• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Нужна помощь

Статус
В этой теме нельзя размещать новые ответы.

Valeriy

Активный пользователь
Сообщения
30
Реакции
0
Баллы
306
После Вашего письма о зараженных утилитах-обнаружил у себя вирусы.
 

Вложения

  • virusinfo_syscure.zip
    21.8 KB · Просмотры: 7
  • virusinfo_syscheck.zip
    21.7 KB · Просмотры: 0
  • info.txt
    45.7 KB · Просмотры: 1
  • log.txt
    32.1 KB · Просмотры: 3

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую Valeriy, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
После Вашего письма о зараженных утилитах-обнаружил у себя вирусы.
В каком смысле вашего? Вы утверждаете, что вам пришло письмо с форума http://safezone.cc, в котором содержалось вложение с вирусом?

1. Опишите подробно проблемы на вашем компьютере.

2. Пофиксите в HJT эти строки

3. Запустите AVZ -> меню Файл -> Восстановление системы
отметьте пункт №10 (восстановление настроек загрузки в SafeMode)
нажмите - выполнить отмеченные операции.

Проверьте вход в систему через безопасный режим.

4. Сервис Funmoods удалите через установку\удаление программ.

5. Откройте блокнотом и покажите содержимое файла
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
В каком смысле вашего? Вы утверждаете, что вам пришло письмо с форума http://safezone.cc, в котором содержалось вложение с вирусом?
shestale, администрация форума делала рссылку в которой предупреждалось, что утилита Combofix заражена вирусом - наверно подразумевается это письмо.
 

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
Рассылка не содержала вложений, поэтому не могла быть источником вредоносного кода.

Подождем уточнения пользователя.
 

Valeriy

Активный пользователь
Сообщения
30
Реакции
0
Баллы
306
После лечения в прошлый раз Malwarebytes показала что вирусов нет.
А появились они после удаления утилит или после получения рассылки сказать немогу. Все рекомендации выполнил кроме:"Проверьте вход в систему через безопасный режим."-никогда неделал.Где об этом прочитать подробнее? Во вложении содержимое файла C:\WINDOWS\tasks\At1.job открытое блокнотом.
 

Вложения

  • 12.txt
    410 байт · Просмотры: 5

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
"Проверьте вход в систему через безопасный режим."-никогда неделал.Где об этом прочитать подробнее?
Как загрузить Windows в Безопасном режиме? (Safe Mode)

C:\WINDOWS\tasks\At1.job - это от Funmoods.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\DOCUME~1\s16\APPLIC~1\Funmoods\UPDATE~1\UPDATE~1.EXE');
 DeleteFile('C:\WINDOWS\tasks\At1.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Еще что-то беспокоит?
 
Последнее редактирование:

Valeriy

Активный пользователь
Сообщения
30
Реакции
0
Баллы
306
Скрипт переделал,что делать дальше?
 

Valeriy

Активный пользователь
Сообщения
30
Реакции
0
Баллы
306
Malwerebytes выдает что есть.
 

Вложения

  • MBAM-log-2013-02-19 (20-43-12).txt
    4.7 KB · Просмотры: 2

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Это нежелательное ПО(Funmoods).
Удалите в МВАМ все найденное.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
Malwerebytes выдает что есть.
это как бы не вирусы, а ad-aware приложение для гугл хрома, которое заодно вам показывает рекламу.

Удалите всё найденное в MBAM, просканируйте заново и убедитесь, что чисто.

+
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Valeriy

Активный пользователь
Сообщения
30
Реакции
0
Баллы
306
Это что не лечится? Два последних файла из данного вложения я удалил вручную.А что делать дальше?
 

Вложения

  • MBAM-log-2013-02-20 (17-18-45).txt
    4.7 KB · Просмотры: 3

Valeriy

Активный пользователь
Сообщения
30
Реакции
0
Баллы
306
Извините,не видел последнего сообщения.

Добавлено через 1 минуту 27 секунд
Пробовал МВАМ НЕ УДАЛЯЕТ
 

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
Что пишет при попытке удаления?
 

Valeriy

Активный пользователь
Сообщения
30
Реакции
0
Баллы
306
Вот результат сканирования.
 

Вложения

  • AdwCleaner[R1].txt
    5.6 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
Внимание, следующее действие удалит установленные тулбары:

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
 

Valeriy

Активный пользователь
Сообщения
30
Реакции
0
Баллы
306
После второго запуска МВАМ удалила.Все чисто спасибо огромное.Дай Бог здоровья Вам за Вашу работу и помощь людям!
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Для профилактики повторных заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.
Рекомендации после лечения
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу