• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена и снова вирус

Статус
В этой теме нельзя размещать новые ответы.

Elka33

Активный пользователь
Сообщения
78
Реакции
3
Баллы
308

Вложения

  • virusinfo_syscure.zip
    24.7 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    24.4 KB · Просмотры: 0
  • log.txt
    26.6 KB · Просмотры: 1
  • info.txt
    32.1 KB · Просмотры: 1

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую Elka33, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,859
Реакции
2,575
Баллы
593
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Маша\AppData\Roaming\ScreenSaverPro.scr','');
 QuarantineFile('C:\Users\Маша\AppData\Roaming\Microsoft\Yxmymw.exe','');
 DeleteFile('C:\Users\Маша\AppData\Roaming\Microsoft\Yxmymw.exe');
 DeleteFile('C:\Users\Маша\AppData\Roaming\ScreenSaverPro.scr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yxmymw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи
 

Elka33

Активный пользователь
Сообщения
78
Реакции
3
Баллы
308
новые логи
 

Вложения

  • virusinfo_syscure.zip
    24 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    22.3 KB · Просмотры: 0
  • log.txt
    26.1 KB · Просмотры: 0

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Что с проблемами?
 

Elka33

Активный пользователь
Сообщения
78
Реакции
3
Баллы
308
просканировала. а обнаруженную "козявку" удалить?
 

Вложения

  • MBAM-log-2013-06-12 (22-01-26).txt
    2.2 KB · Просмотры: 5

Elka33

Активный пользователь
Сообщения
78
Реакции
3
Баллы
308
по поводу проблем, как-то все странно. на флешке вдруг появилось приложение lXwOhEEVyazpkAL.exe Прилагаю скрин. Да и содержимое на флешке все равно имеет первоначальный вид, т.е. в виде ярлыков, на скрине видно. Складывается впечатление, что какая-то посторонняя активность присутствует. Защитный модуль МВАМ блокирует что-то периодически.
 

Вложения

  • mbam-log-2013-06-12 (21-17-35).txt
    2.3 KB · Просмотры: 0
  • скрин.jpg
    скрин.jpg
    49.6 KB · Просмотры: 9

Elka33

Активный пользователь
Сообщения
78
Реакции
3
Баллы
308
опять только что МВАМ переместил в карантин ScreenSaverPro.scr
 

Elka33

Активный пользователь
Сообщения
78
Реакции
3
Баллы
308
и еще, в автозагрузке я отключаю, а они снова появляются два файлика (см.скрин). может это ОНО?
 

Вложения

  • скрин1.jpg
    скрин1.jpg
    80.1 KB · Просмотры: 9

Elka33

Активный пользователь
Сообщения
78
Реакции
3
Баллы
308
доброе утро! лог UVS
 

Вложения

  • МАША-ПК_2013-06-13_09-04-04.7z
    626.3 KB · Просмотры: 3

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
Добавлено через 3 минуты 58 секунд
Выполните скрипт UVS и пришлите карантин
Код:
;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
; C:\USERS\МАША\APPDATA\ROAMING\MICROSOFT\YXMYMW.EXE
zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\MICROSOFT\YXMYMW.EXE
; zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\MICROSOFT\YXMYMW.EXE
bl E40DB6AC259D0BF00EA4E9BCF4B9CCDA 115712
addsgn A7679B1991A24F7F2FB6EFB14DC50668648A75A375F92A884582C59565F2130D2334DEDF40149D4836AC40DE46155436F99EE85B4802416D2D5CA9F73647225A 16 Backdoor.Win32.Androm.wna

; C:\USERS\МАША\APPDATA\ROAMING\SCREENSAVERPRO.SCR
zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\SCREENSAVERPRO.SCR
; zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\SCREENSAVERPRO.SCR
delref D:\PAD.EXE
chklst
delvir

restart
После выполнения скрипта компьютер перезагрузится.

Подготовьте лог лог SecurityCheck by glax24
 

Elka33

Активный пользователь
Сообщения
78
Реакции
3
Баллы
308
логи
 

Вложения

  • 2013-06-13_11-43-24_log.txt
    12 KB · Просмотры: 1
  • SecurityCheck.txt
    2.4 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
+ Сделайте свежий лог uVS

Добавлено через 2 минуты 45 секунд
+ Установите обновления

Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен (-1)
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Adobe Flash Player 11 ActiveX 64-bit v.11.0.1.152 Внимание! Скачать обновления
 

Elka33

Активный пользователь
Сообщения
78
Реакции
3
Баллы
308
свежий лог.

а еще вопрос. У меня на флешке хранится важная очень информация. Но при открытии этой флешки информация выдается криво, т.е. как ярлыки. Нельзя ли не удаляя эту информацию, восстановить флешку?
 

Вложения

  • МАША-ПК_2013-06-13_12-00-27.7z
    626.9 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 DeleteFile('C:\Users\Маша\AppData\Roaming\Microsoft\Yxmymw.exe');
 DeleteFile('H:\RECYCLED.EXE');
 DeleteFile('H:\AUTORUN.INF');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yxmymw');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве


перед созданием лога MBAM подключите флешку к компу.
 

Elka33

Активный пользователь
Сообщения
78
Реакции
3
Баллы
308
лог МВАМ
 

Вложения

  • MBAM-log-2013-06-13 (14-30-38).txt
    2.3 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Удалите найденное в MBAM.

Скопируйте следующий текст в Блокнот и сохраните, как run.bat:
Код:
attrib "*" -s -h /S /D
скопируйте файл run.bat в корень флешки и запустите
Внимание не запускайте этот файл, когда он находится на жестком диске.

после этого на флешке должны появиться настоящие ваши файлы, а ярлыки на них (на самом деле ссылки на вирусы) можете просто удалить.

Перезагрузите компьютер и сделайте повторный лог MBAM отпишитесь о результатах.
 

Elka33

Активный пользователь
Сообщения
78
Реакции
3
Баллы
308
МВАМ ничего не выявил, все чисто. Флешка восстановилась. Спасибо огромное.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу