• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена опять вирус

Статус
В этой теме нельзя размещать новые ответы.

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,295
Реакции
4,769
Баллы
753
я закрыла и открыла реестр, значение юзеринит опять

Код:
C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\122c6391.exe,C:\WINDOWS\system32\kchvjt.exe,

имеет ли смысл перегружаться?
 
M

MotherBoard

Код:
C:\WINDOWS\system32\122c6391.exe,
C:\WINDOWS\system32\kchvjt.exe,
вы их удалили из папки систем32?
При редактировании сохраняли значения параметра на ОК?
Пробуйте скачать какую-нибудь из утилит - получится?
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,295
Реакции
4,769
Баллы
753
удалила, ок нажимала), скачала утилиту,но она при запуске сразу закрывается

кстати.. при измененном значении на C:\WINDOWS\System32\userinit.exe, я нажимаю на параметр юзеринит пкм "изменить" а там
Код:
C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\122c6391.exe,C:\WINDOWS\system32\kchvjt.exe,
это нормально? получается, не запоминает изменения реестр
 
Последнее редактирование:

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,295
Реакции
4,769
Баллы
753
Gmer пошел, выложу лог,как закончит проверку
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,295
Реакции
4,769
Баллы
753
Комбофикс скачать не получилось
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,600
Реакции
1,634
Баллы
593
хм странно, вообще ни по одной ссылке при поиске в сети??
нажмите пуск выполнить в обзоре найдите AVZ выберете его, далее в строке допишите или скопируйте вставьте (через пробел) AM=Y и нажмите ок, так должно запуститься, дальше по инструкции, обновить сделать логи, не сможете обновить делайте лог пока так..
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,295
Реакции
4,769
Баллы
753
логи
 

Вложения

  • hijackthis1.txt
    10.3 KB · Просмотры: 4
  • virusinfo_syscheck.zip
    25.6 KB · Просмотры: 2
  • virusinfo_syscure.zip
    33.2 KB · Просмотры: 2
  • gmer1.log
    162.5 KB · Просмотры: 6

akok

Команда форума
Администратор
Сообщения
19,945
Реакции
13,635
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\122c6391.exe','');
 QuarantineFile('c:\windows\system32\kchvjt.exe','');
 DeleteFile('c:\windows\system32\122c6391.exe');
 DeleteFile('c:\windows\system32\kchvjt.exe');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы.

Повторите логи.
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,295
Реакции
4,769
Баллы
753
архив карантина отослан
новые логи

У меня вопрос о мазиле. При запуске она загружает последние посещаемые страницы. Боюсь запускать, опять подцеплю эту заразу. чем почистить?
 

Вложения

  • virusinfo_syscheck.zip
    25.4 KB · Просмотры: 1
  • virusinfo_syscure.zip
    25.5 KB · Просмотры: 2
Последнее редактирование:

icotonev

Ассоциация VN
Сообщения
1,435
Реакции
1,163
Баллы
553
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('BT',2,2,true);
ExecuteWizard('PRT',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

+

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,295
Реакции
4,769
Баллы
753
лог комбофикса
 

Вложения

  • комбо.лог.txt
    33.2 KB · Просмотры: 3

icotonev

Ассоциация VN
Сообщения
1,435
Реакции
1,163
Баллы
553
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KILLALL::
Fcopy::
c:\windows\system32\dllcache\tcpip.sys | c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\dllcache\tcpip.sys | c:\windows\SoftwareDistribution\Download\e6ee13bab691afad01f3e7fa891e3f3d\tcpip.sys
c:\windows\$hf_mig$\KB975467\SP2QFE\netlogon.dll | c:\windows\system32\netlogon.dll
c:\windows\$hf_mig$\KB975467\SP2QFE\netlogon.dll | c:\windows\system32\dllcache\netlogon.dll
c:\windows\$hf_mig$\KB975467\SP2QFE\netlogon.dll | c:\windows\SoftwareDistribution\Download\e6ee13bab691afad01f3e7fa891e3f3d\netlogon.dll
File::
c:\windows\system32\e9c6955b.exe
c:\program files\Common Files\jqyrg4inedzz13m
c:\windows\ssystda.dat
Folder::
c:\program files\Common Files\4b8ef05
Fixcset::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Заархивируйте папку Quarantine - C:\Qoobox\Quarantine и укажите пароль - virus, отошлите на почту - mytonev@gmail.com

Что происходит сейчас с вашими проблемами...?

Добавлено через 36 минут 28 секунд
И другое дело:
Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена....Установите SP3 (может потребоваться активация) + все новые обновления
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,295
Реакции
4,769
Баллы
753
карантин отправила.
Мазила запустилась с новой сессии, работает великолепно).

Спасибо огромное всем, кто помогал лечению :). Еще раз убеждаюсь в актуальности ресурса и мастерстве команды. Огромное спасибо еще раз от нас с компом :)
 

Вложения

  • комбо1.txt
    33.7 KB · Просмотры: 1
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,945
Реакции
13,635
Баллы
2,203
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и отправьте на quarantine<at>safezone.cc с указанием ссылки на тему в поле заголовка(теме) сообщения.. (at=@)

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Добавлено через 3 часа 1 минуту 6 секунд
В карантине:
e9c6955b.exe - BackDoor.Siggen.26751 (Backdoor.Win32.Shiz.ace)

Остальное в процессе анализа.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу