• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена После autorun.inf проверьте логи пожалуйста

Статус
В этой теме нельзя размещать новые ответы.

Rins

Активный пользователь
Сообщения
364
Реакции
40
Баллы
408
Здравствуйте.
Посмотрите пожалуйста лог.
 

Вложения

  • virusinfo_syscheck.zip
    26.8 KB · Просмотры: 2
  • virusinfo_syscure.zip
    24.5 KB · Просмотры: 2

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую Rins, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Rins, а где логи Rsit?

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Diman\Application Data\rmhzb.exe','');
 QuarantineFile('C:\Documents and Settings\Diman\Application Data\Zmwewd.exe','');
 DeleteFile('C:\Documents and Settings\Diman\Application Data\Zmwewd.exe');
 DeleteFile('C:\Documents and Settings\Diman\Application Data\rmhzb.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zmwewd');
 RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(11);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

У вас установлен МВАМ, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Повторите AVZ - стандартный скрипт №2, сделайте логи Rsit и прикрепите их к сообщению.

Поисковик Ask.com используете?
 
Последнее редактирование:

Rins

Активный пользователь
Сообщения
364
Реакции
40
Баллы
408
Здравствуйте!
Rins, а где логи Rsit?
А мы Rsit еще не проходили. (шутка)
Спасибо!
С диспетчером задач все окей.
Стоит надстройка интерфейса со свистелками и перделками.
MBAM выдал по нолям. avz точно такой же лог выдает.


..
Доступа к системе пока нет.
Меры можно принимать только через флешку с bat для запуска через командную строку из него утилит лечения (с запуском через avz_script.txt).

ик Ask.com используете?
Естественно нет.

Добавлено через 16 минут 3 секунды
Кстати это оттуда же
Код:
C:\WINDOWS\system32\cleanmgr.exe /D %c
Скрипт: Kарантин, Удалить, Удалить через BC	--	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\cleanuppath,
Можно пояснить, что это за ключь?
 
Последнее редактирование модератором:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Можно пояснить, что это за ключь?
Ключ запуска очистки диска D.
Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Diman\Application Data\rmhzb.exe','');
 QuarantineFile('C:\Documents and Settings\Diman\Application Data\Zmwewd.exe','');
 QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
 DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
 DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job');
 DeleteFile('C:\Documents and Settings\Diman\Application Data\Zmwewd.exe');
 DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zmwewd');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

Повторите AVZ - стандартный скрипт №2 из нормального режима, сделайте логи Rsit и прикрепите их к сообщению.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,699
Реакции
5,977
Баллы
1,008
Доступа к системе пока нет.

Меры можно принимать только через флешку с bat для запуска через командную строку из него утилит лечения (с запуском через avz_script.txt).
Rins, прости любопытство, а что с системой ? почему нельзя нормально запустить утилиты? Они просто не открываются или что ?
 

Rins

Активный пользователь
Сообщения
364
Реакции
40
Баллы
408
regist,
Все запускается.
Система удаленная. Связь через флешку.
Оператор может лишь вставить флешдрайв, запустить ярлык, вынуть флешдрайв.

shestale,
Ок, спасибо, будем делать.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу