• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена опять вирус

Статус
В этой теме нельзя размещать новые ответы.

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,310
Реакции
4,778
Баллы
753
я закрыла и открыла реестр, значение юзеринит опять

Код:
C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\122c6391.exe,C:\WINDOWS\system32\kchvjt.exe,
имеет ли смысл перегружаться?
 
M

MotherBoard

Код:
C:\WINDOWS\system32\122c6391.exe,
C:\WINDOWS\system32\kchvjt.exe,
вы их удалили из папки систем32?
При редактировании сохраняли значения параметра на ОК?
Пробуйте скачать какую-нибудь из утилит - получится?
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,310
Реакции
4,778
Баллы
753
удалила, ок нажимала), скачала утилиту,но она при запуске сразу закрывается

кстати.. при измененном значении на C:\WINDOWS\System32\userinit.exe, я нажимаю на параметр юзеринит пкм "изменить" а там
Код:
C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\122c6391.exe,C:\WINDOWS\system32\kchvjt.exe,
это нормально? получается, не запоминает изменения реестр
 
Последнее редактирование:

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,310
Реакции
4,778
Баллы
753
Gmer пошел, выложу лог,как закончит проверку
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,310
Реакции
4,778
Баллы
753
Комбофикс скачать не получилось
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,633
Баллы
593
хм странно, вообще ни по одной ссылке при поиске в сети??
нажмите пуск выполнить в обзоре найдите AVZ выберете его, далее в строке допишите или скопируйте вставьте (через пробел) AM=Y и нажмите ок, так должно запуститься, дальше по инструкции, обновить сделать логи, не сможете обновить делайте лог пока так..
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\122c6391.exe','');
 QuarantineFile('c:\windows\system32\kchvjt.exe','');
 DeleteFile('c:\windows\system32\122c6391.exe');
 DeleteFile('c:\windows\system32\kchvjt.exe');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы.

Повторите логи.
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,310
Реакции
4,778
Баллы
753
архив карантина отослан
новые логи

У меня вопрос о мазиле. При запуске она загружает последние посещаемые страницы. Боюсь запускать, опять подцеплю эту заразу. чем почистить?
 

Вложения

Последнее редактирование:

icotonev

Ассоциация VN
Сообщения
1,426
Реакции
1,156
Баллы
553
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('BT',2,2,true);
ExecuteWizard('PRT',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
+

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,310
Реакции
4,778
Баллы
753
лог комбофикса
 

Вложения

icotonev

Ассоциация VN
Сообщения
1,426
Реакции
1,156
Баллы
553
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KILLALL::
Fcopy::
c:\windows\system32\dllcache\tcpip.sys | c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\dllcache\tcpip.sys | c:\windows\SoftwareDistribution\Download\e6ee13bab691afad01f3e7fa891e3f3d\tcpip.sys
c:\windows\$hf_mig$\KB975467\SP2QFE\netlogon.dll | c:\windows\system32\netlogon.dll
c:\windows\$hf_mig$\KB975467\SP2QFE\netlogon.dll | c:\windows\system32\dllcache\netlogon.dll
c:\windows\$hf_mig$\KB975467\SP2QFE\netlogon.dll | c:\windows\SoftwareDistribution\Download\e6ee13bab691afad01f3e7fa891e3f3d\netlogon.dll
File::
c:\windows\system32\e9c6955b.exe
c:\program files\Common Files\jqyrg4inedzz13m
c:\windows\ssystda.dat
Folder::
c:\program files\Common Files\4b8ef05
Fixcset::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Заархивируйте папку Quarantine - C:\Qoobox\Quarantine и укажите пароль - virus, отошлите на почту - [email protected]

Что происходит сейчас с вашими проблемами...?

Добавлено через 36 минут 28 секунд
И другое дело:
Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена....Установите SP3 (может потребоваться активация) + все новые обновления
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,310
Реакции
4,778
Баллы
753
карантин отправила.
Мазила запустилась с новой сессии, работает великолепно).

Спасибо огромное всем, кто помогал лечению :). Еще раз убеждаюсь в актуальности ресурса и мастерстве команды. Огромное спасибо еще раз от нас с компом :)
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и отправьте на quarantine<at>safezone.cc с указанием ссылки на тему в поле заголовка(теме) сообщения.. ([email protected])

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Добавлено через 3 часа 1 минуту 6 секунд
В карантине:
e9c6955b.exe - BackDoor.Siggen.26751 (Backdoor.Win32.Shiz.ace)

Остальное в процессе анализа.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу