Созданные ответы форума
-
Сообщения
-
Придется скачать комбофикс еще раз и поместить на рабочий стол, при этом не запускав его.
Выполните, пожалуйста ,все рекомендации:
1.Сделайте новые логи RSIT.
2.Скачайте комбофикс, поместите на рабочий стол.
3.ткройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
File::
Driver::
Folder::
Registry::
[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
"31776:TCP"= -
FileLook::
DirLook::
Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
Жжу нового лога комбофикс+новых логов RSIT.Уже немного осталось. 🙂Делаете новые логи RSIT.
Комбофикс пока не удаляете.
Ничего сложно тут нет.Потом Заходите на сайт http://www.virustotal.com и там проверяете эти файлы:
c:documents and settingsNetworkServiceApplication Dataswqatk.dat
c:windows_WMANScp.exe
Дожидаетесь пока проверка оканчивается.Выкладываете ссылки на результаты.
c:windowsPIF
Сами создавали?
Откройте папку, посмотрите:известны ли вам файлы?
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner.
Очистить и создать новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, пользователь мог вернуть систему к предыдущему состоянию:
1. Нажмите Пуск — Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
1. скачайте http://www.atribune.org/ccount/click.php?id=1, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox — Select All — Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera — Select All — Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли.
Обновляете(просто скачиваете и устанавливаете) :
IE(даже если не пользуетесь!);
— Windows XP SP3(все заплатки поставьте и 3 сервис пак установите, возможно потребуется активация).Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
File::
Driver::
Folder::
Registry::
[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
"31776:TCP"= -
FileLook::
DirLook::
c:windowsPIF
Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.Тогда просто проверьте эти файлы:
c:documents and settingsNetworkServiceApplication Dataswqatk.dat
c:windows_WMANScp.exe
на http://www.virustotal.com и ссылки опубликуйте.
c:windowsPIF
Откройте папку, заархивируйте её с паролем virus и вложите на форум.Содержимое папки C:Qoobox также заархивируйте с паролем virus и вложите на форум.И сделайте новые логи RSIT.Нет, почти ничего она не нашла 😉
Это карантин от Комбофикса. :)+ копия зловреда удаленного.c:windowsPIF-известна папка?
c:documents and settingsNetworkServiceApplication Dataswqatk.dat
c:windows_WMANScp.exe-эти файлы вам известны?
Что с вашей проблемой сейчас?
Сделайте новые логи RSIT.C:Program Filesma-config.comDriversdriverhardwarev2.sys
C:Program FilesYandexOnlineonline.exe
C:Program FilesPando Networks
Известно?+
C:Program Filesma-config.comDriversdriverhardwarev2.sys
проверьте на http://www.virustotal.com
А также запакуйте в архив папку C:_OTM с паролем virus и прикрепите к сообщению.Раз вы знакомы с авз, то:
обновите базы;
выполните стандартный скрипт№2 и №3, перезагрузите компьютер.В сообщении своем нажмите добавить вложения и приложите архивы из папки авз:
virusinfo_syscheck.zip и virusinfo_syscure.zip
Посмотрим эти логи.А вообще думаю ничего страшного нет 😉Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
KillAll::
File::
c:windowssystem32fzgpsey.exe
c:windowssystem32mgxdegb.exe
c:windowssystem32judamb.exe
c:windowssystem324703cf62.exe
Driver::
Folder::
Registry::
[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon]
"Userinit"="c:windowssystem32userinit.exe,"
FileLook::
c:windows_WMANScp.exe
c:windowssystem32winlogon.exe
DirLook::
c:windowsPIF
Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.запустите в MBAM полное сканирование, найденное удалите(если что будет) и лог предоставьте.
Жду этот лог.
После создания лога MBAM сайты должны открываться, однако вирусы еще есть.Проверьте эти файлы(которые будут) на http://www.virustotal.com
C:WINDOWSsystem32driversVsp.sys
C:WINDOWSsystem32driversoreans32.sys
C:WINDOWSsystem32DRIVERSNABTSFEC.sys
C:WINDOWSSystem32Driversariebk.sys
C:WINDOWSsystem32DRIVERSuagp35.sys
C:WINDOWSsystem32DRIVERSusbser_lowerflt.sys
Выложите ссылки на результаты.
Запустите HijackThis еще раз , для этого кликните Пуск, Выполнить, введитеC:Program Filestrend microKyo.exeи нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:
F2 - REG:system.ini: UserInit=C:WINDOWSSYSTEM32Userinit.exe,C:WINDOWSsystem32392cd3e5.exe,C:WINDOWSsystem32hwpscq.exe,
Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix и подтвердите свои действия выбрав YES.
Запустите OTM еще раз(в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:Services
:Files
C:WINDOWSsystem32klvnqta.exe
C:WINDOWSsystem32xxnruyc.exe
C:WINDOWSsystem32fjhdyfhsn.bat
C:WINDOWSsystem32ejpdsxt.exe
C:WINDOWSsystem32111e48e0.exe
:Reg
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью «Paste Instructions for Items to be Moved» (под желтой панелью) вставьте скопированный текст и нажмите кнопку «MoveIt!».
Компьютер перезагрузится.
Повторите логи RSIT.+
запустите в MBAM полное сканирование, найденное удалите(если что будет) и лог предоставьте.В логе видны вирусы.Но нужен еще дополнительный лог:
Сделайте лог ComboFix и прикрепите его(обязательно выгрузите защитное ПО и отключитесь от интернет при работе ComboFix)
О котором я говорил выше.Здравствуйте!Выполните, пожалуйста , все рекомендации.
Запустите HijackThis, для этого кликните Пуск, Выполнить, введитеC:Program Filestrend microKyo.exeи нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:
F2 - REG:system.ini: UserInit=C:WINDOWSSYSTEM32Userinit.exe,C:WINDOWSsystem32392cd3e5.exe,C:WINDOWSsystem32hwpscq.exe,
O4 - Startup: wwwznv32.exe
Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix и подтвердите свои действия выбрав YES.
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение[/url]. Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:Services
:Files
C:Documents and SettingsKyoГлавное менюПрограммыАвтозагрузкаwwwznv32.exe
C:Documents and SettingsAll Userssystems.exe
C:WINDOWSsystem32vmsgkdy.exe
C:WINDOWSsystem32srwhuuw.exe
C:Program FilesCommon Fileskeylog.txt
C:WINDOWSsystem32hwpscq.exe
C:WINDOWSsystem32392cd3e5.exe
C:DOCUME~1KyoLOCALS~1TempwJQs.exe
:Reg
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"Shell"=-
[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"C:DOCUME~1KyoLOCALS~1TempwJQs.exe"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью «Paste Instructions for Items to be Moved» (под желтой панелью) вставьте скопированный текст и нажмите кнопку «MoveIt!».
Компьютер перезагрузится.
C:WINDOWSsystem32driversoreans32.sys
Проверьте файл на http://www.virustotal.com и выложите ссылку на результаты.
Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено. В конце работы будет показан лог, его содержимое вставьте в ваш ответ.Также повторите логи RSIT.
