• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Пропал cmd.exe

Статус
В этой теме нельзя размещать новые ответы.

BdV

Активный пользователь
Сообщения
16
Реакции
2
Баллы
393
Скачал прогу, установил, долго качались обновления, обновился.
Снова сделать проверки AVZ и RSIT?
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
BdV, лога AVZ будет достаточно.
 

BdV

Активный пользователь
Сообщения
16
Реакции
2
Баллы
393
Извиняюсь что пропал. Лог в файле.
Дополнительно обновил Java, AdobeReader.

Всё вроде в норме. Но... )
Денвер при проверке MySQL по ссылке http://localhost/Tools/phpMyAdmin
выдаёт:
Error
MySQL said:

#2003 - The server is not responding
Connection for controluser as defined in your configuration failed.

Я понимаю что это уже другая тема скорее, и вопрос скорее к другим спецам.
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Скачайте свежую версию ComboFix и повторите лог этой утилиты.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,564
Баллы
593
Также установите все обновления для MySQL
 

BdV

Активный пользователь
Сообщения
16
Реакции
2
Баллы
393
Скачал комбофикс по ссылке с официального сайта, запустил, лог в файле.
При выполнении винда выдавала ошибку

AppName: pev.cfxxe AppVer: 0.0.0.0 ModName: pev.cfxxe
ModVer: 0.0.0.0 Offset: 00082899

пока это окно не закрыл комбофикс не продолжал работы.

thyrex, что вы имеете в виду под обновлениями MySQL? Я устанавливаю Денвер-3.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Тогда не будем мучатся: найдите и скопируйте по вот этим рекомендациям файл
Код:
C:\WINDOWS\system32\uxlab.dll
Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
 

BdV

Активный пользователь
Сообщения
16
Реакции
2
Баллы
393
Severnyj, я бы и рад таковой скопировать, но его просто нет. Во всей папке Windows нет uxlab.dll.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Искали с помощью GMERa?

Добавлено через 3 часа 11 минут 5 секунд
Сделайте такой лог!

Программу скачать можно здесь, Ваш антивирус может отображать сообщение о зараженном файле - это ложное срабатывание. Добавьте программу в список игнорируемых. Так же скачайте Базу чистых файлов и извлеките в каталог с программой.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,564
Баллы
593
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
C:\WINDOWS\system32\uxlab.dll

Driver::
vzwwxl

NetSvc::
vzwwxl

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4531:TCP"=-

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
А вы съемными накопителями пользуетесь во время лечения?

Давайте отключим автозапуск (кроме CD)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.
 

BdV

Активный пользователь
Сообщения
16
Реакции
2
Баллы
393
Искал как в мануале с помощью GMER.
Логи uvs и combofix в файле.
Что имеете в виду, пользуюсь ли я сменными накопителями? Да в комп периодически вставляют флешки.
Скрипт на AVZ также выполнил.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Скопируйте и выполните скрипт в UVS (Файл - Выполнить скрипт, находящийся в буфере обмена)

Код:
;uVS v3.64 script [http://dsrt.dyndns.org]

zoo %Sys32%\UXLAB.DLL
delall %Sys32%\UXLAB.DLL
zoo G:\AUTORUN.INF
delall G:\AUTORUN.INF
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
clrmd
deltmp
delnfr
restart
Компьютер перезагрузится. Повторите лог UVS
 

BdV

Активный пользователь
Сообщения
16
Реакции
2
Баллы
393
Выполнил скрипт. В процессе появилось окошко: удалена ссылка на процесс vzwwxl. Удалить сам процесс? (svchost удалён не будет).
Нажал да. Как понимаю зря )
После перезагрузки оутпост сказал что не может загрузить драйвер sandbox. Как я понимаю оутпост надо будет переустанавливать...
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Чисто, запакуйте папку zoo в каталоге с uvs c паролем virus
Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Outpost придется переустановить, если не получится попробуйте удалить полностью и заново поставить

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивируса (обновлять антивирусные базы и модули).
 

BdV

Активный пользователь
Сообщения
16
Реакции
2
Баллы
393
Всем огромное спасибо за помощь! Всё работает. Буду стараться блюсти интернет-гигиену ).
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу