• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Подхватил майнер, помогите оч срочно

Статус
В этой теме нельзя размещать новые ответы.

X_DIM

Пользователь
Сообщения
37
Реакции
2
Баллы
18
ОЧень срочно, прошу помогите. Комп виснет, проц грузит на 100%. Пытаюсь скачать АВЗ, закрывается
Post automatically merged:

Скачал программку небольшую, название не помню, я ее удалил сразу. После установки весь рабочий стол был засыпан ярлыками онлайн игр. В ютубе куча рекламы появилось, особенно про эл.валюту. Ну Dr Web CureIt почистил (обычно он помогал, если хватал вирусы). Реклама пропала, ярлыки убрались. Но вот остальное это писец. Почитал надо через АВЗ, пытаюсь скачать и закрываются страницы, папки, страницы поиска на ПК, везде где пишу АВЗ
 
Последнее редактирование:

X_DIM

Пользователь
Сообщения
37
Реакции
2
Баллы
18
Здравствуйте!

Автологер тоже не запускается?
Правила оформления запроса о помощи
Не пробовал, но если запустится, что нужно делать???
Post automatically merged:

Запустил, как закончится сканирование прикреплю логи
Post automatically merged:

Вот лог
 

Вложения

Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\iostream.exe');
 TerminateProcessByName('c:\programdata\microsoftcare.exe');
 TerminateProcessByName('c:\programdata\microsoftclip.exe');
 StopService('keeugpjr');
 QuarantineFile('C:\ProgramData\{AGOI9H86-ZGNB-AGOI-G4K14M2ZR9I9}\CP8Z9ZN3.vbs', '');
 QuarantineFile('c:\programdata\iostream.exe', '');
 QuarantineFile('c:\programdata\microsoftcare.exe', '');
 QuarantineFile('c:\programdata\microsoftclip.exe', '');
 QuarantineFile('C:\ProgramData\TaskbarWindows\winstar.exe', '');
 QuarantineFile('C:\Users\X_DIM\AppData\Local\Optimizer\real.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\qnwaeqsb.sys', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{38C4833E-9AD5-3D57-8E2B-E35E434F3A60}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{784A515F-D929-9D86-DCE0-1B1889087AA1}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "JG2PQ80HVFN4EGNM3C" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Root\UpdateSystem" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "QuickLaunch" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Starter" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows\SystemCare\Microsoft" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsRecoveryCleaner" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\{AGOI9H86-ZGNB-AGOI-G4K14M2ZR9I9}\CP8Z9ZN3.vbs', '');
 DeleteFile('c:\programdata\iostream.exe', '');
 DeleteFile('c:\programdata\microsoftcare.exe', '');
 DeleteFile('c:\programdata\microsoftclip.exe', '');
 DeleteFile('C:\ProgramData\TaskbarWindows\winstar.exe', '32');
 DeleteFile('C:\Users\X_DIM\AppData\Local\Optimizer\real.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\qnwaeqsb.sys', '32');
 DeleteService('keeugpjr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'real.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(16);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Продолжайте.
 

X_DIM

Пользователь
Сообщения
37
Реакции
2
Баллы
18
Запускал АВЗ из архива, так понимаю архив карантина никуда не сохранился))) А лог сейчас скину
Post automatically merged:

Вот лог. Напишите пожалуйста, что еще нужно делать
 

Вложения

Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
архив карантина никуда не сохранился
Здесь смотрели?
C:\Users\X_DIM\Downloads\AutoLogger\AutoLogger\AVZ\
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
18,917
Реакции
14,008
Баллы
2,203
++++ После лечения обязательно смените все важные пароли.

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробную инструкцию читайте в руководстве.
 

X_DIM

Пользователь
Сообщения
37
Реакции
2
Баллы
18
Здесь смотрели?



Нету здесь)))
Post automatically merged:


Post automatically merged:


Post automatically merged:

Вот полные
Post automatically merged:

А пароли вообще везде сменить? или только на ПК? Или соцсети и прочие сайты тоже?
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,917
Реакции
14,008
Баллы
2,203
А пароли вообще везде сменить? или только на ПК? Или соцсети и прочие сайты тоже?
Везде где заходили или были залогинены во время заражения. Gmer еще нужен
 

X_DIM

Пользователь
Сообщения
37
Реакции
2
Баллы
18
Ставлю GMER на проверку, и вырубает с синим экраном
Post automatically merged:

Вот утром, браузер перезагрузился и открыл ссылку
https://durington.info/?tag_id=7153...p=blank&tb=redirect&allb=redirect&ob=redirect
Post automatically merged:

Да, и посоветуйте антивир норм, чтоб не сильно нагружал, и норм сканировал
 
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
1. Отключите синхронизацию в Chrome, (если включена).
2. Сделайте Сброс настроек браузера Chrome.
3. Сохраните нужные закладки и удалите браузер - Как удалить Google Chrome
Убедитесь, что удалена папка
C:\Users\X_DIM\AppData\Local\Google\Chrome\
4. Пока не устанавливайте заново и соберите свежие логи FRST.txt и Addition.txt

браузер перезагрузился и открыл ссылку
Какой это был браузер?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Ясно, продолжайте.
 

X_DIM

Пользователь
Сообщения
37
Реакции
2
Баллы
18
Браузер удалил. Файлы прикрепил
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,917
Реакции
14,008
Баллы
2,203
Ставлю GMER на проверку, и вырубает с синим экраном
Не хорошо, тогда сменим инструмент ибо есть подозрение на руткит
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 

akok

Команда форума
Администратор
Сообщения
18,917
Реакции
14,008
Баллы
2,203
Как и подозревал Rootkit.Win64.Agent.bbm
Запускайте сканирование заново и удаляйте найденное.

После удаления подготовьте свежий лог автологера будем удалять заразу со снятой защитой.
 

akok

Команда форума
Администратор
Сообщения
18,917
Реакции
14,008
Баллы
2,203
  1. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine.
  2. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу