• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена avz закрывается сразу после начала сканирования

RackNRoll

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Здравствуйте. есть подозрения на заражение, проблема с интернетом по кабелю, провайдер говорит, что проблемы не видит, а у меня она есть. adwcleaner не дал результатов. запускаю avz на стандартных настройках - ничего, но стоит выкрутить эвристику, нажать пару галочек как в логе программы появляются сточек 5-6 красных с примерно таким описанием (обнаружен руткит) и программа сразу зависает и выключается не проработав и 10 секунд. прикрепляю лог хайджек. антивирус встроенный в 10-ку выключил. Помогите пожалуйста.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
AVZ сама по себе ничего не покажет, не стоит накручивать настройки, можете и систему положить. Важнее, то, что показано в логах.

Автологер запускается? Если да, то https://safezone.cc/pravila/
 

RackNRoll

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
AVZ сама по себе ничего не покажет, не стоит накручивать настройки, можете и систему положить. Важнее, то, что показано в логах.

Автологер запускается? Если да, то https://safezone.cc/pravila/
в файле обнаружена вредоносная программа, скачал только что с вашей ссылки
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Антивирус или браузер?
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
А, все увидел. Защитник Windows ловит... лучше бы от вредоносного ПО защищал.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
Здравствуйте. есть подозрения на заражение, проблема с интернетом по кабелю, провайдер говорит, что проблемы не видит, а у меня она есть. adwcleaner не дал результатов. запускаю avz на стандартных настройках - ничего, но стоит выкрутить эвристику, нажать пару галочек как в логе программы появляются сточек 5-6 красных с примерно таким описанием (обнаружен руткит) и программа сразу зависает и выключается не проработав и 10 секунд. прикрепляю лог хайджек. антивирус встроенный в 10-ку выключил. Помогите пожалуйста.
x64 Windows 10, а вы судя по всему включили AVZPM - так что ССЗБ. И поведение AVZ разумеется будет именно таким как вы описали, вместо того чтобы крутить настройки которые крутить не надо, а тем более на вышей системе лучше бы справку к программе почитали.

Ждём логи, но уже по этому

Профиксите в HijackThis
Код:
O1 - Hosts:
(скорее всего после Hosts: будет отображаться как длинная пустая строчка).
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
Здравствуйте!

раз выложили архив с логами, то в дополнение к посту выше.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\RackNRoll\AppData\Roaming\System\svchost.exe', '');
 QuarantineFileF('C:\Users\RackNRoll\AppData\Roaming\System\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\RackNRoll\AppData\Roaming\System\svchost.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
  SetupAVZ('QrPWD=malware');
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

RackNRoll

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
x64 Windows 10, а вы судя по всему включили AVZPM - так что ССЗБ. И поведение AVZ разумеется будет именно таким как вы описали, вместо того чтобы крутить настройки которые крутить не надо, а тем более на вышей системе лучше бы справку к программе почитали.

Ждём логи, но уже по этому

Профиксите в HijackThis
Код:
O1 - Hosts:
(скорее всего после Hosts: будет отображаться как длинная пустая строчка).
сканирую еще раз хайджеком и исправляю O1 - Hosts: который пустой.. я все правильно понял? там этих хостов много, после того как исправляю сканирую снова, сохраняю лог и отправляю вам?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
>> исправляю O1 - Hosts: который пустой.. я все правильно понял? там этих хостов много
Да.

>> после того как исправляю сканирую снова, сохраняю лог и отправляю вам?
Нет, тот пост писал до того как увидел архив с логами. Потом выполняете написанное постом ниже.
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Создал заявку на ложное срабатывание.
 

RackNRoll

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Здравствуйте!

раз выложили архив с логами, то в дополнение к посту выше.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\RackNRoll\AppData\Roaming\System\svchost.exe', '');
DeleteFile('C:\Users\RackNRoll\AppData\Roaming\System\svchost.exe', '64');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', '64');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
  SetupAVZ('QrPWD=malware');
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
ошибка : too many actual parameters в позиции 6:11
ошибка : too many actual parameters в позиции 6:11
первый скрипт вставляю, вот что выдает :
ошибка : too many actual parameters в позиции 6:11
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
Запустите AVZ (находится в папке ...Autologger\AVZ)
Внимательно прочтите в каком AVZ надо выполнять.

Ошибок в скрипте нет.
 

RackNRoll

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Внимательно прочтите в каком AVZ надо выполнять.

Ошибок в скрипте нет.
да это я дурак, все работает, выполнил два скрипта, отправил зип файл карантина из папки авз с помощью формы, иду дальше по инструкции, полет нормальный
повторный лог
 

Вложения

Последнее редактирование:

RackNRoll

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Внимательно прочтите в каком AVZ надо выполнять.

Ошибок в скрипте нет.
логи авз закачал вам вот как называются :

Сведения о файле:
Размер файла, байт:249777871
MD5:DFF6C9319BF74A5F03E8C4A88F91B1F6
 

RackNRoll

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
да кстати, чуть не забыл :


Результат загрузки:
RackNRoll, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2019.11.18_quarantine_ea65f4b93223b5a99bb4a0e2cc09605b.zip
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 DeleteFileMask('C:\Users\RackNRoll\AppData\Roaming\System\', '*', true);
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell', 'x64');
ExecuteSysClean;
RebootWindows(false);
end.
после выполнения скрипта компьютер перезагрузится.

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

проблема решена?
 

RackNRoll

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
отчет о работе
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
DeleteFileMask('C:\Users\RackNRoll\AppData\Roaming\System\', '*', true);
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell', 'x64');
ExecuteSysClean;
RebootWindows(false);
end.
после выполнения скрипта компьютер перезагрузится.

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

проблема решена?
проблема скорее всего у провайдера, а он мне голову морочит... по логам что можете сказать? было у меня что-то неприятное на компе?
 

Вложения

Последнее редактирование:
Сверху Снизу