвзлом профиля вконтактевзлом профиля вконтакте.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempspish.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinadasa.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinodogjy.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinbnkdra.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempcyrn.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwincnmx.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempmsvc.exe"=-
"D:ofqdg.exe"="D:ofqdg.exe:*:Enabled:ipsec"
"C:DOCUME~1NcoreLOCALS~1Tempwinsjhn.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempyueee.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinkdnnv.exe"=-
"C:DOCUME~1NcoreLOCALS~1Temptinka.exe"=-
"C:DOCUME~1NcoreLOCALS~1Temptsshlx.exe"=-
"C:DOCUME~1NcoreLOCALS~1Temppjmhsu.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwindrtsjj.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempbrex.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinoqhk.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinixjqpn.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwlegm.exe"=-
"C:DOCUME~1NcoreLOCALS~1Temphfmsjq.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinwcwqkb.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempnkwteb.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinsgjl.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinedvjsm.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinwoup.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinvcwwu.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinusrw.exe"=-
"C:DOCUME~1NcoreLOCALS~1Temphjmwcs.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwincwwmcm.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinvbrtwe.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwkqfvl.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwintuhxo.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinkqol.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinbrfalr.exe"=-
"C:DOCUME~1NcoreLOCALS~1Temptxbi.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinfjwbi.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinfbdh.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempyufmd.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempclue.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinpxbabe.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinmxtwb.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinkcyen.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempiueiq.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwincsuah.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempxcteoj.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempxtbr.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinnkceg.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinsjqmki.exe"=-
"C:DOCUME~1NcoreLOCALS~1Tempwinsdxb.exe"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью «Paste Instructions for Items to be Moved» (под желтой панелью) вставьте скопированный текст и нажмите кнопку «MoveIt!».
Компьютер перезагрузится.
У вас заражение файловым вирусом.
пролечитесь такой утилитой, лог работы вставить сюда.
После всего повторить логи RSIT+ Скачайте эту программу: HijackThis, сохраните на рабочем столе. Запустите её двойным кликом, нажмите «I Accept» затем кнопку «Do a system scan and save logfile», файл должен сохранится на рабочем столе, откройте его и содержимое этого файла вставьте в вашей теме.Запустите HijackThis, для этого кликните Пуск, Выполнить, введите
C:Program Filestrend micro555.exeи нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:Program FilesAskBarDisbarbinaskBar.dll (file missing)
Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix и подтвердите свои действия выбрав YES.Перезагрузите компьютер.Повторите логи.
WebMoney
Сами устанавливали?Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:Services
:Files
C:Program FilesAskBarDis
:Reg
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0b351955-f798-11de-b1fb-001d721ccb07}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1080b8c8-7cc9-11dd-b022-9881b078219d}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{3ef58536-f797-11de-b1fa-001d721ccb07}]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{201f27d4-3704-41d6-89c1-aa35e39143ed}]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью «Paste Instructions for Items to be Moved» (под желтой панелью) вставьте скопированный текст и нажмите кнопку «MoveIt!».
Компьютер перезагрузится.
Повторите логи RSIT.
Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено.
В конце работы будет показан лог, его содержимое вставьте в ваш ответ.
AV: AntiVir Desktop (disabled)
AV: Антивирус Касперского (disabled)
Оставьте один антивирус, второй удалите.
R1 — HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
Известно, сами писали?Здравствуйте.
Запустите HijackThis, для этого кликните Пуск, Выполнить, введитеC:Program Filestrend micro555.exeи нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix и подтвердите свои действия выбрав YES.Перезагрузите компьютер.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.
В ваше следующее сообщение вставьте содержимое свежих логов RSIT.
