• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Лечение систем от вредоносных программ

Статус
В этой теме нельзя размещать новые ответы.

Лотта

Активный пользователь
Сообщения
8
Симпатии
0
#1
Лотта, в недавнее время мы вынуждены были неоднократно замораживать Вашу страницу. В целях безопасности, на этот раз страница была заморожена до завтра, 13:59.
что делать? не могу зайти((
 

Вложения

Techno

Ассоциация VN
Сообщения
876
Симпатии
403
#2
Посмотрю...

Добавлено через 20 минут 33 секунды
Здравствуйте!!!

- Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\79e953jm4h.exe','');
 DeleteFile('C:\WINDOWS\79e953jm4h.exe');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('srv32');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

- Пофиксите
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O1 - Hosts: windows
- Повторите логи АВЗ и РСИТ.

- Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того, что будет отмечено, удалять ничего не нужно.
 

Лотта

Активный пользователь
Сообщения
8
Симпатии
0
#3
в смысле как он проверит вам все отправить? и не чего не удалять?
 

akok

Команда форума
Администратор
Сообщения
14,574
Симпатии
12,047
#4
в смысле как он проверит вам все отправить? и не чего не удалять?
Только переслать карантин, удаление производится при помощи скриптов.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,709
#6
Повторите сканирование в MBAM и удалите только следующие строки:

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
c:\documents and settings\Admin\application data\chkntfs.dat (Malware.Trace) -> No action taken.
Файл

Код:
c:\WINDOWS\notepad.exe
Проверьте на Virustotal, результат сообщите.

+

Повторите логи АВЗ и РСИТ
 

Лотта

Активный пользователь
Сообщения
8
Симпатии
0
#7
Файл

Код:

c:\WINDOWS\notepad.exe

что с этим сделать? куда код вести?

Проверьте на Virustotal, результат сообщите.
и где это взять?)))
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,709
#10
Лог RSIT еще разик приложите
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,709
#12
Как самочувствие системы?
 

Лотта

Активный пользователь
Сообщения
8
Симпатии
0
#13
да вроде нормальное) я не разбираюсь просто))
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,709
#14
Проверьте еще этот файл на Virustotal

Код:
C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe
 

akok

Команда форума
Администратор
Сообщения
14,574
Симпатии
12,047
#16
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe


:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^chkntfs.exe]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу