• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Нужна помощь с исправлением повреждений

Статус
В этой теме нельзя размещать новые ответы.

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,761
Реакции
2,327
Баллы
653
Хм, заразились по новой.
Повторите инструкции из сообщения №2.
 

MaxDamage

Новый пользователь
Сообщения
67
Реакции
1
Баллы
8

Вложения

  • CollectionLog-2021.03.02-21.44.zip
    63.2 KB · Просмотры: 8
  • AV_block_remove.log
    13.9 KB · Просмотры: 5

MaxDamage

Новый пользователь
Сообщения
67
Реакции
1
Баллы
8
Хм, заразились по новой.
Повторите инструкции из сообщения №2.
после этого снова попробовал просканировал farbar-ом, результат тот же. Видимо он по новой перезаписывается откуда-то. Что ещё можно сделать? Повторить процедуры с отключенной сетью? Или есть способы удобнее (так придётся ехать на место, и делать всё локально). Удалённо было бы удобнее.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,761
Реакции
2,327
Баллы
653

MaxDamage

Новый пользователь
Сообщения
67
Реакции
1
Баллы
8

MaxDamage

Новый пользователь
Сообщения
67
Реакции
1
Баллы
8
Покажите логи Farbar, которые успели создаться.
Мельком их проглядел, вроде точно такие же как предыдущие...
Может антивирус какой-нибудь бесплатный воткнуть?
 

Вложения

  • Addition.txt
    30.2 KB · Просмотры: 4
  • FRST.txt
    33.4 KB · Просмотры: 4

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,761
Реакции
2,327
Баллы
653
Может антивирус какой-нибудь бесплатный воткнуть?
Это обязательно, конечно, после окончания лечения.

TortoiseSVN 1.11.0.28416 (64 bit) - ставили самостоятельно?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    S2 backlh; C:\ProgramData\Logic Cramble\set.exe [X] <==== ВНИМАНИЕ
    S4 Snorler; C:\ProgramData\\Snorler\\Snorler.exe shuz -f "C:\ProgramData\\Snorler\\Snorler.dat" -l -a
    2021-03-02 22:02 - 2021-03-02 22:02 - 000000000 __SHD C:\windows\McMwt
    2021-03-02 22:02 - 2021-03-02 22:02 - 000000000 ____D C:\Program Files\360
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 __SHD C:\Program Files (x86)\Zaxar
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\windows\SysWOW64\Drivers\conhost.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\windows\svchost.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\windows\java.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\windows\boy.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\ProgramData\script.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\ProgramData\olly.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\ProgramData\lsass2.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\ProgramData\lsass.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\ProgramData\kz.exe
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

MaxDamage

Новый пользователь
Сообщения
67
Реакции
1
Баллы
8
Это обязательно, конечно, после окончания лечения.

TortoiseSVN 1.11.0.28416 (64 bit) - ставили самостоятельно?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    S2 backlh; C:\ProgramData\Logic Cramble\set.exe [X] <==== ВНИМАНИЕ
    S4 Snorler; C:\ProgramData\\Snorler\\Snorler.exe shuz -f "C:\ProgramData\\Snorler\\Snorler.dat" -l -a
    2021-03-02 22:02 - 2021-03-02 22:02 - 000000000 __SHD C:\windows\McMwt
    2021-03-02 22:02 - 2021-03-02 22:02 - 000000000 ____D C:\Program Files\360
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 __SHD C:\Program Files (x86)\Zaxar
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\windows\SysWOW64\Drivers\conhost.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\windows\svchost.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\windows\java.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\windows\boy.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\ProgramData\script.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\ProgramData\olly.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\ProgramData\lsass2.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\ProgramData\lsass.exe
    2021-03-02 22:01 - 2021-03-02 22:01 - 000000000 ___SH C:\ProgramData\kz.exe
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
По поводу антивируса - я имею в виду сейчас поставить, чтобы он не заражался по новой каждый раз
TortoiseSVN - да, сам ставил, давно уже
 

Вложения

  • Fixlog.txt
    4.1 KB · Просмотры: 4

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,761
Реакции
2,327
Баллы
653
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

MaxDamage

Новый пользователь
Сообщения
67
Реакции
1
Баллы
8
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Вложения

  • AdwCleaner[S00].txt
    3.3 KB · Просмотры: 4

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,761
Реакции
2,327
Баллы
653
Предустановленное ПО не отмечайте, остальное чистим:
  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

MaxDamage

Новый пользователь
Сообщения
67
Реакции
1
Баллы
8
Предустановленное ПО не отмечайте, остальное чистим:
  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
После этого папка C:\AdwCleaner\ пропала. Но через адресную строку открывается. И стала постоянно появляться ошибка:

А ещё в диспетчере задач постоянно висят вот такипроцессы, и появляются снова, если их прибить
 

Вложения

  • AdwCleaner[S01].txt
    1.5 KB · Просмотры: 3
  • Clip2net_210303124907.jpg
    Clip2net_210303124907.jpg
    15.6 KB · Просмотры: 10
  • Clip2net_210303125333.jpg
    Clip2net_210303125333.jpg
    15.9 KB · Просмотры: 12
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,761
Реакции
2,327
Баллы
653
Да, опять заразились.

Повторите ещё раз AV block remover.

Затем проверим уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

MaxDamage

Новый пользователь
Сообщения
67
Реакции
1
Баллы
8
Да, опять заразились.

Повторите ещё раз AV block remover.

Затем проверим уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Вложения

  • SecurityCheck.txt
    15.8 KB · Просмотры: 5

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,761
Реакции
2,327
Баллы
653
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Затем установите хотфиксы:
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления

Иначе лечение бесполезно.
 

MaxDamage

Новый пользователь
Сообщения
67
Реакции
1
Баллы
8
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Затем установите хотфиксы:
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления

Иначе лечение бесполезно.
Сделал. Теперь практически ни один сайт ни в одном браузере не открывается. Выдаёт ошибку ERR_FAILED. Пинг при этом проходит нормально
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,761
Реакции
2,327
Баллы
653
Ещё раз (надеюсь, последний) выполните AV block remover.
После перезагрузки - новый CollectionLog Автологером.
 

MaxDamage

Новый пользователь
Сообщения
67
Реакции
1
Баллы
8
Ещё раз (надеюсь, последний) выполните AV block remover.
После перезагрузки - новый CollectionLog Автологером.
Придётся поизвращаться, файлы выкладывать через телефон. Сайты так и не открываются. Причем некоторые, самые простенькие, например mydebianblog.blogspot.com - открываются. Не подскажете, в чем может быть причина?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу