• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена не запускаются *.exe (Windows 7 X64)

Статус
В этой теме нельзя размещать новые ответы.

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
ТДС от Каспера ничего не показал, гмер тоже! АВЗ гуард не запускается при вылполнении скрипта! Каспера не могу поставить. У установленного ESET ошибки обмена данными с ядром!
 

Вложения

  • hijackthis.log
    11 KB · Просмотры: 6
  • virusinfo_syscure.zip
    23.4 KB · Просмотры: 2

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,660
Баллы
753
Привет сейчас погляжу

Добавлено через 6 минут 48 секунд
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\ielbnug.dll','');
 DeleteFile('C:\Windows\system32\ielbnug.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)

Повторите логи AVZ и RSIT из нормального режима

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

icotonev

Ассоциация VN
Сообщения
1,426
Реакции
1,156
Баллы
553
ESET Smart Security + Kaspersky Internet Security 2011 + Norton Online Backup
 

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
компьютер ожил сразу после удаления библиотек :)

Лог MBAM скину позже, т.к. он долго делаться будет!
 

Вложения

  • hijackthis.log
    11 KB · Просмотры: 1
  • log.txt
    30.1 KB · Просмотры: 2
  • virusinfo_syscure.zip
    35.3 KB · Просмотры: 1
Последнее редактирование:

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
готов лог от MB
 

Вложения

  • mbam-log-2011-11-23 (18-03-31).txt
    996 байт · Просмотры: 2

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,660
Баллы
753
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\SysWOW64\66BE.tmp','');
 QuarantineFile('C:\Windows\system32\66BE.tmp','');
 DeleteFile('C:\Windows\SysWOW64\66BE.tmp');
 DeleteFile('C:\Windows\system32\66BE.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
 

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
Карантин отправил. Но есть проблемы! Комп начал себя вести также как и вел! Карантин смог сделать тока в безопасном режиме! Сейчас удалю точки восстановления системы!
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,660
Баллы
753
Сделайте повторные логи +

лог uVS
 

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
вот лог еще разок
Лог автозагрузки делаю
 

Вложения

  • virusinfo_syscure.zip
    23.2 KB · Просмотры: 3
Последнее редактирование:

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
вот ожидаемы лог
Мы вторым скриптом ничего не убили а то как то резко ухудшилось после перезагрузки выполнив второй скрипт, это конечно может кажется но считаю необходимым "озвучить" мысли в слух
 

Вложения

  • ИЛЬЯ-HP_2011-11-23_21-10-27.rar
    293.9 KB · Просмотры: 3
Последнее редактирование:

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
Вот что еще интересно. После того как использовал свои две флешки на зараженной машине, на них обнаружен
HTML:
24.11.2011 0:11:59	Обнаружено: HEUR:Trojan.Win32.Generic		G:\RSIT.exe
(Kaspersy 2011) и таких некоторое количество. Я откатил систему на момент до выполнения скриптов, не знал уже что попробывать, ответа не было и не было. Ну теперь наверно нужно все логи заново делать, завтра выложу! Комп ведeт себя по сценарию, на момент обращения за помощью!:russian_ru:
 

akok

Команда форума
Администратор
Сообщения
19,382
Реакции
13,373
Баллы
2,203
Реакция на RSIT иногда бывает..

Добавлено через 17 секунд
Раз откатили, тогда подождем новые логи.
 

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
Сделал новые логи, снова в Безопасном режиме, т.к. в нормальном комп неадекватен :sarcastic:
Походу зараза заново родилась, тока не пойму откуда она могла родиться, не ужели из точек восстановления?!?!?! Или из за повторно использования на зараженной машине флешки, которую не полечил после выполнения скриптов!
 

Вложения

  • hijackthis.log
    11.3 KB · Просмотры: 0
  • log.txt
    33.7 KB · Просмотры: 1
  • virusinfo_syscure.zip
    27.3 KB · Просмотры: 1
  • avz_sysinfo.rar
    6.8 KB · Просмотры: 0
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,660
Баллы
753
Привет, сейчас погляжу

Добавлено через 6 минут 35 секунд
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\илья\appdata\local\temp\flash_player_update.exe','');
 QuarantineFile('C:\Windows\system32\ielbnug.dll','');
 QuarantineFile('C:\Windows\system32\66BE.tmp','');
 QuarantineFile('C:\Windows\SysWOW64\ielbnug.dll','');
 QuarantineFile('C:\Windows\SysWOW64\66BE.tmp','');
 DeleteFile('C:\Windows\system32\ielbnug.dll');
 DeleteFile('C:\Windows\system32\66BE.tmp');
 DeleteFile('C:\Windows\SysWOW64\ielbnug.dll');
 DeleteFile('C:\Windows\SysWOW64\66BE.tmp');
 DeleteFile('C:\Users\илья\appdata\local\temp\flash_player_update.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT из нормального режима
 

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
выкладываю лог после выполненного скрипта и отправки карантина! Комп снова ожил сразу же после перезагрузки скриптом. Теперь надо чтобы он не родился как вчера! Точки восстановления я очистил!
 

Вложения

  • virusinfo_syscure.zip
    37 KB · Просмотры: 2

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,660
Баллы
753
Подозрительного не видно:

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите Internet Explorer до последней версии, даже если им не пользуетесь.
 

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
Спасибо! Компьютер ведет себя хорошо.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу