Созданные ответы форума
-
Сообщения
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
KillAll::
File::
c:windowssystem32driverspimqlkk.sys
c:windowssystem32driversizoya.sys
c:windowssystem32SET28.tmp
c:windowssystem321A751E71B5.sys
c:program filesAsk.comGenericAskToolbar.dll
Driver::
izoya
pimqlkk
Folder::
c:program filesAsk.com
Registry::
[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
"NoSMMyDocs"=-
[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
"NoSMMyDocs"=-
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= -
[-HKEY_CLASSES_ROOTGenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOTGenericAskToolbar.ToolbarWnd]
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= -
FileLook::
c:windowssystem32driversBIOS.sys
c:windowssystem32driversarchlp.sys
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Логи RSIT сделайте тоже:
viewtopic.php?f=3&t=2viewtopic.php?f=3&t=2
Выполнить и логи сюда…Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Вирус станется и будет продолжать свои деструктивные действия 😡
Во2 для каждого код разный.Скачали предыдущей архив,распаковали,приняли лицензионное соглашение.(I Accept)
Нажмите Do a system scan and save a logfile
После процесса сканирования
откроется текстовый документ,
который необходимо присоединить к своей теме.Лог не полный.Давайте сделаем так:
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
Скачайте,распакуйте,запустите,примите лицензионное соглашение.
Повторите логи RSIT.viewtopic.php?f=3&t=2
Логи выложите сюда.:)Лог не полный.Давайте сделаем так:
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
Скачайте,распакуйте,запустите,примите лицензионное соглашение.
Повторите логи RSIT.Здравствуйте!
Пуск-выполнить:
C:Program Filestrend microНиколай.exe
Нажать OK.
В главном окне программы нужно нажать «Do a system scan only»
В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку «Fix Checked»
Строки фиксить эти:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Site Advisor Module - {B2150688-1AA5-4698-90BE-C3CBECBB5786} - C:Program FilesSAMmodule.dll
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - (no file)
O4 - HKLM..Run: [ActualSpy] C:Program FilesActual SpyActualSpy.exe hs
O4 - HKLM..Run: [Universal Bus device] usb_drv.exe
O4 - HKLM..Run: [SysSrv] c:windowssystem32svrchost.exe
O4 - HKLM..PoliciesExplorerRun: [Microsoft Driver Setup] C:WINDOWSmcdrive32.exe
O20 - AppInit_DLLs: qxfel.dll eskisl.dll mcromv.dll cupops.dll thermaltinc.dll cmbdaf.dll lensch.dll aotoppt.dll catower.dll
Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:Services
GarenaPEngine
dwshd
:Files
C:Program FilesActual SpyActualSpy.exe
C:Program FilesActual Spy
C:WINDOWSSystem32driversdwshd.sys
C:DOCUME~1E4CE~1LOCALS~1TempOHW6E5.tmp
C:WINDOWSmcdrive32.exe
c:windowssystem32svrchost.exe
C:Program FilesSAMmodule.dll
:Reg
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"SysSrv"=-
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
"Microsoft Driver Setup"=-
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{B2150688-1AA5-4698-90BE-C3CBECBB5786}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{c2034ec6-7f23-11dd-a761-0013e84431f7}]
"ActualSpy"=-
"Universal Bus device"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью «Paste Instructions for Items to be Moved» (под желтой панелью) вставьте скопированный текст и нажмите кнопку «MoveIt!».
Компьютер перезагрузится.После перезагрузки откройте папку «C:_OTMMovedFiles», найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.Запакуйте,пожалуйста,C:_OTMoveItMovedFiles c паролем virus,закачайте на http://www.depositfiles.com
и дайте ссылку.
Повторите логи RSIT.Каждый лог в отдельное сообщение.Всего 3 сообщения.
C:WINDOWSsystem32driverstifm21.sys
C:WINDOWSsystem32driverspfc.sys
C:WINDOWSsystem32DRIVERSsdbus.sys
C:WINDOWSsystem32driversTPwSav.sy
Проверьте на http://www.virustotal.com
и дайте ссылку на результаты.Откройте файл:
mink.pifВыполните такой скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:WINDOWSsystem32r6prxjk.exe');
DeleteFile('C:WINDOWSsystem32omINUws.exe');
DeleteFile('C:WINDOWSsystem32wLEGB2G.exe');
DeleteFile('C:WINDOWSsystem32X6qKGFp.exe');
DeleteFile('C:WINDOWSsystem32jKz79rC.exe');
DeleteFile('C:WINDOWSsystem32EZSkBj6.exe');
DeleteFile('C:WINDOWSsystem32KoujmHt.exe');
DeleteFile('C:WINDOWSsystem32gYveWEO.exe');
DeleteFile('C:WINDOWSsystem32iOn7UTN.exe');
DeleteFile(' C:WINDOWSsystem32ZFyZXvJ.exe');
DeleteFile('C:WINDOWSsystem32fifTCIV.exe');
DeleteFile('C:Program FilesCommon Fileskeylog.txt');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.ПК перезагрузится!Повторите лог RSIT(log.txt).
Добьем неактивную заразу и вылечим компьютер.Думаю переустанавливать систему нет необходимости 😉
