• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Помогите удалить вирус

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Сообщения
17,945
Реакции
13,560
Баллы
2,203
+++ опишите проблему более подробно.
 

crashdonbass

Пользователь
Сообщения
38
Реакции
0
Баллы
16
Лог устаревшей версией автологера сделали.

Нужно http://tools.safezone.cc/drongo/test/AutoLogger-test.zip
Компьютер сам перезагрузился, в некоторых папках появились файлы INSTRUCTIONS.txt с текстом Зашифрованы файлы? Пишите: helloamigo123@meta.ua Ваш ПИН: 70, но файлы не зашифрованы, стал очень сильно тормозить
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,945
Реакции
13,560
Баллы
2,203
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O18 - HKLM\Software\Classes\Protocols\Handler\livecall: [CLSID] = {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\msnim: [CLSID] = {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\wlmailhtml: [CLSID] = {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\wlpg: [CLSID] = {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
И нужна информация о проблеме, подробнее, пожалуйста.
 

crashdonbass

Пользователь
Сообщения
38
Реакции
0
Баллы
16
Я понимаю, что сидит где-то вирус, Компьютер сам перезагрузился, в некоторых папках появились файлы INSTRUCTIONS.txt с текстом Зашифрованы файлы? Пишите: helloamigo123@meta.ua Ваш ПИН: 70, но файлы не зашифрованы, стал очень сильно тормозить
 

akok

Команда форума
Администратор
Сообщения
17,945
Реакции
13,560
Баллы
2,203
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,945
Реакции
13,560
Баллы
2,203
nnCron - сами устанавливали? Проверьте его задания.

Проверьте список пользователей, нет ли лишних... да и столько администраторов держать опасно. Смените пароли на RDP

Гость (S-1-5-21-1055126058-2625621225-1404315571-501 - Limited - Enabled) - ваше?

C:\Program Files (x86)\1cv8.rar - сами паковали?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-1055126058-2625621225-1404315571-1000\...\MountPoints2: {e73e25f5-61a7-11e4-b6e6-1c75086d5b3f} - 
    HKU\S-1-5-21-1055126058-2625621225-1404315571-1003\...\MountPoints2: {e73e25f5-61a7-11e4-b6e6-1c75086d5b3f} - H:\SISetup.exe
    ContextMenuHandlers1: [FineReader12ContextMenu] -> {55344AC6-630B-430C-B292-C7BE21F90061} =>  -> No File
    ContextMenuHandlers1: [MRACMenu] -> [CC]{B495CAFE-D53F-408B-A081-0814BE80EB3E} =>  -> No File
    ContextMenuHandlers6: [FineReader12ContextMenu] -> {55344AC6-630B-430C-B292-C7BE21F90061} =>  -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 

crashdonbass

Пользователь
Сообщения
38
Реакции
0
Баллы
16
nnCron - я не знаю что это такое

список пользователей как проверить? должен быть доступ у 2 пользователей, которые подключается к моему компу из других городов

Гость (S-1-5-21-1055126058-2625621225-1404315571-501 - Limited - Enabled) - ваше? наверно не наше

C:\Program Files (x86)\1cv8.rar - сами паковали? да
 

akok

Команда форума
Администратор
Сообщения
17,945
Реакции
13,560
Баллы
2,203
По идее это сторонний планировщик заданий. Посмотрите, есть ли пуск => все программы, запустите и посмотрите какие задания там запланированы..... или просто удалите программу, если не сами ставили.
 

akok

Команда форума
Администратор
Сообщения
17,945
Реакции
13,560
Баллы
2,203
Жду оставшееся из 11 поста
 

akok

Команда форума
Администратор
Сообщения
17,945
Реакции
13,560
Баллы
2,203
В логах больше ничего интересного. Займитесь паролями и пользователями
Подготовьте лог SecurityCheck by glax24
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу