Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Попробуем ещё.

1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS.

2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать подкаталогов.

3) Выполните скрипт uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
zoo %SystemRoot%\TEMP\NTSHRUI.DLL
delall %SystemRoot%\TEMP\NTSHRUI.DLL
apply
rknown
restart

если будет вопрос про удаление сервиса, то нажмите да.

4) Сделайте свежий лог uVS.

  • Спасибо (+1) 1
Опубликовано

Попробуем ещё.

1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS.

2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать подкаталогов.

3) Выполните скрипт uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
zoo %SystemRoot%\TEMP\NTSHRUI.DLL
delall %SystemRoot%\TEMP\NTSHRUI.DLL
apply
rknown
restart

если будет вопрос про удаление сервиса, то нажмите да.

4) Сделайте свежий лог uVS.

2019-01-25_00-00-35_log.txt

Опубликовано

Не, на этот раз просил не лог работы, а свежий образ автозапуска, то есть файл типа: 

TERMINAL_2019-01-24_22-53-01_v4.1.2.7z

но свежий, но то что этот лог прикрепили тоже хорошо. По нему видно что те два файла успешно восстановлены.

Но нужен свежий образ чтобы проверить удалили или нет наконец ту вирусную службу.

Опубликовано

Не, на этот раз просил не лог работы, а свежий образ автозапуска, то есть файл типа: 

TERMINAL_2019-01-24_22-53-01_v4.1.2.7z

но свежий, но то что этот лог прикрепили тоже хорошо. По нему видно что те два файла успешно восстановлены.

Но нужен свежий образ чтобы проверить удалили или нет наконец ту вирусную службу.

Прикрепил

TERMINAL_2019-01-25_23-28-40_v4.1.2.7z

Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]
    EmptyTemp:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите компьютер вручную.
Опубликовано

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]
    EmptyTemp:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите компьютер вручную.

 

А что по логам пишеь что антивирусник стоит, был avast - я его удалил

Опубликовано

@sabotage, выше вас уже просил. Перестаньте наконец нарушать 14-й пункт правил форума. Если не читали правила при регистрации, то прочтите хоть сейчас!

И где отчёт который я просил?

Опубликовано

@sabotage, проверьте у вас такой ключ реестра есть?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias

если да, то удалите его руками (ибо все перебробованные выше утилиты похоже не могут этого сделать).

Опубликовано

сделайте на всякий случай ещё такой лог.

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



 

Опубликовано

После запуска Gmer, система уходит в отказ. Запускал 2 раза


 

 

post-52640-0-71575600-1548625789_thumb.jpg

post-52640-0-15940500-1548625800_thumb.jpg

post-52640-0-61223200-1548625807_thumb.jpg

Опубликовано

Sabotage,

А могли бы в FRST в поле Search вести следующее:
 

Services\Ias;

и нажать Search Registry, по окончанию создасться лог (SearchReg.txt) прикрепите его пожалуйста в следующем сообщение.

Должно получиться так как указано на картинке:

post-551-0-17645500-1548629866_thumb.png

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Иван Сецовский
      Автор Иван Сецовский
      Можете мне тоже помочь?
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы Addition.txt
      FRST.txt
    • владVC11
      Автор владVC11
      Здравствуйте, не могли бы вы помочь раскодировать файлы на съёмном носителе (диске)?
    • Jenechka2012
      Автор Jenechka2012
      ПОМОГИТЕ ПОЖАЛУЙСТА! Не знаю что делать.... нигде ничего найти не могу, как это исправить. 
       
       # AdwCleaner v5.013 - Отчёт создан 13/10/2015 в 17:02:00
      # Обновлено 09/10/2015 by Xplode
      # База данных : 2015-10-09.3 [Сервер]
      # Операционная система : Windows 7 Home Basic Service Pack 1 (x86)
      # Пользователь : Мегафон - MEGAFON
      # Запущено из : C:\Users\Мегафон\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E2V253GF\adwcleaner_5.013.exe
      # Настройка : Очистка
      # помощь : http://toolslib.net/forum
       
      ***** [ Службы ] *****
       
       
      ***** [ Папки ] *****
       
      [-] Папка Удалено : C:\ProgramData\Media Get LLC
      [#] Папка Удалено : C:\ProgramData\mntemp
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Local\Media Get LLC
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Local\MediaGet2
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Media Get LLC
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\yasearch@yandex.ru
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\vb@yandex.ru
       
      ***** [ Файлы ] *****
       
      [-] Файл Удалено : C:\Users\Мегафон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
       
      ***** [ DLLs ] *****
       
       
      ***** [ Ярлыки ] *****
       
       
      ***** [ Запланированные задания ] *****
       
       
      ***** [ Реестр ] *****
       
      [-] Ключ Удалено : HKCU\Software\Media Get LLC
      [-] Ключ Удалено : HKCU\Software\MediaGet
      [-] Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MediaGet
       
      ***** [ Веб браузеры ] *****
       
       
      *************************
       
      :: Настройки Winsock очищены
       
      ########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [1665 байт] ##########
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы
    • ScorpOfRus
      Автор ScorpOfRus
      Всем привет
      Пришло письмо на почту открыл его и соответственно получил
      зашифрованные файлы
      Файл шифровальщика сохранился
      Лог прикрепил
      CollectionLog-2015.10.04-17.08.zip
    • Алексей Нечуйветер
      Автор Алексей Нечуйветер
      Добрый день!
       
      Пришло письмо от судебных приставов, открыли, там находился архив, его не открывали. после закрытия письма система подвисла и все документы изменили название и формат.
       
      Подскажите что можно сделать, LOG файл сделал! 
      KL_syscure.zip
×
×
  • Создать...