• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Очень прошу помощи - словил вирус с сайта kak-gde

Статус
В этой теме нельзя размещать новые ответы.

Alfar

Активный пользователь
Сообщения
24
Реакции
3
Баллы
393
Не помню - то ли .ру, то ли .ком. Открыл его - комп сразу завис, помог только ребут с кнопки.

Щас не открывается антивирус Аваст, не обновляется AVZ, не отрывается поисковик Гугл и еще ряд сайтов.

Очень прошу помощи, так как моя почта на gmail. Очень нужна, а открыть не могу. И вообще очень не нравится мне все происходящее.

Все выполняю, как описано в правилах. Времянки очистил, все программы закрыл. Логи прилагаю.

Пожалуйста, помогите:(
 

Вложения

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,633
Баллы
593
Обновите базы AVZ
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 QuarantineFile('\\?\globalroot\systemroot\system32\VbRkhIe.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\LzGt0Sd.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\L0DvQ7N.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\AOWAMl0.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\5zQ8V8r.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\0HUjbAy.exe','');
 QuarantineFile('C:\WINDOWS\system32\onxvrl.exe','');
 DeleteFile('C:\WINDOWS\system32\onxvrl.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\0HUjbAy.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\5zQ8V8r.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\AOWAMl0.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\L0DvQ7N.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\LzGt0Sd.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\VbRkhIe.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

опять не успел((
 
Последнее редактирование:

Alfar

Активный пользователь
Сообщения
24
Реакции
3
Баллы
393
Большое спасибо!

Базы AVZ я обновить не могу:(Не идет обновление, полагаю, по этим же самым причинам, что и антивирус не грузится, и Гугл не открывается.

Щас буду пробовать все сделать так, как Вы написали!
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,633
Баллы
593
обновите базы после выполенния скрипта
 

Alfar

Активный пользователь
Сообщения
24
Реакции
3
Баллы
393
обновите базы после выполенния скрипта
Огромное спасибо! Базы после выполнения вышеуказанного Вами скрипта обновились:yess:

А в форме запроса в вирусную лабораторию имеет какое-то значение тип запроса, который надо выбрать из списка? Я выбрал "запрос на описание вредоносной программы".

GMER запускал, но проверка до конца не доходит. Примерно через 2-3 секунды выскакивает сообщение "t8tfqrz6.exe - обнаружена ошибка. Приложение будет закрыто".

Если запустить из архива, то выскакивает "gmer.exe - обнаружена ошибка. Приложение будет закрыто".

Что делать, профессор? (((((
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,301
Реакции
13,321
Баллы
2,203

Alfar

Активный пользователь
Сообщения
24
Реакции
3
Баллы
393
Еще раз послать с уже корректным запросом?

Пришел ответ от робота:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

a2hooks32.dll

Файл в процессе обработки.

onxvrl.exe - Backdoor.Win32.Shiz.rc

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

С уважением, Лаборатория Касперского


На данный момент после выполнения скрипта Гугл стал открываться - почту за неделю наконец-то скачал, но Аваст так и не работает.
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,633
Баллы
593
удалите вручную
C:\WINDOWS\system32\fjhdyfhsn.bat

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
как подсказывает thyrex Подозрение на маскировку ключа реестра службы\драйвера "obvious"
от эмулятора дисков
 
Последнее редактирование:

Alfar

Активный пользователь
Сообщения
24
Реакции
3
Баллы
393
Откройте лог и скопируйте в блокнот и выложите в сообщение.
Готово!:)

Что делать с найденными инфицированными объектами? Удалять пока не буду, подожду Ваших указаний!
 

Вложения

Последнее редактирование:

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,633
Баллы
593
удаляйте все кроме C:\Documents and Settings\Арт.ALFAR\Рабочий стол\Инсталлеры - архивы\Denwer3_Base_PHP52_2010-03-18_a2.2.4_p5.2.12_zendoptimizer_m5.1.40_pma3.2.3.exe (Rogue.Installer)
далее Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
далее чкачайте и установите exlorer 8 даже если вы им и не пользуетесь,
повторите плиз логи AVZ и прошу лог RSIT
что с проблемой?
 

Alfar

Активный пользователь
Сообщения
24
Реакции
3
Баллы
393
что с проблемой?
Все сделал так, как Вы написали.

С Авастом все-таки творилось что-то странное - расклинить его я так и не смог. Снес Рево Анинсталлером его ко всем чертям, щас прогнал АВЗ и РСИТ, потом буду ставить Касперского. Интернет Секьюрити который.

Быстродействие компьютера существенно увеличилось - грузится моментально, реагирует на клики мгновенно:) Я уж и забыл когда он так работал:) Все сайты стали открываться :yess: Ошибок больше ни одна программа больше вроде не находит:)

Новые логи прикладываю.

Люди, что это было-то у меня все-таки? Можно как-то уберечься на будущее от таких напастей?
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,301
Реакции
13,321
Баллы
2,203
Symantec давно стоит?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\emfxp.dll','');
 QuarantineFile('C:\WINDOWS\system32\htelib.dll','');
 DeleteFile('C:\WINDOWS\system32\htelib.dll');
 DelBHO('{A5680ED5-1300-45C0-8956-BC1EEA2F2B7D}');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив необходимо загрузить при помощи этой формы:
1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина и нажмите "Далее".
4. Если размер карантина превышает 1,5 мб, то карантин отправьте по адресу [email protected]

Подготовьте расширенный лог Vba32 AntiRootkit.
 

Alfar

Активный пользователь
Сообщения
24
Реакции
3
Баллы
393
Symantec давно стоит?
Стоял раньше, где-то полгода назад. После него стоял Аваст, который я вчера снес.

А что, это от Симантека следы остались в системе, которые мешают жить?

Оказывается, это еще не конец...:(:(:( Делаю все описанное Вами.

Сделал.
 

Вложения

Последнее редактирование:

Alfar

Активный пользователь
Сообщения
24
Реакции
3
Баллы
393

akok

Команда форума
Администратор
Сообщения
19,301
Реакции
13,321
Баллы
2,203
делать.
 

akok

Команда форума
Администратор
Сообщения
19,301
Реакции
13,321
Баллы
2,203

Alfar

Активный пользователь
Сообщения
24
Реакции
3
Баллы
393
C:\WINDOWS\System32\Drivers\au2yhruv.SYS - проверьте на VT о результате сообщите.

Как самочувствие?
Прошу прощения, но такого файла не нашел не только в указанной директории, но и вообще на компьютере.

Самочувствие больного в норме!:) Рецидивов не наблюдается.

Огромное спасибо всем!!! На днях поддержу проект копеечкой - без этого сервиса не жить нам всем:):yess:
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,633
Баллы
593
Прошу прощения, но такого файла не нашел не только в указанной директории, но и вообще на компьютере.
все нормально.
На днях поддержу проект копеечкой - без этого сервиса не жить нам всем
будем очень благодарны))
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу