• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена народ хэлп

Статус
В этой теме нельзя размещать новые ответы.

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
всем приветы!
подключен по удаленке,комп дико заражен,звгружен из под другой учетки так как основная блокирована,в сети работать сложно-всякая кака всплывает...в общем закидываю лог авз с двух компов(перетянул к себе и от себя к вам)
хиджак пока не сделал-полчаса уже не может завершить анализ...
 

Вложения

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую Koza Nozdri, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
AVZ ни чего не видит, чисто.
Давай лог RSIT посмотрим.
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
вирье полюбому тут есть.
рсит не могу сделать.
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
И здесь пусто)))

Давай тогда так поступим:
звгружен из под другой учетки так как основная блокирована
С любого LiveCD cкачайте uVS, зайдите в папку uVS, найдите файл start.exe, запустите, в открывшемся окне нажмите "выбрать каталог windows", отметьте папку Windows на диске с блокированной системой.
После этого нажмите "Запустить под текущим пользователем". Программа запустится. Зайдите в меню "Файл" - "Сохранить полный образ автозапуска". После проверки создастся текстовый файл, его выложите.

Как подготовить лог Universal Virus Sniffer (uVS) при загрузке с Windows PE.
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
я на своем компе качаю утилиты,по удаленке перекидываю туда,там запускаю,лог беру к себе и выкладываю ...

Добавлено через 5 минут 18 секунд
может поубивать баннеры с основной учетки и там лог сделать?
неизвестно отчего на данный момент под этой учеткой исчезли баннеры и попандеры при посещении сайта сайфзона.
???
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
может поубивать баннеры с основной учетки и там лог сделать?
Что за баннер, скриншет или фотку можешь выложить?
Кроме заставки Bluescreen Screen Saver ни чего не вижу.
uVS запущен под пользователем: ZAVAPTEKA\User
Лог uVS нужен из под лайва, а не из под рабочей учетки.
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
обычный винлок,а что?
Саша щас я его убью и под ту учетку войду,винлок могу в архив закатать и прислать.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,565
Баллы
593
I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите 1, чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите Kaspersky Registry Editor
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
Народ,комп в ту учетку загрузился-получилось,щас объясню человеку как тимвивер скачать и продолжим)))

Добавлено через 51 минуту 14 секунд
в общем восстановить удаленный доступ с тем компом не удалось....
винлоки (три сразу!!!)я удалил,реестр зачистил,комп ,кэш и куки тоже очистил.
попандеры не исчезли,но чем то помочь человеку не имея доступа к его компу тоже не могу-сам он вообще не понимает о чем речь.
я предварительно еще из под старой учетки курейт ему скачал,точнее ей,по телефону объяснил как запустить.
пока пусть так будет,аптекарь без контакта не пропадет в новый год)))
всем спасибо за помощь-вынужден пока оставить так....
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
Severnyj, для нее это все равно что для меня молекулярное строение уругулы...короче что то страшное и не понятное)
В январе уже заеду сам посмотрю,там сисадмин у них вообще жжет-чтобы банер снять на четыре дня системник увез,снял а при первом же выходе в яндекс все опять вернулось-баннер винлок.
Вот человеки и обратились за помощью к знакомым,то есть ко мне-админ их на каникулы ушел.
По ходу с последующим "фиксом сисадмина"...
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
+ к написанному выше, как понимаю Live CD не подходит, так как делается удалённо.

Koza Nozdri, когда запустишь uVS выбери запустить с выбором пользователя - выбираешь проблемную учётку и делаешь лог. Логи любых утилит из под здоровой учётки бесполезны.

вариант №2 если можешь, снять банер снимаешь, его архивируешь и отсылаешь в карантин. делаешь логи из под заражённой учётки по правилам.
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
все имеющиеся винлоки закатал в архив,логи сделаю как будет возможность-связь с компом утеряна.
кто желает кидайте в личку номер сотика-благодарные аптекари отправят благодарность(пятьсот рэ) я им скажу как приеду.
кстати смотрел содержимое корзины-мне до сих пор не поняьно с какой целью в корзину были удалены все файлы юзердат,утилиты которые находились в документ анд сеттинг...видимо прежний лекарь думал что это вирье.
а как тогда ось то запускалась?
я не знаю,тему закрыть или пусть будет числа до четвертого...
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
так продолжим-вирус не просто оживает а прогрессирует,раскладка клавы не меняется т.к. блокируется изменение. не запускаются программы типа 1 с. курейт и лайв нашли одно и то же-лог курейт прилагаю/
пишу коряво потому что вбиваю транслит и перевод копирую сюда
Посмотреть вложение hijackthis.log

Посмотреть вложение virusinfo_syscheck.zip

Посмотреть вложение virusinfo_syscure.zip

Посмотреть вложение cureit.log
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
Безымянный.jpg

Безымянный2.jpg
дописываю с планшета-я не могу открыть логи и что то там посмотреть,не работает ничего...

Информация
Карантин без пароля удалил. Не нужно.
 
Последнее редактирование:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
В логах ни чего кроме этих исправлений, но лучше сразу обновить IE v.6
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
Все таки придется пользователю на отдаленном компе грузиться с лайва и делать лог uVS или OTL.
Или так:
I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите 1, чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите Kaspersky Registry Editor, откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значения этих параметров напишите в своем сообщении
параметр userinit
параметр shell
4. Также с помощью этого диска сделайте экспорт веток реестра в отдельные файлы, заархивируйте и прикрепите к сообщению.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
с лайва и делать лог uVS или OTL
я сейчас за этим компом,дома сделаю live и потом выполню скан и пришлю логи

Добавлено через 2 минуты 2 секунды
кроме этих логов больше ничего не надо?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу