• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Помогите пожалуйста полечит компьютер от вирусов.

Статус
В этой теме нельзя размещать новые ответы.

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
Проблема заключается в следующем, не заходит на некоторые сайты и не качает с торрента.
Вот собственно лог AVZ:
 

Вложения

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
P.S. просьба не удалять файл System Observer, т.к. он является проверенным, это утилита заменяющая стандартный диспетчер задач. Да и ещё это всё получилось после того как на комп попал банер на рабочий стол.
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Смотрю логи скоро отвечу.

Добавлено через 17 минут 26 секунд
Очистите и создайте новую контрольную точку восстановления.
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли

Отключите компьютер от интернета, закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\Администратор\application data\dwm.exe');
 TerminateProcessByName('c:\windows\temp\csrss.exe');
 TerminateProcessByName('c:\documents and settings\Администратор\application data\microsoft\conhost.exe');
 TerminateProcessByName('c:\documents and settings\Администратор\local settings\application data\{f1a97ee8-a5ba-7b85-4cac-4088e26b0f7e}\.exe');
 QuarantineFile('C:\WINDOWS\Temp\KB5246794328.exe','');
 QuarantineFile('C:\WINDOWS\Temp\Bases-09_Russia_Setup-p.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\klmd.sys','');
 QuarantineFile('C:\WINDOWS\system32\GameMon.des','');
 QuarantineFile('c:\documents and settings\Администратор\application data\dwm.exe','');
 QuarantineFile('c:\windows\temp\csrss.exe','');
 QuarantineFile('c:\documents and settings\Администратор\application data\microsoft\conhost.exe','');
 QuarantineFile('c:\documents and settings\Администратор\local settings\application data\{f1a97ee8-a5ba-7b85-4cac-4088e26b0f7e}\.exe','');
 DeleteFile('c:\documents and settings\Администратор\local settings\application data\{f1a97ee8-a5ba-7b85-4cac-4088e26b0f7e}\.exe');
 DeleteFile('c:\documents and settings\Администратор\application data\dwm.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\conhost.exe');
 DeleteFile('C:\WINDOWS\Temp\KB5246794328.exe');
 DeleteFile('C:\WINDOWS\Temp\csrss.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','conhost');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Explorer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте на quarantine<at>safezone.cc с указанной ссылкой на тему в теме сообщения. ([email protected]) с указанием пароля: virus в теле письма.

После выполнения скриптов сделайте новые логи по правилам.

А также:
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
Severnyj и Arbitr логи и всё остальное сделаю завтра, а то сегодня не получается, много работы.
 

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
После выполнения первого скрипта, вообще ни на один сайт не выходит, даже на Яндекс.
Полученный архив отправьте на quarantine<at>safezone.cc с указанной ссылкой на тему в теме сообщения. ([email protected]) с указанием пароля: virus в теле письма.
не понял на какой адрес загрузить карантин.
новые логи будут чуть позднее.
 

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
Да я понял что вместо <at> надо поставить @, но просто хотел уточнить, это как бы адрес ,,электронки,, и туда надо письмо отправить с архивом и паролем.
И почему у меня теперь после выполнения первого скрипта не выходит ни на одну страницу???
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Да это адрес эл почты, в теме письма, укажите ссылку на эту тему, а в теле письма укажите пароль на архив: virus.

По поводу второго вопроса, готовьте логи, посмотрим. Без логов мы не телепаты :)
 

goredey

Ассоциация VN
Сообщения
438
Реакции
253
Баллы
453
FreddikMerfi, выполните повторные логи АВЗ и РСИТ
+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
А как поставить пароль на ахив???
Да, кстати MBAM не запускается, выдаёт ошибку ,,Runtime Error 0,,
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Если делали архив скриптом, пароль поставится автоматически
 

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
Делал то я его скриптом, приведённым в посте №3, но я его легко могу открыть и посмотреть файлы, и никакого пароля не нужно.
 

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
Просьба не удалять вот это: "C:\Program Files\System Observer\SO.exe"
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Да, кстати MBAM не запускается, выдаёт ошибку ,,Runtime Error 0,,
Скопируйте следующий текст в Блокнот, сохраните как MBAM Fix.bat и запустите (В Windows Vista/7 запускать от имени администратора), затем попробуйте запустить MBAM:

Код:
if exist "%programfiles(x86)%" regsvr32 "%programfiles(x86)%\Malwarebytes' Anti-Malware\mbamext.dll"
if exist "%programfiles(x86)%" regsvr32 "%programfiles(x86)%\Malwarebytes' Anti-Malware\ssubtmr6.dll"
if exist "%programfiles(x86)%" regsvr32 "%programfiles(x86)%\Malwarebytes' Anti-Malware\vbalsgrid6.ocx"
if not exist "%programfiles(x86)%" regsvr32 "%programfiles%\Malwarebytes' Anti-Malware\mbamext.dll"
if not exist "%programfiles(x86)%" regsvr32 "%programfiles%\Malwarebytes' Anti-Malware\ssubtmr6.dll"
if not exist "%programfiles(x86)%" regsvr32 "%programfiles%\Malwarebytes' Anti-Malware\vbalsgrid6.ocx"
Добавлено через 56 секунд
Просьба не удалять вот это: "C:\Program Files\System Observer\SO.exe"
Первый раз не удалили второй тоже не тронем, логи RSIT где?
 

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
MBAM выдаёт тоже самое 0 и 440 ошибку.
а как узнать к какой мне системе скачивать утилиту, на 32 или 64 бита???
Так архив то карантина отсылать на ,,электронку,,???
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
32 bit, пароль не ставьте, с MBAM потом разберемся.
 

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
Карантин отослал по ,,электронке,,.
Вот логи RSIT:
 

Вложения

  • 25.1 KB Просмотры: 0
  • 38.9 KB Просмотры: 2

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
MBAM восстановил, не хватало файла Regsvr32.exe. Сча буду делать сканирование!!!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу