• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Помогите пожалуйста полечит компьютер от вирусов.

Статус
В этой теме нельзя размещать новые ответы.

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Отключите компьютер от интернета, закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\giveio.sys','');
 QuarantineFile('C:\WINDOWS\system32\gloom.sys','');
 QuarantineFile('C:\WINDOWS\system32\4C.tmp','');
 DeleteFile('C:\WINDOWS\system32\4C.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте на quarantine<at>safezone.cc с указанной ссылкой на тему в теме сообщения. ([email protected]) с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
R3 - URLSearchHook: (no name) -  - (no file)
Прокси 127.0.0.1:59030 сами устанавливали? Если нет то пофиксите и эту строку в HJT:

Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:59030
Подготовьте повторный лог RSIT. И если получится MBAM.
 

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
Severnyj, сейчас идёт сканирование MBAM, так что пока выполнить скрипты не могу. А вот насчёт прокси, я его не ставил.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Если в настройках от провайдера такого нет, то фиксим, возможно поэтому интернета у Вас и нет.
 

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
Я модем сам устанавливал, все настройки устанавливались с диска из комплекта.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Тогда фиксите, если не поможет, повторите настройки модема.

Кстати, Ваш карантин так и не пришел, попробуйте отправить его еще раз с помощью этой формы
 

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
Кстати, Ваш карантин так и не пришел, попробуйте отправить его еще раз с помощью этой формы
Не получается, т.к. объём архива 12 метров, а там максимум можно загружать 8 метров, давайте залью архив на ExFile!!!???
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Удалите в MBAM:

Код:
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{8E8E8F8A-8FCC-88CE-BCB8-B8FD8E88888A} (Malware.Packer.Gen) -> No action taken.
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\PdmSoftware (Trojan.Ransom) -> No action taken.

Заражённые параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Заражённые папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.

Заражённые файлы:
c:\documents and settings\администратор\application data\archsoft\winzipt.exe (Trojan.FakeSMS) -> No action taken.
c:\documents and settings\администратор\local settings\application data\thinstall\Cache\Stubs\f3b5484cd345b8449f73e74638e18f581826a\recoverytoolboxforrar.exe (Trojan.Backdoor) -> No action taken.
c:\system volume information\_restore{4bf38cc4-07b3-433b-983f-3272f88e71fe}\RP259\A0482488.exe (Backdoor.Cycbot.Gen) -> No action taken.
c:\system volume information\_restore{4bf38cc4-07b3-433b-983f-3272f88e71fe}\RP259\A0482489.exe (Backdoor.Cycbot.Gen) -> No action taken.
c:\WINDOWS\system32\CDClose.dll (Malware.Packer.Gen) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
Остальные игрушки и кейгены на Ваше усмотрение.

Что с проблемами?

Добавлено через 52 секунды
Не получается, т.к. объём архива 12 метров, а там максимум можно загружать 8 метров, давайте залью архив на ExFile!!!???
Хорошо. Только ссылку в личку.
 
Последнее редактирование:

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
Я вам скинул в ЛС ссылку на архив карантина, только он теперь почему то весит меньше.
Вот логи с RSIT:

А логи MBAM обязательно, а то сканирование будет длится около часа.
Карантин я уже делал по скриту из поста № 21, и вот он почему то и стал весить меньше.
 

Вложения

  • 24.7 KB Просмотры: 0
  • 38.3 KB Просмотры: 2
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
А логи MBAM обязательно, а то сканирование будет длится около часа.
А Вы удалили все, что было предписано?
 

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
Да я полностью выполнил как предписано было в посте № 21 и № 28!!!
В принципе всё теперь работает, но огнелис долговато загружается, а так всё, и на один сайт не заходит, но я думаю у них просто проблемы с самим сайтом.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Вы имеете ввиду у провайдера, завтра проверьте отпишитесь, а пока:

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивируса (обновлять антивирусные базы и модули).

- установите все последние обновления для Microsoft Office
- обновите до последней версии Java
- обновите до последней версии Adobe Reader


Не прочитал внимательно, что на один, думал: ни на один, а давайте ссылку сейчас и проверю
 
Последнее редактирование:

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
Вы имеете ввиду у провайдера, завтра проверьте отпишитесь, а пока:
нет, я не могу зайти на сайт http://pchelpforum.ru , может меня там заблокировали по IP за рассылку спама к примеру, ну компьютер же был заражён, а может и просто у них сайт недоступен.
рекомендуется использовать Firefox c плагином NoScript
у меня как раз и стоит огнелис, но вот как установить NoScript я не знаю, можете подсказать???
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
нет, я не могу зайти на сайт http://pchelpforum.ru , может меня там заблокировали по IP за рассылку спама к примеру, ну компьютер же был заражён, а может и просто у них сайт недоступен.
У меня он тоже недоступен, кстати из-за того, что мы потеряли карантин, отправить аналитиком его не удалось, поэтому смените на всякий случай все важные пароли ICQ, e-mail, учетные записи на сайтах итп.

У меня к сожалению Опера, но подсказать подскажу, заходите на эту страницу и устанавливаете, после чего у Вас в нижнем правом углу Firefox появится маленький значок.
Теперь скрипты будут блокироваться, если страница будет отображаться неправильно или не все ее функции будут доступны, щелкаете по этому значку и временно или постоянно разрешаете скрипты на этой странице, а если правильно, то и щелкать не надо.
 

FreddikMerfi

Активный пользователь
Сообщения
91
Реакции
41
Баллы
408
Severnyj, Благодарю очень за помощь.
заходите на эту страницу и устанавливаете, после чего у Вас в нижнем правом углу Firefox появится маленький значок
всё сделал, спасибо большое.
Тему можно отметить как ,,Решено,,
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Спокойной ночи, привет Текстильному краю:)
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу