Решена народ хэлп

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Kиpилл, 31 дек 2012.

Статус темы:
Закрыта.
  1. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.197
    Симпатии:
    4.969
    всем приветы!
    подключен по удаленке,комп дико заражен,звгружен из под другой учетки так как основная блокирована,в сети работать сложно-всякая кака всплывает...в общем закидываю лог авз с двух компов(перетянул к себе и от себя к вам)
    хиджак пока не сделал-полчаса уже не может завершить анализ...
     

    Вложения:

  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Koza Nozdri, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.014
    Симпатии:
    4.474
    AVZ ни чего не видит, чисто.
    Давай лог RSIT посмотрим.
     
    1 человеку нравится это.
  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.197
    Симпатии:
    4.969
    вирье полюбому тут есть.
    рсит не могу сделать.
     

    Вложения:

    • hijackthis.log
      Размер файла:
      7,4 КБ
      Просмотров:
      5
  5. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.014
    Симпатии:
    4.474
    И здесь пусто)))

    Давай тогда так поступим:
    С любого LiveCD cкачайте uVS, зайдите в папку uVS, найдите файл start.exe, запустите, в открывшемся окне нажмите "выбрать каталог windows", отметьте папку Windows на диске с блокированной системой.
    После этого нажмите "Запустить под текущим пользователем". Программа запустится. Зайдите в меню "Файл" - "Сохранить полный образ автозапуска". После проверки создастся текстовый файл, его выложите.

    Как подготовить лог Universal Virus Sniffer (uVS) при загрузке с Windows PE.
     
    Последнее редактирование: 31 дек 2012
    1 человеку нравится это.
  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.197
    Симпатии:
    4.969
    вот
     

    Вложения:

  7. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.197
    Симпатии:
    4.969
    я на своем компе качаю утилиты,по удаленке перекидываю туда,там запускаю,лог беру к себе и выкладываю ...

    Добавлено через 5 минут 18 секунд
    может поубивать баннеры с основной учетки и там лог сделать?
    неизвестно отчего на данный момент под этой учеткой исчезли баннеры и попандеры при посещении сайта сайфзона.
    ???
     
  8. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.014
    Симпатии:
    4.474
    Что за баннер, скриншет или фотку можешь выложить?
    Кроме заставки Bluescreen Screen Saver ни чего не вижу.
    Лог uVS нужен из под лайва, а не из под рабочей учетки.
     
    Последнее редактирование: 31 дек 2012
    1 человеку нравится это.
  9. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.197
    Симпатии:
    4.969
    обычный винлок,а что?
    Саша щас я его убью и под ту учетку войду,винлок могу в архив закатать и прислать.
     
  10. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.463
    Симпатии:
    3.095
    I этап (выполняется на чистой от вирусов машине)

    1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
    2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

    II этап (выполняется на заблокированной машине)

    1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
    2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
    – когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
    – выберите необходимый язык из списка
    – нажмите 1, чтобы принять лицензионное соглашение
    – выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
    3. Запустите Kaspersky Registry Editor
    4. Откроется редактор реестра
    – выберите нужную систему (та, которая заблокирована), если у Вас их несколько
    – посмотрите в реестре:
    ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр userinit
    параметр shell
    Значения этих параметров напишите в своем сообщении

    Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.
     
    Последнее редактирование: 31 дек 2012
    1 человеку нравится это.
  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.197
    Симпатии:
    4.969
    Народ,комп в ту учетку загрузился-получилось,щас объясню человеку как тимвивер скачать и продолжим)))

    Добавлено через 51 минуту 14 секунд
    в общем восстановить удаленный доступ с тем компом не удалось....
    винлоки (три сразу!!!)я удалил,реестр зачистил,комп ,кэш и куки тоже очистил.
    попандеры не исчезли,но чем то помочь человеку не имея доступа к его компу тоже не могу-сам он вообще не понимает о чем речь.
    я предварительно еще из под старой учетки курейт ему скачал,точнее ей,по телефону объяснил как запустить.
    пока пусть так будет,аптекарь без контакта не пропадет в новый год)))
    всем спасибо за помощь-вынужден пока оставить так....
     
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Пусть еще настройки интернета проверит, точнее DNS
     
    1 человеку нравится это.
  13. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.197
    Симпатии:
    4.969
    Severnyj, для нее это все равно что для меня молекулярное строение уругулы...короче что то страшное и не понятное)
    В январе уже заеду сам посмотрю,там сисадмин у них вообще жжет-чтобы банер снять на четыре дня системник увез,снял а при первом же выходе в яндекс все опять вернулось-баннер винлок.
    Вот человеки и обратились за помощью к знакомым,то есть ко мне-админ их на каникулы ушел.
    По ходу с последующим "фиксом сисадмина"...
     
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    + к написанному выше, как понимаю Live CD не подходит, так как делается удалённо.

    Koza Nozdri, когда запустишь uVS выбери запустить с выбором пользователя - выбираешь проблемную учётку и делаешь лог. Логи любых утилит из под здоровой учётки бесполезны.

    вариант №2 если можешь, снять банер снимаешь, его архивируешь и отсылаешь в карантин. делаешь логи из под заражённой учётки по правилам.
     
    1 человеку нравится это.
  15. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.197
    Симпатии:
    4.969
    все имеющиеся винлоки закатал в архив,логи сделаю как будет возможность-связь с компом утеряна.
    кто желает кидайте в личку номер сотика-благодарные аптекари отправят благодарность(пятьсот рэ) я им скажу как приеду.
    кстати смотрел содержимое корзины-мне до сих пор не поняьно с какой целью в корзину были удалены все файлы юзердат,утилиты которые находились в документ анд сеттинг...видимо прежний лекарь думал что это вирье.
    а как тогда ось то запускалась?
    я не знаю,тему закрыть или пусть будет числа до четвертого...
     
  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Пусть повисит)
     
    1 человеку нравится это.
  17. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.197
    Симпатии:
    4.969
    так продолжим-вирус не просто оживает а прогрессирует,раскладка клавы не меняется т.к. блокируется изменение. не запускаются программы типа 1 с. курейт и лайв нашли одно и то же-лог курейт прилагаю/
    пишу коряво потому что вбиваю транслит и перевод копирую сюда
    Посмотреть вложение hijackthis.log

    Посмотреть вложение virusinfo_syscheck.zip

    Посмотреть вложение virusinfo_syscure.zip

    Посмотреть вложение cureit.log
     
  18. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.197
    Симпатии:
    4.969
    Безымянный.jpg

    Безымянный2.jpg
    дописываю с планшета-я не могу открыть логи и что то там посмотреть,не работает ничего...

    [INFO]Карантин без пароля удалил. Не нужно.[/INFO]
     
    Последнее редактирование: 4 янв 2013
  19. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.014
    Симпатии:
    4.474
    В логах ни чего кроме этих исправлений, но лучше сразу обновить IE v.6
    Все таки придется пользователю на отдаленном компе грузиться с лайва и делать лог uVS или OTL.
    Или так:
    I этап (выполняется на чистой от вирусов машине)

    1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
    2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

    II этап (выполняется на заблокированной машине)

    1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
    2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
    – когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
    – выберите необходимый язык из списка
    – нажмите 1, чтобы принять лицензионное соглашение
    – выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
    3. Запустите Kaspersky Registry Editor, откроется редактор реестра
    – выберите нужную систему (та, которая заблокирована), если у Вас их несколько
    – посмотрите в реестре ветку:
    Значения этих параметров напишите в своем сообщении
    4. Также с помощью этого диска сделайте экспорт веток реестра в отдельные файлы, заархивируйте и прикрепите к сообщению.
     
    Последнее редактирование: 4 янв 2013
    1 человеку нравится это.
  20. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.197
    Симпатии:
    4.969
    я сейчас за этим компом,дома сделаю live и потом выполню скан и пришлю логи

    Добавлено через 2 минуты 2 секунды
    кроме этих логов больше ничего не надо?
     
Статус темы:
Закрыта.

Поделиться этой страницей