Созданные ответы форума
-
Сообщения
-
Здравствуйте!Добро пожаловать на форум!
Скачайте Malwarebytes’ Anti-Malware или с зеркала, установите, обновите базы, выберите «Perform Full Scan«, нажмите «Scan«, после сканирования — Ok — Show Results (показать результаты) — нажмите «Remove Selected» (удалить выделенные…. смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Также сделайте логи RSIT.
viewtopic.php?f=3&t=2Скачайте это:
http://gjf.hotbox.ru/mink.pif
Временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)Выполните скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:WINDOWSsystem32GpVepYv.exe');
DeleteFile('C:WINDOWSsystem32i5REoQy.exe');
DeleteFile('C:WINDOWSsystem32MHWDGA9.exe');
DeleteFile('C:WINDOWSsystem32oEXRVat.exe');
DeleteFile('C:WINDOWSsystem32MUOXhxQ.exe');
DeleteFile('C:WINDOWSsystem32cam9NnG.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindows NTCurrentVersionWinlogon','Userinit','C:WINDOWSsystem32userinit.exe,');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.После этого ПК перезагрузится-повторите логи RSIT.Нод уже обновляется?
Как выполнить скрипт:
Запустите скачанный файл.
Скопируйте скрипт.
нажмите Файл => Выполнить скрипт.
В появившемся окошке программы нажать правую кнопку мыши и нажать Вставить.
Нажать в AVZ кнопку — Запустить.Здравствуйте!Добро пожаловать на форум!
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:Services
ajjxk1bk
:Files
C:windowssystem32rfMItj4.exe
C:windowssystem32PR0uof.exe
C:windowssystem32t2HgyS4.exe
C:windowssystem32Ix3SeoB.exe
C:windowssystem32zMaXqOB.exe
C:windowssystem32V9PxmXL.exe
C:Program FilesCommon Fileskeylog.txt
C:windowssystem32nAJFh1V.exe
C:windowssystem32nW6bYbp.exe
C:DOCUME~1834E~1LOCALS~1TempHGV475.tmp
C:windowssystem32driversajjxk1bk.sys
:Reg
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1ee51025-acec-11de-a4b4-0016e688eb38}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{3f13dafe-6fe3-11de-a439-0016e688eb38}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{4360bb3e-bf08-11de-a4d6-0016e688eb38}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{48658128-b889-11dd-a2bb-0016e688eb38}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{5985f5f0-243d-11de-a39c-0016e688eb38}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{8f2dd330-bd3e-11dd-a2c8-0016e688eb38}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9a9b6a32-938d-11dd-baed-0016e688eb38}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a11f9550-2595-11de-a39e-0016e688eb38}]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью «Paste Instructions for Items to be Moved» (под желтой панелью) вставьте скопированный текст и нажмите кнопку «MoveIt!».
Компьютер перезагрузится.
После перезагрузки запакуйте содержимое C:_OTMMovedFiles в архив,закачайте на файлообменнник и ссылку вставьте в ваше сообщение.
Повторите логи RSIT.
Это полагаю ваши файлы:
C:windowssystem32XAudio2_7.dll
C:windowssystem32XAPOFX1_5.dll
C:windowssystem32xactengine3_7.dll
C:windowssystem32d3dx11_43.dll
C:windowssystem32d3dcsx_43.dll
C:windowssystem32D3DCompiler_43.dll
C:windowssystem32D3DX9_43.dll
C:windowssystem32d3dx10_43.dll
А Radmin Server V3 сами устанавливали(C:WINDOWSsystem32rserver30raddrvv3.sys),известно вам?Здравствуйте!Добро пожаловать на форум!
Если вы вы подозреваете,что ваш ПК заражен:
viewtopic.php?f=3&t=2Здравствуйте,добро пожаловать на форум!
Запустите HijackThis, для этого кликните Пуск, Выполнить, введитеC:Program Filestrend micro1.exeи нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:
F2 - REG:system.ini: UserInit=C:WINDOWSSYSTEM32Userinit.exe,\?globalrootsystemrootsystem328rCVJ2I.exe,\?globalrootsystemrootsystem32XdssLB6.exe,\?globalrootsystemrootsystem32G4gDwDl.exe,\?globalrootsystemrootsystem32WiO5mkm.exe,
Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:Services
:Files
C:Program FilesCommon Fileskeylog.txt
C:WINDOWSsystem324VEq2VM.exe
C:WINDOWSsystem32WiO5mkm.exe
C:WINDOWSsystem32G4gDwDl.exe
:Reg
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью «Paste Instructions for Items to be Moved» (под желтой панелью) вставьте скопированный текст и нажмите кнопку «MoveIt!».
Компьютер перезагрузится.
Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено. В конце работы будет показан лог. Вставьте его в ваш ответ и приложите свежий RSIT лог.Здравствуйте!Добро пожаловать на форум!
Выполните это:
viewtopic.php?f=3&t=2
и вставьте каждый лог в отдельное сообщение.Всего 2 сообщения.Здравствуйте!Добро пожаловать на форум!
Выполните это:
viewtopic.php?f=3&t=2
Логи вставьте сюда.И с помощью логов вылечим ПК!Здравствуйте!Добро пожаловать на форум!
Скачайте ComboFix здесь, или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
http://www.spyware-ru.com/combofix/
Здесь подробнее.Обязательно установите консоль восстановления!Также обязательно вставьте лог CF в следующее сообщения.Он сам не полностью пролечит ваш ПК ,а с помощью лога долечим.Здравствуйте!Добро пожаловать на Спайваре-ру форум!
Сделайте,пожалуйста,логи RSIT,как написано в этой теме:
viewtopic.php?f=3&t=2Добрый день!Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол(сначала удалите старый,а потом создайте новый).
KillAll::
File::
C:WINDOWSsystem32driversa2e0x3ri.sys
Driver::
a2e0x3ri
Folder::
Registry::
FileLook::
C:WINDOWSSYSTEM32antiwpa.dll
C:PROGRA~1Webshots315~1.76~Webshots.scr
C:Program FilesSunshineAcresRus_4857.exe
C:Program FilesWebshots3.1.5.7617WSToolbar4IE.dll
DirLook::
C:Program FilesWebshots
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, ComboFix.txt прикрепите к сообщению.
Повторите также логи RSIT.Каждый лог в отдельное сообщение.Вы сами это устанавливали вообще:
C:Program FilesSunshineAcresRus_4857.exe
C:Program FilesWebshots,известно вам?KillAll:: -для завершения процессов. 😉
И не переводите дословно.
Вообщем смело выполняйте скрипт,делайте и выкладывайте логи.Советую почитать это:
viewtopic.php?f=4&t=392
Там Valeri очень хорошо написал.
