• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Нужна помощь

Статус
В этой теме нельзя размещать новые ответы.

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
а проблема в чём заключается?
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
1.В целях безопасности скачайте и установите Internet Explorer 8

обновите:
adobe reader , Sun Java а так же: Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

2.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\0.7796119840654661.exe','');
 QuarantineFile('C:\WINDOWS\system32\22A.tmp','');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\0.7796119840654661.exe');
 DeleteFile('C:\WINDOWS\system32\22A.tmp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system');
 RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.сделайте повторные логи avz и rsit.

TDSSKiller.2.5.11.0_20.09.2011_17.39.59_log.txt - выложите
 

Готлиб

Активный пользователь
Сообщения
22
Реакции
0
Баллы
381
Страница вконтакте по-прежнему заблокирована.
 

Вложения

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
1.из найденного MBAM удалите:
Зараженные файлы:
c:\WINDOWS\notepad.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\AppPatch\yiamdig.exe (Trojan.Apppatch) -> No action taken.
c:\WINDOWS\Temp\11A4.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\B83.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\CA0.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\3A.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\3A5.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\3D1.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\648.tmp (Trojan.Apppatch) -> No action taken.
c:\WINDOWS\Temp\68.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\872.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\28D.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\2AC.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\2C7.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\460.tmp (Trojan.Apppatch) -> No action taken.
c:\WINDOWS\Temp\47.tmp (Trojan.Apppatch) -> No action taken.
c:\WINDOWS\Temp\6FA.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\73F.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\936.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\345.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\34A.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\366.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\567.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\5B.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\5D.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\146.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\151.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\154.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\3E4.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\3F.tmp (Trojan.Apppatch.Gen) -> No action taken.
c:\WINDOWS\Temp\413.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\AA1.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\5E.tmp (Trojan.Apppatch.Gen) -> No action taken.
c:\WINDOWS\Temp\5F.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\61.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\61E.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\63.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\4C7.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\4D.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\4E8.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\4F.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\7ED.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\2F.tmp (Trojan.Apppatch.Gen) -> No action taken.
c:\WINDOWS\Temp\317.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\18B.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\19F.tmp (Trojan.Apppatch.Gen) -> No action taken.
c:\WINDOWS\Temp\1A7.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\6D7.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\52.tmp (Trojan.Apppatch.Gen) -> No action taken.
c:\WINDOWS\Temp\54.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\56.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\FB.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\1D2.tmp (Trojan.Apppatch.Gen) -> No action taken.
c:\WINDOWS\Temp\1E0.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\208.tmp (Spyware.Passwords.XGen) -> No action taken.
2. скачайте файл из вложения и распакуйте его в c:\WINDOWS

3. откройте блокнотом файл
c:\documents and settings\admin\local settings\temp\_uninst_43962913.bat
текст скопируйте и запостите сюда.

4. сделайте новый лог malwarebytes

5. смените все ваши пароли
 

Вложения

Готлиб

Активный пользователь
Сообщения
22
Реакции
0
Баллы
381
Не удается скачать файл. Появляется сообщение:

"Готлиб, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:

1.Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чьё-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
2.Вы пытаетесь написать сообщение, но ваш аккаунт отключён администрацией или ожидает активации."
 

Готлиб

Активный пользователь
Сообщения
22
Реакции
0
Баллы
381
@echo off
if exist "C:\DOCUME~1\Admin\LOCALS~1\Temp\0025038\2100039.exe" goto restart
Rmdir /S /Q "C:\DOCUME~1\Admin\LOCALS~1\Temp\RarSFX0\"
del /F /Q "C:\Documents and Settings\Admin\
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
удалите этот файл
так же
В логе сканирования Hijackthis отметьте:
O4 - Startup: _uninst_43962913.lnk = C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_43962913.bat
нажмите "Fix checked"
 

Готлиб

Активный пользователь
Сообщения
22
Реакции
0
Баллы
381
Извините, не понял последние действия.
 

Готлиб

Активный пользователь
Сообщения
22
Реакции
0
Баллы
381
Вроде бы все сделал. А что должно произойти?
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.*
Код:
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"d40819d1"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\43187385.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\43187385.sys]
RegLock::
[HKEY_USERS\S-1-5-21-436374069-651377827-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Компьютер перезагрузится
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу