• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Не знаю как классифицировать проблему.

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Сообщения
19,317
Реакции
13,335
Баллы
2,203
Какая разница между логами?

Добавлено через 10 минут 33 секунды
Выполните скрипт UVS и пришлите карантин
Код:
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

breg
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\23894729347.EXE
; C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\23894729347.EXE
addsgn 9252776A156AC1CC0BF4514EA34F1A35248A7282AA87489394CA0838B36DA8DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 W32/Yakes.LS!tr

; C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\0.7557451018972795.EXE
zoo %Sys32%\NOTEPAD.EXE
zoo %SystemDrive%\PROGRAM FILES\IP-TV PLAYER\IPTVPLAYER.EXE
deltmp
regt 12
chklst
delvir
После выполнения скрипта компьютер перезагрузится.

Добавлено через 57 секунд
Попробуете запустить проблемную систему.
 

sedoystarik

Активный пользователь
Сообщения
28
Реакции
0
Баллы
381
Если её нет значит нет это я подумал что надо сделать две на всякий случай.Я из под второй винды удалил экзешник информера.И вот уже пишу из под неё.Вопрос один надо ли ещё что-то в системе ещё подчищать.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Сделайте из-под зараженной системы логи по правилам
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\53.tmp','');
DeleteFile('C:\WINDOWS\system32\53.tmp');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\86z8zd6uWw6A0Cp', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\7a6vHav3hoMR2HG', '*.*', true);
DeleteFileMask('C:\chqXLdYHF7dSQHR', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST')
DeleteDirectory('C:\chqXLdYHF7dSQHR');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\7a6vHav3hoMR2HG')
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\86z8zd6uWw6A0Cp');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксить в HijackThis (некоторых строчек может не быть):
Код:
O2 - BHO: Html5 geolocation provider - {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} - (no file)
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc ([email protected]), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.

Обязательно смените все пароли!!!
Повторите логи AVZ и RSIT
 
Последнее редактирование:

sedoystarik

Активный пользователь
Сообщения
28
Реакции
0
Баллы
381
При выполнении первого скрипта пишет вот такую вещь:Ошибка ';' expected в позиции 13:1
 

aidoqa

Активный пользователь
Сообщения
1,137
Реакции
316
Баллы
473
сейчас попробуйте

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\53.tmp','');
DeleteFile('C:\WINDOWS\system32\53.tmp');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\86z8zd6uWw6A0Cp', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\7a6vHav3hoMR2HG', '*.*', true);
DeleteFileMask('C:\chqXLdYHF7dSQHR', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
DeleteDirectory('C:\chqXLdYHF7dSQHR');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\7a6vHav3hoMR2HG');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\86z8zd6uWw6A0Cp');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Продолжайте далее по списку
 

sedoystarik

Активный пользователь
Сообщения
28
Реакции
0
Баллы
381
Где мне его найти он в карантине у проги mbam?

Добавлено через 30 секунд
Обратно из карантина не восстанавливается...
 

akok

Команда форума
Администратор
Сообщения
19,317
Реакции
13,335
Баллы
2,203
MBAM ничего не делал с файлом. Он лежит на своем месте.
Код:
C:\WINDOWS\notepad.exe
 

akok

Команда форума
Администратор
Сообщения
19,317
Реакции
13,335
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\notepad.exe',' ');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на quarantine<at>virusnet.info ([email protected]) в заголовке (теме) письма укажите ссылку на тему.


+ в папке AVZ появится файл boot_clr.log, его прикрепите к теме.
 

sedoystarik

Активный пользователь
Сообщения
28
Реакции
0
Баллы
381
На ящик не отправляет архив два раза письмо вернулось at заменил на @

Добавлено через 1 минуту 57 секунд
[email protected]
SMTP error from remote mail server after RCPT TO:<[email protected]>:
host mx0.mail5.freehost.com.ua [194.0.200.222]:
550 User not found
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу