• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Лечение вирусного заражения.

Статус
В этой теме нельзя размещать новые ответы.

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
Информация
тема перенесена частично отсюда:
http://safezone.cc/forum/showthread.php?t=22007&page=8



Делайте еще комплект логов,
Cделал.

Небольшой косячок правда был Когда сначала нажал выполнить скрипт №3, то меня сбила галочка на диске С, подумал что я нечаянно нажал выбор только диска С, а это скрипт так работает как оказалось. Вобщем я после завершения скрипта сделал восстановление системы на раннее, удалил AVZ, заново скачал, обновил и вот логи. Просто я потом подумал что во 2й раз может быть меньше проблем, т.к. в 1й раз уже будут удалены какие то вирусы, а в отчете №2 они не засветятся. Если ничего страшного, то хорошо.
 

Вложения

  • info.txt
    44 KB · Просмотры: 2
  • log.txt
    67.7 KB · Просмотры: 4
  • virusinfo_syscheck.zip
    23.6 KB · Просмотры: 0
  • virusinfo_syscure.zip
    23.5 KB · Просмотры: 6
Последнее редактирование модератором:

Кирилл

Команда форума
Администратор
Сообщения
14,105
Реакции
6,152
Баллы
993
RuMax, сначала удалите старый нод,потом устанавливайте.
Тыц
 

Кирилл

Команда форума
Администратор
Сообщения
14,105
Реакции
6,152
Баллы
993
RuMax, ну вот теперь начинайте.
Поврежденный софт на замену,варез-не качаем.
От пустой ОС потихоньку заполняем и смотрим как оно.
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
RuMax, заражение файловым вирусом подтвердилось, у вас Trojan.Win32.Chydo.ccq.

Вы заражены файловым вирусом! Пожалуйста, пролечитесь как указано в этой теме: Как вылечить систему от файлового вируса?, а после этого сделайте после этого создайте новую тему в разделе лечения и прикрепите новые логи там.
1. Пролечил Dr.Web Live CD. зараженных 82, 19 излечено, сколько то в карантин, 801 не удалось открыть.

2. AVZ скрипты сделал, когда дошло дело до RSIT, то в конце выдал лишь 1 log.txt. Info.txt не выдало сохранить, в папке RSIT только старый от 1 августа.
 

Вложения

  • log.txt
    69.1 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    29.4 KB · Просмотры: 1
  • virusinfo_syscure.zip
    29.1 KB · Просмотры: 5

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
ждемссс.....
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
Касперским проверил, сначала после часов 4х часов проверки нашел где то 17 угроз, все их удалял, потом произошел сбой проверки. Скрины ошибки ниже. Отправил пакет ошибки куда предлагалось.

Потом после перезагрузки снова заново нажал проверку, прошла до конца успешно. Еще 57 угроз найдено было. Как раз вирус Chido и Hoax вроде.

Отчет проверки даже сжатый в 25 раз весит 7 мб примерно, так что скачать его можно на файлообменнике
 

Вложения

  • сбой2.jpg
    сбой2.jpg
    93.4 KB · Просмотры: 13
  • сбой.png
    сбой.png
    145 KB · Просмотры: 11

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Касперским проверил, сначала после часов 4х часов проверки нашел где то 17 угроз, все их удаля
а лечить он не предлагал ? При новой проверке он больше ничего не находит ? Лечиться надо до тех пор пока не перестанет находить.

Добавлено через 5 минут 43 секунды
  1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
    • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
    • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
  2. Введите sfc /scannow и нажмите Энтер.
  3. Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
  4. После того как закончится проверка в командной строке введите команду:
    Код:
    findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
  5. После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.


Сделайте новый набор логов по правилам, не забудьте обновить базы AVZ.
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
а лечить он не предлагал ?
Я в настройках не лазил, просто выбрал все диски и носители и нажал автоматическую проверку. А по умолчанию там стоит запрашивать, вот он и запрашивал всегда. Что выбрать лечение а потом удаление только сейчас заметил. Так что все что нашел он (в основном 2 вида вирусов) было удалено.

При новой проверке он больше ничего не находит ?
Сделал проверку 1 раз. Больше 10 часов все длилось.

Лечиться надо до тех пор пока не перестанет находить.
Еще раз прогнать всю систему им?

После того как закончится проверка в командной строке введите команду:
Код:
findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
Вроде сделал все правильно, не удалось открыть файл пишется (Скрин).
найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.
Этот файл в С: лежит но он просто пустой, 0 кб.

Сделайте новый набор логов по правилам, не забудьте обновить базы AVZ
Логи все на этот раз получились.
 

Вложения

  • info.txt
    69.5 KB · Просмотры: 1
  • log.txt
    67.3 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    21.6 KB · Просмотры: 0
  • virusinfo_syscure.zip
    27.5 KB · Просмотры: 2

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
Вот еще скрин забыл прикрепить
 

Вложения

  • 1.png
    1.png
    4.8 KB · Просмотры: 19

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
А по умолчанию там стоит запрашивать, вот он и запрашивал всегда. Что выбрать лечение а потом удаление только сейчас заметил. Так что все что нашел он (в основном 2 вида вирусов) было удалено.
да, по умолчанию вопрос, надеюсь на выбор лечить или удалить вы нажимали лечить ? (если пункта лечить нет, то конечно надо нажимать удалить).

Да лучше ещё раз сделайте проверку, чтобы не осталось заражённых файлов из-за которых потом начнётся всё сначала.

Добавлено через 4 минуты 24 секунды
======Информация центра безопасности======

AV: ESET Smart Security 6.0 (устарело)
базы вашего антивируса тоже надо обязательно обновить.
 

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
Возьмем на пробу несколько файлов.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files\PCRADIO\PCradio.exe','');
 QuarantineFile('C:\Program Files\VistaDriveIcon\VistaDrv.exe','');
 QuarantineFile('C:\WINDOWS\Installer\2bab5.msi','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы


Виндовс сборка?
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
надеюсь на выбор лечить или удалить вы нажимали лечить ? (если пункта лечить нет, то конечно надо нажимать удалить).
Да лучше ещё раз сделайте проверку, чтобы не осталось заражённых файлов из-за которых потом начнётся всё сначала.
Мне на выбор долгое время лечить не предлагалось ниразу, потом я поставил галочку на "применить ко всем файлам"(содержащим данный вирус), поэтому все что он нашел было удалено. иногда попадалось "пропустить".

Проверку сделаю. Отчет касперыча я так понял не нужен будет?



Виндовс сборка?
Да. скрипты выполнил. вес архива 12 мб, поэтому отправил его не по форме. а на почту. На файлообменнике можно посмотреть тут
 

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
я так понял не нужен будет?
Достаточно вашего резюме о проверке

Добавлено через 31 минуту 27 секунд
На файлообменнике можно посмотреть тут
В карантине чисто, это радует.


Плохо, что сборка, восстановить функциональность системы очень сложно будет. Что показал последний прогон антивирусом?
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
Плохо, что сборка, восстановить функциональность системы очень сложно будет. Что показал последний прогон антивирусом?
Наконец то на 2й раз прогнал, выставил максимальные настройки проверки касперским, больше 16 часов проверки дали еще 12 угроз (уязвимостей), опасность уязвимостей низкая.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
---------------------------------------------
кроме уязвимостей AVPTool больше ничего не нашёл ?

Что с основной проблемой ?
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
Пикрепил фалик
 

Вложения

  • SecurityCheck.txt
    1.9 KB · Просмотры: 1

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
кроме уязвимостей AVPTool больше ничего не нашёл ?
Что с основной проблемой
Больше ничего не нашел. С проблемой пока не знаю что. Во всяком случае таких иконок больше не стало, загружаемые файлы грузятся вроде нормально
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
пару дней ещё понаблюдайте и отпишитесь.

Если какие программы плохо работают, то переустановите их. Дистрибутивы особенно с повреждёнными иконками рекомендую скачать заново, так как они могут работать некорректно.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу