• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена как-то неспокойно.

Статус
В этой теме нельзя размещать новые ответы.

aff

Активный пользователь
Сообщения
5
Реакции
0
Баллы
381
Уважаемые эксперты, вот мои проблемы:

- Время от времени блокируется доступ в интернет.
- Был вылечен Trojan.Siggen2.6721
- Время от времени имею синий экран смерти.
 

Вложения

  • virusinfo_syscure.zip
    25.3 KB · Просмотры: 5
  • virusinfo_syscheck.zip
    25.6 KB · Просмотры: 1
  • log.txt
    33.7 KB · Просмотры: 4
  • info.txt
    28.6 KB · Просмотры: 2

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую aff, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
1. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):

Код:
R3 - URLSearchHook: (no name) -  - (no file)


2. Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена. Установите SP3 (может потребоваться активация) + все новые обновления для Windows.

3. В целях безопасности скачайте и установите Internet Explorer 8

4. Этот файл вам знаком?
C:\Documents and Settings\All Users\Starting_Script\starting_script.bat

5. Подготовьте такой лог.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

7. Ознакомьтесь и если появиться BSOD (синий экран смерти), прикрепите минидамп.

8. С какой целью использовали ComboFix? BSOD появлялся до его использования или появился после?
 

aff

Активный пользователь
Сообщения
5
Реакции
0
Баллы
381
Большое спасибо за быструю помощь.

1. Пофиксил

2. Хард и Windows я не переустанавливал с 2005 г. Так и пашут, трудяги, пережили смену 2-х мат.плат, и так, по мелочам. Windows у меня английский. По ссылке - SP3 - русский. Не будет ли проблем?

3. В принципе, я пользуюсь Firefox, Internet Explorer висит как рудимент. Могу совсем убрать.

4. Этот файл вам знаком? starting_script.bat - Да, это мой, я иногда стартую программы при включении компьютера. В частности, сейчас там нет ничего.

5. При работе SecurityCheck, Bitdefender кричал, как подорваный, картинку и лог я прицепил.

6. MBAM.log прикреплён. Содержимое радует :(

7. Файл %SystemRoot%\Memory.dmp не существует, папка %SystemRoot%\Minidump - пустая. Синего не было.

8. ComboFix? Я использовал ComboFix более года назад, точно не помню зачем, была какая-то проблема. А BSOD впервые был замечен ~2 недели т.назад и ComboFix тому не причина, я думаю.
 

Вложения

  • checkup.txt
    1.3 KB · Просмотры: 3
  • virusAlert.JPG
    virusAlert.JPG
    17.4 KB · Просмотры: 6
  • mbam-log-2012-05-11 (07-14-52).txt
    6.2 KB · Просмотры: 4

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,661
Баллы
753
Английский SP3

Java(TM) 6 Update 21 Out of date Java installed! обновите Java

Повторите сканирование MBAM и удалите:

Код:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> No action taken.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Data: yה׃·hּµB£8“Ž־5פ{4B12B483-F8D9-437b-9AAA-045D115517D0} -> No action taken.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Data:  -> No action taken.

файл C:\WINDOWS\system32\SVKP.sys проверьте на VirusTotal
 
Последнее редактирование:

aff

Активный пользователь
Сообщения
5
Реакции
0
Баллы
381
Не устану говорить спасибо! Итак:

1. SP3 - cделал.
2. Java - да.
3. MBAM - тоже. Наш красавец на этот раз ничего не нашёл. Лог прикреплён.
4. VirusTotal (C:\WINDOWS\system32\SVKP.sys) -> Detection ratio: 0/42

Ребята, вы просто чудо! Просто жалко расставаться. Может Ещё чего почистим? :)

ЗЫ:Пару вопросов. Часами наблюдая за кропотливой работой МВАМ, я подумал:
А нельзя ли удалить папки типа '$NtUninstallKB***$' и '1e1cb99b8fab628aa7***' старше, допустим, 2011 года?
А нет ли ещё чего-нибудь 'интересного' удалить? :) Про 'Disk Cleanup' знаю.
 

Вложения

  • mbam-log-2012-05-11 (19-29-31).txt
    1.9 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,661
Баллы
753
Если будете удалять такие папки, то лишитесь возможности удалить определенное обновление. Ccleaner при настройке удалять деинсталляторы обновлений чистит такие папки
 

aff

Активный пользователь
Сообщения
5
Реакции
0
Баллы
381
Спасибо, понял. Можно ли считать меня излечившимся? Все работает и я не вижу никаких проблем.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753

aff

Активный пользователь
Сообщения
5
Реакции
0
Баллы
381
МВАМ деинсталлирован. BSOD не появлялся. Рекомендации штудирую и даже как-то пытаюсь исполнять.
Спасибо всем ещё много-много раз.
А тему можно и закрыть.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу