• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Клубок зловредов обеспечил полную изоляцию пенсионера

Статус
В этой теме нельзя размещать новые ответы.

stasitto

Активный пользователь
Сообщения
263
Реакции
36
Баллы
408
Добрый день, Уважаемые!! Ситуация растянулась на неделю, трудно определить точно с чего всё началось... было давно известно, что некоторые системные файлы неисправны. По найденным способам исправления результата добиться не удалось. Постепенно это забылось. Присутствовала ещё одна мелкая неисправность, решить которую тоже не удалось - обычно после режима "сна" продолжала почивать мышка, приходилось вытаскивать и вставлять usb, смена гнезда usb-контакта результата не давала - тоже вроде ерунда.
Паника началась после поступления в Корзину 20-ти файлов реестра, причём всё продолжало функционировать... только браузер Опера оголился до прозрачности. Скачал Recuva для починки файлов реестра, т.к. остерёгся вернуть их на место без восстановления. Восстановились всего несколько из 20-ти файлов, тут и задумался. Через некоторое время (пока искал решение) файлы из Корзины пропали по не выясненным обстоятельствам. Честно говоря, пока я спал супруга интенсивно смотрела сериалы... Видимо, по этому при включении компа увидел синий экран - stop-ошибка 116, предположил, что кое-что перегрелось, собрался менять пасту (не менял с нашей прошлой встречи). 25 мая глючил Скайп... открылся, но с клиентом не соединял. 26 мая Скайп шевелился, но как-то странно то соединял, то отказывал. Зато Опера закрыла окна и ушла в трею, минуты не прошло, как снова открылась, но без моих окон. Так продолжалось безостановочно пока не отключил комп полностью и вышел за воздухом... После исполнения великого ритуала на помойке включил комп и до сих пор не смею остановиться - Опера пашет... благодаря чему удалось попасть к любезным экспертам. Буду ждать Вашей помощи!!
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,393
Реакции
1,988
Баллы
643
Здравствуйте!

Пока особо вредоносного не видно. Кое-что все же почистим, после чего перейдете в системный раздел форума.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

stasitto

Активный пользователь
Сообщения
263
Реакции
36
Баллы
408
Добрый день, уважаемый Sandor! Вспомнил после чего 20 файлов реестра оказались в корзине. Не указал, что ещё штук 30-ть - файлы AVZ. За этим файлом обратился на SoftPortal, к которому всегда обращался. Но на этот раз при выборе адреса скачивания нажал вместо портала разработчика... и тут всё полетело в корзину. И странно, что опера перестала выскакивать??

 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,393
Реакции
1,988
Баллы
643
С этим будем позже разбираться. Пока соберите лог AdwCleaner.
 

stasitto

Активный пользователь
Сообщения
263
Реакции
36
Баллы
408
Уважаемый Sandor, не нашёл кнопку Скан, приглашают на новый интерфейс, согласиться??
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,393
Реакции
1,988
Баллы
643
Да, соглашайтесь.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,393
Реакции
1,988
Баллы
643
Продолжайте.
 

stasitto

Активный пользователь
Сообщения
263
Реакции
36
Баллы
408
В каждой из 4-х обнаружен 1 элемент. Всё застыло... попали в ЛОГово!! Переслал на рабочий стол, попробую оттуда прикрепить... получилось!!
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,393
Реакции
1,988
Баллы
643
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Сканировать.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

stasitto

Активный пользователь
Сообщения
263
Реакции
36
Баллы
408
Странно, что-то я не включил??... вижу только Ваше 1-е сообщение. Хорошо почту открытой держал - увидел последнее указание, сейчас исполню, если получится.
После нажатия Ответить всё восстановилось...
Сбросить политики - это значит ВКЛ ??
 
Последнее редактирование:

stasitto

Активный пользователь
Сообщения
263
Реакции
36
Баллы
408
Сбросить политики - это значит ВКЛ ??
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,393
Реакции
1,988
Баллы
643
Да, верно.
 

stasitto

Активный пользователь
Сообщения
263
Реакции
36
Баллы
408
Почему Ваш ответ приходит только на почту??
....вот теперь ответ появился...
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,393
Реакции
1,988
Баллы
643
Смотря каким браузером вы пользуетесь. Но об этом позже. Сейчас ждём логи.
 

stasitto

Активный пользователь
Сообщения
263
Реакции
36
Баллы
408
похоже, что удалились...
Только Оперой пользуюсь...
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,393
Реакции
1,988
Баллы
643
Хорошо. Теперь приступайте ко второму пункту сообщения №10
 

stasitto

Активный пользователь
Сообщения
263
Реакции
36
Баллы
408
что-то сканы не появились...
нашёл...
 

Вложения

Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,393
Реакции
1,988
Баллы
643
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-554605523-3966557052-1591658375-1000\...\MountPoints2: {0928137d-ad11-11e7-9e70-001d60cb1161} - G:\HTC_Sync_Manager_PC.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {0CC6876B-AEA1-4C46-AF7A-C0574A3BD5F2} - System32\Tasks\{B2CF54E9-9448-4840-ACD9-6F71F624DA7B} => c:\program files\opera\launcher.exe
    Task: {10924571-B868-47B6-BBDB-F563DE521285} - System32\Tasks\{15C798C8-2F82-4C81-B7A7-DB1E04F4FDA4} => C:\Program Files\Opera\launcher.exe
    Task: {14975594-5895-4E12-BBAE-D95EB5F7B1B1} - System32\Tasks\{727A5C42-1DA8-400D-93AA-ACCF5645BACB} => C:\Program Files\Opera\launcher.exe
    Task: {50FE0BBD-70A1-469C-B11A-4BC44FCBF13A} - System32\Tasks\{EB1660BE-E0D8-4E55-98C7-478B7BE14425} => c:\program files\opera\launcher.exe
    Task: {A0BAE2D1-F245-4E05-900E-3FE468EF2503} - System32\Tasks\{C3FEB505-C5EC-4D49-80DB-87CB7BEDEF71} => c:\program files\opera\launcher.exe
    Task: {A642ADD0-6A9F-4D3C-85F9-2CB9C6FAA591} - System32\Tasks\{8438DB72-3154-4161-BD07-E0F34B3FBBDC} => c:\program files\opera\launcher.exe
    Task: {ACB9477A-2388-4262-B1DF-93833D33C221} - System32\Tasks\{607831A7-792D-4F93-AC9B-9E6281C7CC28} => c:\program files\opera\launcher.exe
    Task: {ADCC283F-8CE6-467E-8E4D-4A3C600B99D6} - System32\Tasks\{90D8E7CE-DFB9-492D-B7AB-F352A9E7DB7B} => C:\Program Files\Opera\launcher.exe
    Task: {CF576583-25D7-4376-B33B-09D5ADD1F339} - System32\Tasks\{7164DA11-F73F-4585-85F5-03BFDB7257CE} => c:\program files\opera\launcher.exe
    Task: {D472D17D-45E9-405B-B057-FB7AF5818DE7} - System32\Tasks\{55A498CA-F067-4F41-96DD-B516E9B334E1} => C:\Program Files\Opera\launcher.exe
    Task: {E1543285-169A-4EE7-9988-62EEE730887F} - System32\Tasks\{7FE34B3E-6CEC-4E8F-B16C-E81913AD0040} => c:\program files\opera\launcher.exe
    Task: {E8281A7B-D2DF-4DDA-919B-AEA9F9D04C39} - System32\Tasks\{42D13C6C-1B52-4059-9664-5E068BAC3394} => C:\Program Files\Opera\launcher.exe
    Task: {ED7E4669-CFCA-44D7-ACF2-F8E94BA285D4} - System32\Tasks\{7BCDAE69-8915-458C-A39C-ECE90C237DF0} => c:\program files\opera\launcher.exe
    Task: {F82F91D9-FCEA-43F2-B2AD-9A1C1717EA39} - System32\Tasks\{E26D6030-FE87-44DB-8850-EF71EF17E8AB} => C:\Program Files\Opera\launcher.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу