• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Поймал вирус

Статус
В этой теме нельзя размещать новые ответы.

Dimitri

Активный пользователь
Сообщения
191
Реакции
8
Баллы
398
Кликнул по вложению в письме ( архив файл MS Dos ) , а в письме было , что у меня якобы задолженность. Вcе данные мои были верны даже город и улица и сайт с которого я компьютер покупал 3 года назад. Теперь в процессах процесс хост грузит процессор сильно 80% нагрузка и более, проверка Zemana Anti Malware доходит до 99% и дальше не идет
 

Вложения

  • CollectionLog-2016.03.08-14.15.zip
    102.8 KB · Просмотры: 3
  • Screenshot_1.png
    Screenshot_1.png
    17.1 KB · Просмотры: 20
  • Screenshot_2.png
    Screenshot_2.png
    14.3 KB · Просмотры: 21
Последнее редактирование:

Dimitri

Активный пользователь
Сообщения
191
Реакции
8
Баллы
398
удалил
 

Вложения

  • Screenshot_3.png
    Screenshot_3.png
    9.7 KB · Просмотры: 20

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
480
Баллы
543
Dimitri, не торопитесь, это еще далеко не все что есть вредоносное.

Следующее ПО вам знакомо, сами устанавливали?
Код:
TAP-Windows 9.9.2
Ace Stream Media 3.1.2
Driver Booster 3.2
OCR Software by I.R.I.S. 14.0


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
 QuarantineFileF('C:\ProgramData\ish', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
 QuarantineFileF('C:\Users\AMD\AppData\Roaming\gravity-9', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\framers-42', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
 QuarantineFileF('C:\Users\AMD\AppData\Roaming\snubber-0', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\booster-6', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
 DeleteFileMask('C:\Users\AMD\AppData\Roaming\gravity-9', '*', true);
 DeleteFileMask('C:\ProgramData\framers-42', '*', true);
 DeleteFileMask('C:\Users\AMD\AppData\Roaming\snubber-0', '*', true);
 DeleteFileMask('C:\ProgramData\booster-6', '*', true);
 DeleteDirectory('C:\Users\AMD\AppData\Roaming\gravity-9');
 DeleteDirectory('C:\ProgramData\framers-42');
 DeleteDirectory('C:\Users\AMD\AppData\Roaming\snubber-0');
 DeleteDirectory('C:\ProgramData\booster-6');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Dimitri

Активный пользователь
Сообщения
191
Реакции
8
Баллы
398
TAP-Windows 9.9.2
Ace Stream Media 3.1.2
Driver Booster 3.2
OCR Software by I.R.I.S. 14.0

Да, эти программы я устанавливал , залил в облако mail ru Файл из Облака Mail.Ru ( rghost максимум 100 мб, с остальными тремя не получилось)
 

Вложения

  • AdwCleaner[S2].txt
    5.3 KB · Просмотры: 3
  • CollectionLog-2016.03.08-16.48.zip
    111.6 KB · Просмотры: 2

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
480
Баллы
543
Выполните скрипт в AVZ

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFileF('C:\Users\AMD\AppData\Roaming\ycbcr-1', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFileMask('C:\Users\AMD\AppData\Roaming\ycbcr-1','*', true);
DeleteDirectory('C:\Users\AMD\AppData\Roaming\ycbcr-1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','ycbcr-8');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - BHO: (no name) - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - (no file)
O3 - Toolbar: (no name) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - (no file)
O4 - HKCU\..\RunOnce: [ycbcr-8] C:\Users\AMD\AppData\Roaming\ycbcr-1\ycbcr-75.exe
O9 - Extra button: (no name) - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)
O18 - Protocol: gmx - {8FAF0273-9CA8-4EFC-9536-1E35E254D5CD} - (no file)

сделайте повторные логи по правилам.
 

Dimitri

Активный пользователь
Сообщения
191
Реакции
8
Баллы
398

Вложения

  • CollectionLog-2016.03.08-21.59.zip
    121.1 KB · Просмотры: 4

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
480
Баллы
543
Dimitri, приложение cyberghost 5 и hotspot shield вам знакомо?

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 

Dimitri

Активный пользователь
Сообщения
191
Реакции
8
Баллы
398

Вложения

  • mbam-log-2016-03-09 (16-54-54).txt
    2.1 KB · Просмотры: 4

Dimitri

Активный пользователь
Сообщения
191
Реакции
8
Баллы
398
KIS молчал 2 дня , а сегодня закричал что угроза обнаружена с помощью KSN . Удалить в Kis угрозу или ничего не предпринимать?
 

Вложения

  • Screenshot_1.png
    Screenshot_1.png
    57.8 KB · Просмотры: 13

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,705
Реакции
5,995
Баллы
1,008
1) MBAM деинсталируйте.

2)
Удалить в Kis угрозу или ничего не предпринимать?
А вам эта папка (программма) знакома?

Указанный файл пришлите в карантин по этой инструкции.

3)
Код:
Ace Stream Media 3.1.2 [2016/02/16 19:43:54]-->C:\Users\AMD\AppData\Roaming\ACEStream\Uninstall.exe
Советую деинсталируйте и после этого свежий лог AdwCleaner-а.
Код:
Driver Booster 3.2 [20160222]-->"C:\Program Files (x86)\IObit\Driver Booster\unins000.exe"
также деинсталируйте.
 

Dimitri

Активный пользователь
Сообщения
191
Реакции
8
Баллы
398
А вам эта папка (программма) знакома?
нет, не знакома . Добавить в карантин не получилось, может есть какой другой способ заархивировать? Выполнил еще проверку в Zemana , скриншот прилагаю
 

Вложения

  • Screenshot_2.png
    Screenshot_2.png
    45.1 KB · Просмотры: 13
  • Screenshot_3.png
    Screenshot_3.png
    17.6 KB · Просмотры: 12
  • Screenshot_4.png
    Screenshot_4.png
    13.8 KB · Просмотры: 13
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,705
Реакции
5,995
Баллы
1,008
Добавить в карантин не получилось
Потому что антивирус вы не отключали.
В ЛС файл получил. Удаляйте его вместе с папкой и он похоже при каждом запуске прописывается в новую папку. Посмотрите там рядом других подобых незнакомых папок нет?
 

Dimitri

Активный пользователь
Сообщения
191
Реакции
8
Баллы
398
да , были еще в папках Programm Data и AppData
он похоже при каждом запуске прописывается в новую папку
ВЫ правы, перезагрузил компп и в папке Programm Data снова был doublers-30
 

Вложения

  • AdwCleaner[S5].txt
    2.4 KB · Просмотры: 1
Последнее редактирование:

Dimitri

Активный пользователь
Сообщения
191
Реакции
8
Баллы
398
Проблема уже решена?
 

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
480
Баллы
543
Проблема уже решена?
нет, не решена.

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 

Dimitri

Активный пользователь
Сообщения
191
Реакции
8
Баллы
398
сделано
 

Вложения

  • WINCTRL-HO6OQ0K_2016-03-11_17-42-29.7z
    672.9 KB · Просмотры: 3

Dimitri

Активный пользователь
Сообщения
191
Реакции
8
Баллы
398
Хелперы вы где?
 

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
480
Баллы
543
Dimitri, все здесь. Наберитесь терпения.
Dimitri,
  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  8. Подробную инструкцию читайте в руководстве.
 

Dimitri

Активный пользователь
Сообщения
191
Реакции
8
Баллы
398
Выполнил, эмуляцию дисков включить обратно ?
 

Вложения

  • Log.log
    9.2 KB · Просмотры: 6

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
480
Баллы
543
Dimitri, соберите пожалуйста еще раз логи автологером.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу