Перейти к содержанию

Рекомендуемые сообщения

  • Ответов 107
  • Created
  • Последний ответ

Top Posters In This Topic

  • sabotage

    50

  • SQ

    37

  • regist

    20

  • Sandor

    1

Top Posters In This Topic

Popular Posts

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

Попробуем ещё. 1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS. 2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать под

Posted Images

Попробуем ещё.

1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS.

2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать подкаталогов.

3) Выполните скрипт uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
zoo %SystemRoot%\TEMP\NTSHRUI.DLL
delall %SystemRoot%\TEMP\NTSHRUI.DLL
apply
rknown
restart

если будет вопрос про удаление сервиса, то нажмите да.

4) Сделайте свежий лог uVS.

Ссылка на сообщение
Поделиться на другие сайты

Попробуем ещё.

1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS.

2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать подкаталогов.

3) Выполните скрипт uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
zoo %SystemRoot%\TEMP\NTSHRUI.DLL
delall %SystemRoot%\TEMP\NTSHRUI.DLL
apply
rknown
restart

если будет вопрос про удаление сервиса, то нажмите да.

4) Сделайте свежий лог uVS.

2019-01-25_00-00-35_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Не, на этот раз просил не лог работы, а свежий образ автозапуска, то есть файл типа: 

TERMINAL_2019-01-24_22-53-01_v4.1.2.7z

но свежий, но то что этот лог прикрепили тоже хорошо. По нему видно что те два файла успешно восстановлены.

Но нужен свежий образ чтобы проверить удалили или нет наконец ту вирусную службу.

Ссылка на сообщение
Поделиться на другие сайты

Не, на этот раз просил не лог работы, а свежий образ автозапуска, то есть файл типа: 

TERMINAL_2019-01-24_22-53-01_v4.1.2.7z

но свежий, но то что этот лог прикрепили тоже хорошо. По нему видно что те два файла успешно восстановлены.

Но нужен свежий образ чтобы проверить удалили или нет наконец ту вирусную службу.

Прикрепил

TERMINAL_2019-01-25_23-28-40_v4.1.2.7z

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]
    EmptyTemp:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите компьютер вручную.
Ссылка на сообщение
Поделиться на другие сайты

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]
    EmptyTemp:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите компьютер вручную.

 

А что по логам пишеь что антивирусник стоит, был avast - я его удалил

Ссылка на сообщение
Поделиться на другие сайты

@sabotage, выше вас уже просил. Перестаньте наконец нарушать 14-й пункт правил форума. Если не читали правила при регистрации, то прочтите хоть сейчас!

И где отчёт который я просил?

Ссылка на сообщение
Поделиться на другие сайты

@sabotage, проверьте у вас такой ключ реестра есть?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias

если да, то удалите его руками (ибо все перебробованные выше утилиты похоже не могут этого сделать).

Ссылка на сообщение
Поделиться на другие сайты

сделайте на всякий случай ещё такой лог.

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



 

Ссылка на сообщение
Поделиться на другие сайты

Sabotage,

А могли бы в FRST в поле Search вести следующее:
 

Services\Ias;

и нажать Search Registry, по окончанию создасться лог (SearchReg.txt) прикрепите его пожалуйста в следующем сообщение.

Должно получиться так как указано на картинке:

post-551-0-17645500-1548629866_thumb.png

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • sabotage
      От sabotage
      Всем привет! кто-нибудь пробовал расшифровать файлы типа .!@#$%^&-()_+.1- C(Rotorcript)  Вирус -Ransom.Win32.Share 
      т.к. востановить систему не получилось тема создал тут  хочу попробовать расшифровать, если есть какие-то утитилы или кто-то пробовать напишите плз.
       

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Опросы".

×
×
  • Создать...