• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена народ хэлп

Статус
В этой теме нельзя размещать новые ответы.

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Пока будет достаточно...главное же его разблокировать, а потом ты уже и удаленно можешь делать логи.
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
да я комп разблокировал,даже пару червяков удалил.
но после рестарта все опять заразилось-недолечил что то.
сейчас я пишу из под зараженной учетки на прлблемном компе...
но все равно лайв сделаю и пришлю результат.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Ну а если ты сейчас на зараженном компе из под проблемной учетки, может попробуешь сделать RSIT, посмотрим сразу.
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
C:\Documents and Settings\Root\Application Data\Sun\Java\Deployment\cache\6.0\41\52381169-639f6c28 = ZIP = x/g.class - модифицированный Java/Exploit.CVE-2012-4681.BX троянская программа

po hodu otsuda nogi rastut,budu dalshe smotret
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\WINDOWS\apppatch\dxyqnq.exe');
 DeleteFile('C:\Temp\not.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\Load',);
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\RTHDCPL',);
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\Run',);
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S15513178',);
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S165388',);
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S18711614',);
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S5416387',);
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S5510412',);
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S865318',);
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S97120103',);
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\userinit',);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

2. Сделайте новый лог Rsit и прикрепите к сообщению.

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
скрипт выполнил,но большинство проблем осталось...
я щас тороплюсь ,на днях продолжим?
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,310
Реакции
4,778
Баллы
753
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Documents and Settings\Root\ms.exe');
 DeleteFile('c:\documents and settings\root\0.311477232744072.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
я пока другую учетку им включил-что бы 1с запускалась,в тырнет доступ закрыл от греха подальше...

Добавлено через 3 минуты 15 секунд
Маша скрипт запустил,щас посмотрим.
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,310
Реакции
4,778
Баллы
753
ну как самочувствие?
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
послеповторного рестарта все вернулось...
я имею ввиду реклама в браузерах,папандеры,не запускаются программы,при изменении региональных настроек и раскладки клавы все сбивается на англииский,язык клавиатуры если добавляю то после применения операции она исчезает....
антивирус сменил-начал ловить соединения с вредными сайтами,но так же слеп как и каспер и доктор веб(((

Добавлено через 1 минуту 37 секунд
И зачем я только согласился помочь?...
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Ни чего, добъем, давай лог МВАМ и Rsit
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
+ логи AVZ тоже сделай

Добавлено через 10 минут 21 секунду
+ не забудь потом сказать, чтоб пароли поменяли. Среди вирусов, которые на предыдущей странице выложил воровалка паролей.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
Код:
C:\Documents and Settings\Root\Application Data\88371061 (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\TEMP\Local Settings\Application Data\Opera\Opera\cache\g_0014\opr0022G.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Root\Application Data\88371061\pass.log
удали это (можно просто руками).

После этого заново просканируй MBAM и выложи новый лог.
Код:
C:\Зав\касса\Protek\UUCP\LIB\UUCICO.DLL
проверь на http://www.virustotal.com/ или на http://virscan.org/ ссылку в студию.

Опиши подробней проблемы, которые остались.

Добавлено через 2 минуты 23 секунды
+ сделай ещё такой лог http://safezone.cc/forum/showthread.php?t=18205

+ AVZPM отключи.
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
regist, в общем проблемы остаются:
реклама в браузерах,1 с не запускается,хотя в другой учетке работает.
файлы архива запускаются только через проводник,на рабочем столе из тырнета ничего не сохраняется,хотя если открыть папку рабочего стола через проводник то там файлы будут.
лог прилагаю
Посмотреть вложение Result2.txt
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
В настройках роутера уберите этот DNS:

Код:
88.198.15.115
Пропишите провайдерский или альтернативный
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Затем сделай правку
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,565
Баллы
593
+ сменить пароль на роутере на более сложный, очистить куки и кэш браузеров
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу