• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Combofix (лог)

Статус
В этой теме нельзя размещать новые ответы.

smile

Активный пользователь
Сообщения
26
Реакции
0
Баллы
301
Добрый день!
Уже который день борюсь с компьютером -не могу понять что с ним. Что только не пробывал. На скрепке лог после использования Combofix -очень хотелось бы услышать от вас комментарии. Заранее спасибо всем кто откликнется и поможет. С уважением Ден
 

Вложения

  • log.txt
    20.3 KB · Просмотры: 10

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую smile, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

smile

Активный пользователь
Сообщения
26
Реакции
0
Баллы
301
Приветствую smile, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.

Уточните пожалуйста лога Combofix не достаточно? Необходимо прикрепить 4 лога разных антивирусных программ?
 

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
Combofix используется когда он действительно нужен. В остальных случаях вреда больше.

Готовьте необходимый комплект логов.
 

smile

Активный пользователь
Сообщения
26
Реакции
0
Баллы
301
Combofix используется когда он действительно нужен. В остальных случаях вреда больше.

Готовьте необходимый комплект логов.

Следуя вашим рекомендациям -прикрепляю необходимые логи.
 

Вложения

  • info.txt
    36.4 KB · Просмотры: 0
  • log.txt
    51.2 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    31.6 KB · Просмотры: 0
  • virusinfo_syscure.zip
    35.2 KB · Просмотры: 2

smile

Активный пользователь
Сообщения
26
Реакции
0
Баллы
301
Логи во вложении

Очень жду ваших комментарий
 

Вложения

  • log.txt
    51.2 KB · Просмотры: 4
  • info.txt
    36.4 KB · Просмотры: 3
  • virusinfo_syscure.zip
    35.2 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    31.6 KB · Просмотры: 4

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Повторите логи AVZ.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
Ammyy Admin, TeamViewer - сами устанавливали ?
 

smile

Активный пользователь
Сообщения
26
Реакции
0
Баллы
301
Логи AVZ (обновленные)

На скрепке обновленные логи AVZ
 

Вложения

  • virusinfo_syscheck.zip
    32.1 KB · Просмотры: 1
  • virusinfo_syscure.zip
    31.2 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 StopService('Winwe38');
 StopService('Winrw84');
 StopService('Winot38');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winot38.sys','');
 QuarantineFile('H:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winot38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrw84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwe38.sys');
 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
 DeleteService('Winwe38');
 DeleteService('Winrw84');
 DeleteService('Winot38');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Пофиксите в HijackThis (если останутся) следующие строчки:
Код:
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)

Повторите логи AVZ и RSIT с подключенным интернетом.

Покажите лог Combofix, который вы запускали до обращения сюда.

Добавлено через 42 секунды
Файл H:\autorun.inf Вам знаком? Откройте его блокнотом и покажите содержимое.
 

smile

Активный пользователь
Сообщения
26
Реакции
0
Баллы
301
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы
Отправил!

Добавлено через 34 секунды
Файл H:\autorun.inf Вам знаком? Откройте его блокнотом и покажите содержимое.

[autorun]
open="start.exe"
label=Infocrypt HWDSSL
action=Run Infocrypt HWDSSL
shell\open=Run Infocrypt HWDSSL
shell\open\Command="start.exe"
UseAutoPlay=1
 

smile

Активный пользователь
Сообщения
26
Реакции
0
Баллы
301

Вложения

  • info.txt
    36.4 KB · Просмотры: 1
  • log.txt
    51.1 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    31.3 KB · Просмотры: 1
  • virusinfo_syscure.zip
    30.9 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 StopService('Winbh84');
 StopService('Winhm73');
 StopService('Winkp38');
 StopService('Winmr16');
 StopService('Winpu51');
 StopService('Winvb51');
 StopService('Winvb62');
 StopService('Winwd38');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm73.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr16.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpu51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwd38.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbh84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhm73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkp38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmr16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpu51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvb51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvb62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwd38.sys');
 DeleteService('Winbh84');
 DeleteService('Winhm73');
 DeleteService('Winkp38');
 DeleteService('Winmr16');
 DeleteService('Winpu51');
 DeleteService('Winvb51');
 DeleteService('Winvb62');
 DeleteService('Winwd38');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
 

smile

Активный пользователь
Сообщения
26
Реакции
0
Баллы
301
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
StopService('Winwe38');
StopService('Winrw84');
StopService('Winot38');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winot38.sys','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winot38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe38.sys');
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
DeleteService('Winwe38');
DeleteService('Winrw84');
DeleteService('Winot38');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Комп не до конца перезагрузился. Застыл на этом экране (фото прилагаю)
Что делать? Помогитеееееее :confused::confused::confused::confused:
 

Вложения

  • IMG_1069.jpg
    IMG_1069.jpg
    60.2 KB · Просмотры: 6
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу