Решена народ хэлп

[Кирилл]

всем приветы!
подключен по удаленке,комп дико заражен,звгружен из под другой учетки так как основная блокирована,в сети работать сложно-всякая кака всплывает...в общем закидываю лог авз с двух компов(перетянул к себе и от себя к вам)
хиджак пока не сделал-полчаса уже не может завершить анализ...

 

[Ботан]

Приветствую Koza Nozdri, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.

***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!

__________________________________________________
С уважением, администрация SafeZone.​

 

[shestale]

AVZ ни чего не видит, чисто.
Давай лог RSIT посмотрим.

 

[Кирилл]

вирье полюбому тут есть.
рсит не могу сделать.

 

[shestale]

И здесь пусто)))

Давай тогда так поступим:

звгружен из под другой учетки так как основная блокирована

С любого LiveCD cкачайте uVS, зайдите в папку uVS, найдите файл start.exe, запустите, в открывшемся окне нажмите "выбрать каталог windows", отметьте папку Windows на диске с блокированной системой.
После этого нажмите "Запустить под текущим пользователем". Программа запустится. Зайдите в меню "Файл" - "Сохранить полный образ автозапуска". После проверки создастся текстовый файл, его выложите.

Как подготовить лог Universal Virus Sniffer (uVS) при загрузке с Windows PE.

 

[Кирилл]

вот

 

[Кирилл]

я на своем компе качаю утилиты,по удаленке перекидываю туда,там запускаю,лог беру к себе и выкладываю ...

Добавлено через 5 минут 18 секунд
может поубивать баннеры с основной учетки и там лог сделать?
неизвестно отчего на данный момент под этой учеткой исчезли баннеры и попандеры при посещении сайта сайфзона.
???

 

[shestale]

может поубивать баннеры с основной учетки и там лог сделать?

Что за баннер, скриншет или фотку можешь выложить?
Кроме заставки Bluescreen Screen Saver ни чего не вижу.

uVS запущен под пользователем: ZAVAPTEKA\User

Лог uVS нужен из под лайва, а не из под рабочей учетки.

 

[Кирилл]

обычный винлок,а что?
Саша щас я его убью и под ту учетку войду,винлок могу в архив закатать и прислать.

 

[thyrex]

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите 1, чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите Kaspersky Registry Editor
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.

 

[Кирилл]

Народ,комп в ту учетку загрузился-получилось,щас объясню человеку как тимвивер скачать и продолжим)))

Добавлено через 51 минуту 14 секунд
в общем восстановить удаленный доступ с тем компом не удалось....
винлоки (три сразу!!!)я удалил,реестр зачистил,комп ,кэш и куки тоже очистил.
попандеры не исчезли,но чем то помочь человеку не имея доступа к его компу тоже не могу-сам он вообще не понимает о чем речь.
я предварительно еще из под старой учетки курейт ему скачал,точнее ей,по телефону объяснил как запустить.
пока пусть так будет,аптекарь без контакта не пропадет в новый год)))
всем спасибо за помощь-вынужден пока оставить так....

 

[Severnyj]

попандеры не исчезли

Пусть еще настройки интернета проверит, точнее DNS

 

[Кирилл]

Severnyj, для нее это все равно что для меня молекулярное строение уругулы...короче что то страшное и не понятное)
В январе уже заеду сам посмотрю,там сисадмин у них вообще жжет-чтобы банер снять на четыре дня системник увез,снял а при первом же выходе в яндекс все опять вернулось-баннер винлок.
Вот человеки и обратились за помощью к знакомым,то есть ко мне-админ их на каникулы ушел.
По ходу с последующим "фиксом сисадмина"...

 

[regist]

+ к написанному выше, как понимаю Live CD не подходит, так как делается удалённо.

Koza Nozdri, когда запустишь uVS выбери запустить с выбором пользователя - выбираешь проблемную учётку и делаешь лог. Логи любых утилит из под здоровой учётки бесполезны.

вариант №2 если можешь, снять банер снимаешь, его архивируешь и отсылаешь в карантин. делаешь логи из под заражённой учётки по правилам.

 

[Кирилл]

все имеющиеся винлоки закатал в архив,логи сделаю как будет возможность-связь с компом утеряна.
кто желает кидайте в личку номер сотика-благодарные аптекари отправят благодарность(пятьсот рэ) я им скажу как приеду.
кстати смотрел содержимое корзины-мне до сих пор не поняьно с какой целью в корзину были удалены все файлы юзердат,утилиты которые находились в документ анд сеттинг...видимо прежний лекарь думал что это вирье.
а как тогда ось то запускалась?
я не знаю,тему закрыть или пусть будет числа до четвертого...

 

[Severnyj]

пусть будет числа до четвертого

Пусть повисит)

 

[Кирилл]

так продолжим-вирус не просто оживает а прогрессирует,раскладка клавы не меняется т.к. блокируется изменение. не запускаются программы типа 1 с. курейт и лайв нашли одно и то же-лог курейт прилагаю/
пишу коряво потому что вбиваю транслит и перевод копирую сюда
Посмотреть вложение hijackthis.log

Посмотреть вложение virusinfo_syscheck.zip

Посмотреть вложение virusinfo_syscure.zip

Посмотреть вложение cureit.log

 

[Кирилл]

дописываю с планшета-я не могу открыть логи и что то там посмотреть,не работает ничего...

Информация

Карантин без пароля удалил. Не нужно.

 

[shestale]

В логах ни чего кроме этих исправлений, но лучше сразу обновить IE v.6

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

Все таки придется пользователю на отдаленном компе грузиться с лайва и делать лог uVS или OTL.
Или так:
I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите 1, чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите Kaspersky Registry Editor, откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значения этих параметров напишите в своем сообщении

параметр userinit
параметр shell

4. Также с помощью этого диска сделайте экспорт веток реестра в отдельные файлы, заархивируйте и прикрепите к сообщению.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run

 

[Кирилл]

с лайва и делать лог uVS или OTL

я сейчас за этим компом,дома сделаю live и потом выполню скан и пришлю логи

Добавлено через 2 минуты 2 секунды
кроме этих логов больше ничего не надо?