• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Был найден modification of Win32.Virut.56

Статус
В этой теме нельзя размещать новые ответы.

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,838
Баллы
583
Хорошо. Завтра как раз время будет.
Virus.Win32.Virut.q,ce removing tool, Kaspersky Lab 2011
Monitoring thread started
scanning C:\ ...
C:\$RECYCLE.BIN\S-1-5-21-1050184447-2561638081-555486576-1001\$RXWE774.exe infected Virus.Win32.Virut.ce ...cured - это удалённый мной нашёл.
Virus.Win32.Virut.q,ce removing tool, Kaspersky Lab 2011
version 1.0.12.0 Nov 9 2011 16:30:59
scanning threads ...

scanning hooks...

scanning processes ...

scanning drives ...

Monitoring thread started
scanning C:\ ...
C:\$RECYCLE.BIN\S-1-5-21-1050184447-2561638081-555486576-1001\$RXWE774.exe infected Virus.Win32.Virut.ce ...cured
scanning D:\ ...
scanning F:\ ...
scanning G:\ ...
G:\Users\Жмека\Documents\userinit\userinit.exe infected Virus.Win32.Virut.ce ...cured
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,105
Реакции
6,152
Баллы
993
Если пролечился, то давай свежие логи.
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,838
Баллы
583
Вот новые.
Ещё у меня при открытии диспетчера устройств стоит такая политика. Это нормально ?
Просто не очень то удобно. Я политику менял, но опять так стало.
 

Вложения

  • CollectionLog-2017.10.29-08.47.zip
    104.4 KB · Просмотры: 3
  • mmc.png
    mmc.png
    10.2 KB · Просмотры: 14
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,105
Реакции
6,152
Баллы
993
Phoenix

Сделайте исследование такой утилитой:
AutorunsVTchecker.exe


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование:

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,838
Баллы
583
Готово.
 

Вложения

  • Addition.txt
    54.2 KB · Просмотры: 1
  • FRST.txt
    47.3 KB · Просмотры: 3
  • Shortcut.txt
    99 KB · Просмотры: 0

akok

Команда форума
Администратор
Сообщения
19,542
Реакции
13,441
Баллы
2,203
Phoenix, зачем защитника заблокировал, раз антивируса нет? И КМС на инсайдерской сборке :)

Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CreateRestorePoint:
VirusTotal: C:\Windows\system32\epmntdrv.sys;C:\Windows\system32\EuGdiDrv.sys;C:\Windows\SysWOW64\Drivers\PortTalk.sys;C:\Windows\System32\pwdrvio.sys;C:\Windows\TEMP\27A30C4.sys
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\...\Policies\Explorer: [DisallowRun] 0
HKLM\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-18\...\Run: [] => [X]
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0
ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} =>  -> No File
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> No File
ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers4: [EncryptionMenu] -> {A470F8CF-A1E8-4f65-8335-227475AA5C46} =>  -> No File
ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} =>  -> No File
ContextMenuHandlers5: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> No File
ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:C31F31E6 [244]
AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [116]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:C31F31E6 [244]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:CB0AACC9 [116]
HKU\S-1-5-21-1050184447-2561638081-555486576-1001\Software\Classes\exefile: "%1" %* <==== ATTENTION
HKU\S-1-5-21-1050184447-2561638081-555486576-1001\Software\Classes\scrfile: "%1" /S <==== ATTENTION
HKU\S-1-5-21-1050184447-2561638081-555486576-1001\Software\Classes\.scr: scrfile => "%1" /S <==== ATTENTION
HKU\S-1-5-21-1050184447-2561638081-555486576-1001\Software\Classes\batfile: "%1" %* <==== ATTENTION
HKU\S-1-5-21-1050184447-2561638081-555486576-1001\Software\Classes\.bat: batfile => "%1" %* <==== ATTENTION
HKU\S-1-5-21-1050184447-2561638081-555486576-1001\Software\Classes\comfile: "%1" %* <==== ATTENTION
HKU\S-1-5-21-1050184447-2561638081-555486576-1001\Software\Classes\.com: comfile => "%1" %* <==== ATTENTION
HKU\S-1-5-21-1050184447-2561638081-555486576-1001\Software\Classes\cmdfile: "%1" %* <==== ATTENTION
HKU\S-1-5-21-1050184447-2561638081-555486576-1001\Software\Classes\.cmd: cmdfile => "%1" %* <==== ATTENTION
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Кирилл

Команда форума
Администратор
Сообщения
14,105
Реакции
6,152
Баллы
993
Как себя "пациент" чувствует?
Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,838
Баллы
583
Нормально. Даже теперь работает доктор веб, а то были глухие зависания при оповещениях, пользоваться было не реально.
Карантин с именем virusinfo_auto_DESKTOP-DNKNVRP.zip не хочет грузиться 65 мб.
Это по 8 скрипту. А вот по 4 virusinfo_files_DESKTOP-DNKNVRP.zip размер такой же..
VirusDetector - результаты анализа карантина B63A8D1340FE7C09FE890354CA649F89 Загрузил сюда, пока разобрался..
 

Вложения

  • SecurityCheck.txt
    8.9 KB · Просмотры: 1
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,105
Реакции
6,152
Баллы
993
Исправь:

Internet Explorer 11.0.15042.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Java 8 Update 151 (64-bit) v.8.0.1510.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-x64.exe)^
-

Удачи на этом.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Наверное он только вам доступен, т.к. у меня ссылка открывается но отчета там нет. Ладно, фиг с ним.
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,838
Баллы
583
Просто он ещё не обработан. Ждём..
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,838
Баллы
583
Карантин принят на анализ: 29.10.2017 17:30:15
Последнее обновление результатов анализа: 29.10.2017 17:30:45
Общее количество файлов: 23
Обсуждение на форуме VirusInfo: 216016
Оценка ПК по анализу карантина: -100
KAV: not-a-virus:HEUR:RiskTool.MSIL.HackKMS.gen
MAV: 1/1/0
 
Последнее редактирование:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Последнее редактирование:

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,838
Баллы
583
А Virut то где? Или это уже после лечения от файлового вируса? В самом первом логе, я его тоже не вижу
Под спойлером virutkiller
C:\$RECYCLE.BIN\S-1-5-21-1050184447-2561638081-555486576-1001\$RXWE774.exe infected Virus.Win32.Virut.ce ...cured - это в корзине.
scanning D:\ ...
scanning F:\ ...
scanning G:\ ...
G:\Users\Жмека\Documents\userinit\userinit.exe infected Virus.Win32.Virut.ce ...cured - этот как видно лечил руками с другой системы, но как то в syswow64 и winsxs не заглядывал.
Как то качал драйвера и без проверки запустил. Что то пошло не так и вирус быстро нашёл, в userinit. А дальше не стал проверять. Это модификация - почему то только userinit заражает. Так бы система уже давно умерла.. Если бы стоял ав, то проблемы бы и не было. Но была аказия - погрешил на вендоров (мол опять что то перекрутили с антивирусом..), а оказалось несовместимые драйверы взывали зависания эксплорера.
vir.png virut.png Вот он вирус.
Желающим поучавствовать в доработке нового релиза скрипта SFC тут его нашли.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу