• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Компьютер заражен вирусами

Статус
В этой теме нельзя размещать новые ответы.

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
какие-нибудь изменения к лучшему есть ?
скрипт выполню завтра. изменения к лучшему есть: появился интернет, перестали запускаться китайские программы, могу загрузиться в сейфмоде. Но искажения есть и появляется окошко при входе в систему.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,651
Реакции
5,906
Баллы
1,008
выполните скрипт и отпишитесь, в частности про искажения и "установку и удаление программ".
 

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
regist, скрипт я выполнил, но он не помог решить проблемы. пробую установку виндоус в режиме восстановления.

Добавлено через 1 час 5 минут 40 секунд
Спасибо! Сделал установку виндоус в режиме восстановления и искажения прошли, хром начал запускаться! Но хотелось бы узнать, какими вирусами был заражен компьютер. C:\Program Files\Wizisvozn\srvany.exe - этот файл не вирус?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
C:\Program Files\Wizisvozn\srvany.exe - этот файл не вирус?
Судя по всему не долечились

Раз

Два

Антивирус установили?

Делайте повторные логи AVZ и RSIT.

У Вас достаточно сложное заражение было и сетевой червь и трояны ворующие пароли и подменяющие системные файлы.

Вот неполный список: backdoor.gbot.2171, program.srvany.2, trojan-ransom.win32.cidox.dtd, trojan.killproc.12933, trojan.mayachok.1, trojan.pws.banker.46469, trojan.vbcrypt.81, trojan.win32.agent2.elli, trojan.win32.scar.exww, trojan.win32.swisyn.cacm, win32.hllw.siggen.2854
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\фф\Application Data\Microsoft\Internet Explorer\Quick Launch\eBay.lnk','');
 QuarantineFile('C:\Program Files\Wizisvozn\srvany.exe','');
 DeleteFile('C:\Documents and Settings\фф\Application Data\Microsoft\Internet Explorer\Quick Launch\eBay.lnk');
 DeleteFile('C:\Program Files\Wizisvozn\srvany.exe');
 DeleteService('Wizisvozn');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новый лог RSIT
 

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
Severnyj, во время выполнения скрипта вышла ошибка: "Failed to set data for DisplayName" или что-то подобное. В результате компьютер автоматически не перезагрузился.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Попробуйте еще раз выполнить скрипт
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Лог RSIT приложите новый
 

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
новые логи RSIT
 

Вложения

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
2012-04-13 17:25:10 ----D---- C:\WINDOWS\system32\3076
2012-04-13 17:25:10 ----D---- C:\WINDOWS\system32\2052
2012-04-13 17:25:10 ----D---- C:\WINDOWS\system32\1054
2012-04-13 17:25:10 ----D---- C:\WINDOWS\system32\1049
2012-04-13 17:25:10 ----D---- C:\WINDOWS\system32\1042
2012-04-13 17:25:10 ----D---- C:\WINDOWS\system32\1041
2012-04-13 17:25:10 ----D---- C:\WINDOWS\system32\1037
2012-04-13 17:25:10 ----D---- C:\WINDOWS\system32\1033
2012-04-13 17:25:10 ----D---- C:\WINDOWS\system32\1031
2012-04-13 17:25:10 ----D---- C:\WINDOWS\system32\1028
2012-04-13 17:25:10 ----D---- C:\WINDOWS\system32\1025

позвольте спросить, а это что за папки?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Как самочувствие системы?

Смените пароли все пароли, если этого еще не сделали.

Ознакомьтесь с этими рекомендациями

Добавлено через 2 минуты 7 секунд
Папки с версиями утилит для разных языков

1049 - русский
1033 - английйский

итд
 

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
Как самочувствие системы?
вроде нормально, но меня смущают папки, о которых я говорил.
Смените пароли все пароли, если этого еще не сделали.
сменю:)

Добавлено через 34 секунды
Папки с версиями утилит для разных языков
каких утилит?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
У меня на виртуалке там находится библиотека сообщений об ошибках.

На семерке такие папки переименованы в ru-ru en-us и проч.

Папочку C:\Program Files\Wizisvozn\ удалите вручную.

Теме ставлю пометку решена
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу