• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Пожалуйста, помогите.

Статус
В этой теме нельзя размещать новые ответы.

vladimir_o

Активный пользователь
Сообщения
6
Реакции
0
Баллы
301
Здравствуйте!
Замучила ВебАльта, комп тупит, инет тормозит, на сайты не ходит.
 

Вложения

  • log.txt
    29.9 KB · Просмотры: 2
  • info.txt
    15.8 KB · Просмотры: 2
  • KL_syscure.zip
    21.3 KB · Просмотры: 2

mike 1

Ветеран
Сообщения
2,427
Реакции
932
Баллы
533
Здравствуйте

1. Отключите антивирус и фаервол. (http://safezone.cc/forum/showthread.php?t=18577)

2. Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
  begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
  end;
ClearQuarantine;
QuarantineFile('C:\Windows\System32\SPReview\SPReview.exe','');
QuarantineFile('C:\VkontakteDJ\VKontakteDJ.exe','');
QuarantineFile('C:\Windows\unins001.exe','');
QuarantineFile('C:\Windows\unins001.dat','');
QuarantineFile('C:\Windows\unins000.exe','');
QuarantineFile('C:\Windows\unins000.dat','');
QuarantineFile('C:\ProgramData\Mozilla\xbbcben.exe','');
DeleteFile('C:\ProgramData\Mozilla\xbbcben.exe','32');
DeleteFile('C:\Windows\system32\Tasks\jayyyji','32'); 
DeleteFile('C:\Users\Владимир\AppData\Roaming\Mozilla\Firefox\Profiles\8jgde60x.default\searchplugins\webalta-search.xml','');                         
DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

3. После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4. Подготовьте новый комплект логов согласно правилам раздела.

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

6. Программы удаленного доступа TeamViewer и Ammyy Admin сами себе устанавливали?

7. Рекомендуется сменить пароли на веб ресурсы.
 

vladimir_o

Активный пользователь
Сообщения
6
Реакции
0
Баллы
301
Карантин выслал.
Новые логи прикрепляю.
Логи Malwarebytes вышлю чуть позже, когда доделаются.

Программы удаленного доступа ставил сам.
 

Вложения

  • KL_syscure.zip
    21.9 KB · Просмотры: 2
  • log.txt
    30 KB · Просмотры: 0
  • info.txt
    15.8 KB · Просмотры: 0
  • log.txt
    30 KB · Просмотры: 1
  • info.txt
    15.8 KB · Просмотры: 0
  • KL_syscure.zip
    21.9 KB · Просмотры: 0

vladimir_o

Активный пользователь
Сообщения
6
Реакции
0
Баллы
301
Лог
 

Вложения

  • MBAM-log-2013-11-01 (01-54-49).txt
    13 KB · Просмотры: 8

akok

Команда форума
Администратор
Сообщения
19,835
Реакции
13,589
Баллы
2,203
Удалите в MBAM все кроме:
Код:
D:\игры\герои\ArmagBlade\h3blade.exe (Backdoor.Bot) -> Действие не было предпринято.

Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. Поиск не закрывайте.
 

vladimir_o

Активный пользователь
Сообщения
6
Реакции
0
Баллы
301
Протокол
 

Вложения

  • Export.txt
    72 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,835
Реакции
13,589
Баллы
2,203
Удалите все найденное в AVZ ключи с Webalta: ПКМ по списку - выбрать все - нажать "удалить отмеченное".

Что с проблемами?
 

vladimir_o

Активный пользователь
Сообщения
6
Реакции
0
Баллы
301
Вебальта осталась только. При старте браузера появляется. Смена вручную страницы не спасает. В остальном вроде все хорошо.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
1. найдите на дисках файлы и папки со словом webalta в имени и удалите.
2. посмотрите свойства ярлыков браузеров. там в поле объект после исполняемого файла может быть дописана вебальта. также поменяйте настройки браузеров на нужные вам.
 

vladimir_o

Активный пользователь
Сообщения
6
Реакции
0
Баллы
301
На дисках не было, в ярлыхак сидела. webalta больше не докучает. Большое спасибо за помощь!
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

потом http://safezone.cc/threads/rekomendacii-posle-udalenija-vredonosnogo-po.16715/
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу