• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Посмотрите пожалуйста

Эля

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Здравствуйте, посмотрите пожалуйста, логи
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\22.scr','');
 QuarantineFile('C:\Program Files\IEUpdate\ieupdate.dll','');
 DeleteFile('C:\Program Files\IEUpdate\ieupdate.dll');
 DeleteFile('C:\WINDOWS\system32\22.scr');
DeleteFileMask('C:\Program Files\IEUpdate', '*.*', true); 
DeleteDirectory('C:\Program Files\IEUpdate');
 DelBHO('{9DC7B255-C5B5-4DA0-81FC-D6B70FEB8FC5}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Выполните дополнительно
WebMoney вместе с Advisor временно деинсталлируйте.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
 
Последнее редактирование:

Эля

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Advisor удалить не удалось.
quarantine.zip из папки AVZ не получилось отправить, выдает ошибку, может из-за того, что максимальный размер прикрепляемого файла 1,5 Мб, а мой - 3,6 Мб? Что получилось, то получилось...
 

Вложения

Эля

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
и еще логи RSIST
 

Вложения

  • 19.1 KB Просмотры: 0
  • 37.6 KB Просмотры: 1

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
Перешлите тогда мне:
akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\windows\system32\57FFB51F78.sys
c:\windows\DeinsVD3.exe

NetSvc:: 
mynhchc
ftrgfsno
qyrvhey

Driver::
mynhchc
ftrgfsno
qyrvhey
ebzkdsnr
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6108:TCP"=-
FileLook::
c:\windows\system32\57FFB51F78.sys
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
Проверьте систему TDSS Killer

Для упрощения можно воспользоваться Quick Killer


Как самочувствие?
 

Эля

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Проверьте систему TDSS Killer

Для упрощения можно воспользоваться Quick Killer


Как самочувствие?
Применила Quick Killer, ничего не обнаружено. Самочувствие хорошее, комп больше не хандрит. Спасибо большое за заботу:thank_you2:

На этом все? Жизнь продолжается?
 

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
апакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Создайте новую контрольную точку восстановления и проведите очистку предыдущих:

Обновите систему до SP3 + все хотфиксы (иначе опять заразитесь). Возможно потребуется повторная активация.
Обновите IE6 до IE8 (система использует браузер без вашего ведома).

Добавлено через 12 секунд
вот на этом все :)
 

Эля

Активный пользователь
Сообщения
6
Реакции
0
Баллы
391
Все рекомендации выполнила. Спасибо большое за Ваш труд.
 
Сверху Снизу