• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Не запускается восстановление системы и др.

Статус
В этой теме нельзя размещать новые ответы.

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Тоесть сейчас заново скрипт делать, а потом в карантин отправлять?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,415
Реакции
2,232
Баллы
643
Выполните короткий скрипт из трех строчек.
 

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Я отправлял на почту , через mail, вспомнил, я просто не понял о чём речьМогу ещё раз отравить если надо
 

mike 1

Ветеран
Сообщения
2,427
Реакции
931
Баллы
533
1. Удалите через установка и удаление программ:

Код:
Ticno Tabs

2. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:
Обнаруженные ключи в реестре:  11
HKCR\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226} (Trojan.BHO) -> Действие не было предпринято.
HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91} (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp.1 (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{361B1769-7A9D-4C5B-AEB0-32BFEDF8359F} (PUP.Optional.Tarma.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{03850D84-6F6F-8146-2337-AFC4A80DE384} (PUP.Optional.Tarma.A) -> Действие не было предпринято.
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Program Files (x86)\Ticno\Tabs\TicnoTabsBho111217.dll (Trojan.BHO) -> Действие не было предпринято.
C:\ProgramData\InstallMate\{361B1769-7A9D-4C5B-AEB0-32BFEDF8359F}\Setup.exe (PUP.Optional.Tarma.A) -> Действие не было предпринято.
C:\ProgramData\InstallMate\{361B1769-7A9D-4C5B-AEB0-32BFEDF8359F}\TsuDll.dll (PUP.Optional.Tarma.A) -> Действие не было предпринято.
C:\ProgramData\InstallMate\{8DE8FABD-4602-4B08-A9E3-0E20560BD84B}\Setup.exe (PUP.Optional.Tarma.A) -> Действие не было предпринято.
C:\ProgramData\InstallMate\{8DE8FABD-4602-4B08-A9E3-0E20560BD84B}\TsuDll.dll (PUP.Optional.Tarma.A) -> Действие не было предпринято.
C:\Users\Сергей\Downloads\jZipSetup-r230-n-bc.exe (PUP.Optional.Bandoo.A) -> Действие не было предпринято.
C:\Users\Сергей\Downloads\SC-897451F541UU.rar.exe (PUP.Optional.InstalleRex) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\winhv.exe (Trojan.Agent) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Всё сделал
 

Вложения

  • MBAM-log-2013-10-15 (07-20-32).txt
    2.3 KB · Просмотры: 1

mike 1

Ветеран
Сообщения
2,427
Реакции
931
Баллы
533
1. Отключите антивирус и фаервол. (http://safezone.cc/forum/showthread.php?t=18577)

2. Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
  begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
  end;
ClearQuarantine;
QuarantineFile('C:\ProgramData\ProgramData - Ярлык.lnk','');
QuarantineFileF('C:\Users\Сергей\AppData\Roaming\sony64', '*', true, ' ', 0, 0);
QuarantineFileF('C:\Users\Сергей\AppData\Roaming\Adobe64x', '*', true, ' ', 0, 0);
DeleteFile('C:\ProgramData\svchost0\qpqpdndnn.exe','');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\svchost');
DeleteFileMask('C:\Users\Сергей\AppData\Roaming\Adobe64x', '*', true, ' ');
DeleteFileMask('C:\Users\Сергей\AppData\Roaming\sony64', '*', true, ' ');
DeleteDirectory('C:\Users\Сергей\AppData\Roaming\Adobe64x');
DeleteDirectory('C:\Users\Сергей\AppData\Roaming\sony64');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

3. После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4. Пофиксите в HiJackThis следующие строчки если они у вас есть.

Код:
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

5. Подготовьте новый комплект логов согласно правилам раздела.

6. Поищите следующий файл clhhnk_.exe на диске при помощи AVZ по этой http://safezone.cc/threads/8/ инструкции.
 

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Новый комплект логов:
 

Вложения

  • virusinfo_syscure.zip
    39.2 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    39.6 KB · Просмотры: 1
  • log.txt
    88.9 KB · Просмотры: 1
  • info.txt
    40.3 KB · Просмотры: 2

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Ищу.

P.S Офигеть вы быстро отвечаете) Первый раз вижу такую оперативность.
Что по пункту 6?

Поиск файлов по маске clhhnk_.exe
Поиск файлов завершен
Просмотрено 1768285, найдено 0
 

mike 1

Ветеран
Сообщения
2,427
Реакции
931
Баллы
533
1. Пофиксите в HiJackThis следующие строчки если они у вас есть.

Код:
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

2. Нажмите на клавиатуре Win+R => Введите regedit нажмите Enter. Затем откроется редактор реестра в нем найдите ключ реестра HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg и удалите параметр svchost. Возможно потребуется вернуть (http://safezone.cc/threads/19701/) права на этот ключ реестра.

3. Поищите следующий файл C:\ProgramData\ProgramData - Ярлык.lnk откройте его свойства и покажите его содержимое.

4. Удалите следующие C:\Program Files (x86)\Ticno, C:\Users\Сергей\AppData\Roaming\TicnoTemp папки.

5. Что находится в этой C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc папке?

6. Сделайте новые логи RSIT.
 

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Так:
1. Пофиксил, проверил, пофиксилось(Потом опять зашёл, и увидел что там опять эта фигня, которую надо пофиксить.
2. Сделал
3.Приложу скрин, нету папки C:\ProgramData\ProgramData
4. Удалил
5. В папке нет ничего
6. Приложу как ответите, надо всё таки 3 ий пункт сделлатьЭто оно?
 

Вложения

  • Ничего.png
    Ничего.png
    108.6 KB · Просмотры: 23
  • ПРограмм даты нету.png
    ПРограмм даты нету.png
    65.3 KB · Просмотры: 29
  • Общие.png
    Общие.png
    88.1 KB · Просмотры: 27
  • ПОдробно.png
    ПОдробно.png
    110.7 KB · Просмотры: 23
  • Ярлык.png
    Ярлык.png
    81.5 KB · Просмотры: 27
  • Безопасность.png
    Безопасность.png
    116.5 KB · Просмотры: 22

mike 1

Ветеран
Сообщения
2,427
Реакции
931
Баллы
533
1. Это не папка, а ярлык посмотрите нет ли его в самом низу папки C:\ProgramData? Да оно.

2. Удалите тогда эту C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc папку раз она пуста.
 
Последнее редактирование:

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Вот логи:
 

Вложения

  • info.txt
    44.2 KB · Просмотры: 1
  • log.txt
    88.7 KB · Просмотры: 2

mike 1

Ветеран
Сообщения
2,427
Реакции
931
Баллы
533
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

Ka3uM

Активный пользователь
Сообщения
59
Реакции
1
Баллы
308
Код:
Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 15.10.2013 20:20:13
Run directory: C:\Users\Сергей\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 5.9
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x64) HomeBasic Lang: Russian(0419)
Дата установки ОС: 03.01.2011 12:03:25
Статус лицензии: Windows(R) 7, HomeBasic edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [74.5 Гб] Занято: [62.9 Гб] Свободно: [11.6 Гб]
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 9.10.9200.16721 [b][+][/b]
[color=red][b]Контроль учётных записей пользователя отключен[/b][/color]
[color=blue][b]^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
Запрос на повышение прав для администраторов [color=red][b]отключен[/b][/color]
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-10-15 04:54:32
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 6.0
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiSpyware_WMI----------------------
ESET Smart Security 6.0
Windows Defender
-------------AntiVirusFirewallInstall-------------
ESET Smart Security v.6.0.316.3
Avast License by ZeNiX [2012-06-29]
-------------OtherUtilities-----------------------
CCleaner v.4.06
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java 7 Update 40 (64-bit) v.7.0.400
Java(TM) SE Development Kit 7 (64-bit) v.1.7.0.0 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads-1880260.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jdk-7u40-windows-x64.exe)^[/b][/color]
Java(TM) 6 Update 31 v.6.0.310 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/1880261]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^[/b][/color]
Java 7 Update 25 v.7.0.250 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/1880261]Скачать обновления[/url][/b][/color]
[color=blue][b]^Скачайте jre-7u40-windows-i586.exe^[/b][/color]
Java Auto Updater v.2.1.9.5
-------------AppleProduction----------------------
QuickTime Alternative 2.8.0 v.2.8.0 [color=red][b]Внимание! [url=http://www.apple.com/ru/quicktime/download/]Скачать обновления[/url][/b][/color]
-------------AdobeProduction----------------------
Adobe Flash Player 10 ActiveX v.10.0.42.34 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_active_x.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 11 Plugin v.11.9.900.117 [b][+][/b]
Adobe Reader XI (11.0.04) v.11.0.04 [b][+][/b]
-------------Browser------------------------------
Yandex v.22.0.1106.241 [color=red][b]Внимание! [url=http://browser.yandex.ru/?from=cont_spec]Скачать обновления[/url][/b][/color]
Google Chrome v.30.0.1599.69 [b][+][/b]
Mozilla Firefox 24.0 (x86 ru) v.24.0
Opera 11.60 v.11.60.1185 [color=red][b]Внимание! [url=http://ftp.opera.com/pub/opera/win/1216/int/Opera_1216_int_Setup.exe]Скачать обновления[/url][/b][/color]
[color=blue][b]^Будет скачена последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^[/b][/color]
-------------EndLog-------------------------------
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Не нужно в тег "код " вставлять - ссылок не видно. Достаточно обычным текстом.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу