• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Не запускается восстановление системы и др.

Статус
В этой теме нельзя размещать новые ответы.

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,001
Реакции
6,181
Баллы
1,008
Скачайте этот архив, внутри два файла. Распакуйте их положите в папку рядом с avz.exe

После этого запустите run.bat по окончанию работы в папке лог появится лог virusinfo_syscure.zip прикрепите его сюда.
 

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
с другими программами тоже самое может быть.

Поэтому пробуем так:

запустите командную строку от админа, выполните команду:

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe" /f

потом перезагрузите проводник - ПКМ по экрану - обновить.

после этого попробуйте восстановление системы запустить и сделайте откат на точку до запуска того что вы запускали.

если получится - делайте логи авз. нет - отписывайтесь сюда

у меня последняя точка восстановления показывает в 2011 году(Восстановление работает ура)
Скачайте этот архив, внутри два файла. Распакуйте их положите в папку рядом с avz.exe

После этого запустите run.bat по окончанию работы в папке лог появится лог virusinfo_syscure.zip прикрепите его сюда.

Во так получается, тоже самое после запуска "run"
 

Вложения

  • Безымянный.png
    Безымянный.png
    58.1 KB · Просмотры: 22
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
файлы без расширения в папке C:\windows\system32\config\regback у вас от какого числа?
 

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Ура ура спасибо вам большое, но я ещё проверю на вирусы вашей программой, но сейчас не смогу завтра, но вот здесь, http://forum.oszone.net/thread-81448.html нашёл способ и помог мне, вместо крякозябр сейчас цифры, все установки работают!!!! Восстановление работает, тему не закрывайте завтра все логи отправлю
 

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Хорошо, просто сегодня немного занят, завтра логи отправлю
 

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Вот, сделал все логи:
 

Вложения

  • virusinfo_syscheck.zip
    39.3 KB · Просмотры: 2
  • virusinfo_syscure.zip
    42.1 KB · Просмотры: 1
  • hijackthis.log
    16.4 KB · Просмотры: 4

mike 1

Ветеран
Сообщения
2,427
Реакции
932
Баллы
533
Здравствуйте

1. Отключите антивирус и фаервол. (http://safezone.cc/forum/showthread.php?t=18577)

2. Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
ClearQuarantine;
TerminateProcessByName('C:\Users\Сергей\AppData\Roaming\Adobe64x\postgre.exe');
QuarantineFile('C:\Users\Сергей\AppData\Roaming\Adobe64x\invis.vbs','');
QuarantineFile('C:\Users\Сергей\AppData\Roaming\Adobe64x\bat.exe','');
QuarantineFile('C:\ProgramData\svchost0\qpqpdndnn.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Roaming\Adobe64x\postgre.exe','');
QuarantineFile('C:\Users\D899~1\AppData\Local\Temp\NEwBSDynDNS.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Roaming\fifa14.exe','');
QuarantineFile('C:\Windows\system32\acovcnt.exe','');
QuarantineFile('C:\ProgramData\ProgramData - Ярлык.lnk','');
QuarantineFileF('C:\Users\Сергей\AppData\Roaming\Adobe64x', '*', true, ' ', 0, 0);
QuarantineFileF('C:\Users\Сергей\AppData\Roaming\Adobe86x', '*', true, ' ', 0, 0);
QuarantineFileF('C:\ProgramData\svchost0', '*', true, ' ', 0, 0);
DeleteFile('C:\Users\Сергей\AppData\Roaming\Adobe64x\bat.exe','32');
DeleteFile('C:\ProgramData\svchost0\qpqpdndnn.exe','32');
DeleteFile('C:\Users\Сергей\AppData\Roaming\Adobe64x\invis.vbs','32');
DeleteFile('C:\Users\Сергей\AppData\Roaming\Adobe64x\postgre.exe','32');
DeleteFile('C:\Users\D899~1\AppData\Local\Temp\NEwBSDynDNS.exe','32');
DeleteFile('C:\Users\Сергей\AppData\Roaming\fifa14.exe','32');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\svchost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AdobeUpdate');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Users\D899~1\AppData\Local\Temp\NEwBSDynDNS.exe');
DeleteFileMask('C:\Users\Сергей\AppData\Roaming\Adobe64x', '*', true, ' ');
DeleteFileMask('C:\Users\Сергей\AppData\Roaming\Adobe86x', '*', true, ' ');
DeleteFileMask('C:\ProgramData\svchost0', '*', true, ' ');
DeleteDirectory('C:\Users\Сергей\AppData\Roaming\Adobe64x');
DeleteDirectory('C:\Users\Сергей\AppData\Roaming\Adobe86x');
DeleteDirectory('C:\ProgramData\svchost0');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

3. После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4. Пофиксите в HiJackThis следующие строчки если они у вас есть.

Код:
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKLM\..\Run: [Babakan] cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20131017 (exit) else (start http://dinoklafbzor.org && exit)
O4 - HKCU\..\Run: [AdobeUpdate] wscript "C:\Users\Сергей\AppData\Roaming\Adobe64x\invis.vbs" "C:\Users\Сергей\AppData\Roaming\Adobe64x\bat.exe"

5. Подготовьте новый комплект логов согласно правилам раздела.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

7. Этот C:\TDSSKiller.2.8.16.0_23.09.2013_14.25.50_log.txt отчет TDSSKiller прикрепите

8. Эту C:\TDSSKiller_Quarantine папку запакуйте в zip архив с паролем virus и также отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

9. TeamSpeak 3 Client сами себе устанавливали?
 
Последнее редактирование:

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Новый комплект логов:
 

Вложения

  • virusinfo_syscure.zip
    38.8 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    38.8 KB · Просмотры: 0
  • hijackthis.log
    15.5 KB · Просмотры: 1

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Делается 6-ой пункт, Team Speak сам устанавливал
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
после 6 пункта лог RSIT еще сделайте
 

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Лог шестого пункта:
 

Вложения

  • MBAM-log-2013-10-14 (18-29-16).txt
    6.7 KB · Просмотры: 2

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Лог программы RSIT
 

Вложения

  • info.txt
    41.3 KB · Просмотры: 1
  • log.txt
    59.6 KB · Просмотры: 4

mike 1

Ветеран
Сообщения
2,427
Реакции
932
Баллы
533
+ Этот C:\TDSSKiller.2.8.16.0_23.09.2013_14.25.50_log.txt отчет еще выложите.
 

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Вот отчёт, извините что по отдельности.Вроде всё сделал
 

Вложения

  • TDSSKiller.2.8.16.0_23.09.2013_14.25.50_log.txt
    277.3 KB · Просмотры: 2
Последнее редактирование:

mike 1

Ветеран
Сообщения
2,427
Реакции
932
Баллы
533
Карантин после выполнения скрипта AVZ отправляли? (Пункт 3)
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу