• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Подозрение на скрытую работу руткита.

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
И переустанавливать в любом случае не надо, совсем в крайнем случае там "руками" (думаю) не сложно всё будет восстановить в соседнем разделе.
 

Terrarian51

Новый пользователь
Сообщения
24
Реакции
0
Баллы
1
И переустанавливать в любом случае не надо
Здравствуйте! Спасибо за совет! :) Сейчас я наворотил бы делов...
Прикрепляю запрошенный Вами лог. Надеюсь, все разрешится наилучшим образом.
 

Вложения

Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
1) По этому логу уже не вижу проблем с файлом, поэтому просто почистим мусор.


  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.7 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    delref %Sys32%\DRIVERS\36185562.SYS
    delref %Sys32%\DRIVERS\91577717.SYS
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    apply
    
    regt 20
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
Подробнее читайте в этом руководстве.

2) На всякий случай всё-таки выполните проверку этим батником https://safezone.cc:443/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/

3) И для перепроверки ещё свежие логи Автологером сделайте.
 

Terrarian51

Новый пользователь
Сообщения
24
Реакции
0
Баллы
1
Сканирование утилитами завершил, прикрепляю логи.
Очень сильно смутили меня записи красного цвета в логах AVZ.
Хотелось бы знать, что это может значить.
1.png
 

Вложения

Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
>Хотелось бы знать, что это может значить.

Это абсолютно нормально, не стоит на это обращать внимание.

По логам у вас был повреждён ряд системных файлов, часть вроде восстановило из хранилища часть должно было попытаться восстановить после перезагрузки.
Для того чтобы проверить восстановлены все или нет, надо повторно запустить батник.

+ Вам надо твикнуть себе реестр (перенести с аналогичной системы) ключи
Код:
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
HKLM\SYSTEM\CurrentControlSet\Services\BITS
Поскольку это не имеет отношение к вирусам, то предлагаю создать отдельную тему в разделе https://safezone.cc:443/forums/microsoft-windows-7.126/
и продолжить восстановление системы там. В частности выложить там свежие логи работы батника.
И советую сразу запустить расширенное сканирование и восстановление (пункт 2 в начальном выборе).
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
+ имхо, подозрительно что столько файлов у вас не прошли проверку, если у вас не сборка, а оригинальный образ системы.
Так что к тому, что написал выше советую на всякий случай приложить SMART жёсткого диска, чтобы заодно проверить нет ли с ним проблем.
 

Terrarian51

Новый пользователь
Сообщения
24
Реакции
0
Баллы
1
Все понял, буду продолжать дальнейшую работу. Данную тему, полагаю, можно закрыть.
 
Сверху Снизу