• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Прошу помощи

Статус
В этой теме нельзя размещать новые ответы.

Vlad_F

Активный пользователь
Сообщения
11
Реакции
0
Баллы
391
Вроде все сделал по инструкции.
 

Vlad_F

Активный пользователь
Сообщения
11
Реакции
0
Баллы
391
Вложения.
Вторая попытка.
 

ТроПа

Активный пользователь
Сообщения
391
Реакции
334
Баллы
483
CureIt проверяли систему?

C:\Documents and Settings\Vlad_F.PRIVATE-DC898C4\Рабочий стол\Anti_Virus\avz4\avz4\avz.exe - запакуйте в архив под пароль virus и загрузите по ссылке
 

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\SETUP\system32\alg.exe','');
 QuarantineFile('C:\Program Files\AmlMaple\AmlMaple.exe','');
 QuarantineFile('C:\SETUP\system32\tlntsvr.exe','');
 QuarantineFile('C:\SETUP\system32\dllhost.exe','');
 QuarantineFile('C:\SETUP\System32\alg.exe','');
 QuarantineFile('C:\SETUP\system32\DRIVERS\torususb.sys','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.(Подробнее)

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог.
 

Vlad_F

Активный пользователь
Сообщения
11
Реакции
0
Баллы
391
Malwarebytes' Anti-Malware 1.41
Версия базы данных: 2862
Windows 5.1.2600 Service Pack 3

27.09.2009 1:49:49
mbam-log-2009-09-27 (01-49-49).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 224442
Прошло времени: 1 hour(s), 8 minute(s), 31 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 1
Заражено значений реестра: 1
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 5

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> Quarantined and deleted successfully.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\adsltaskbar (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Documents and Settings\Vlad_F\Мои документы\Disk_1\Рабочий стол\Программы\drweb\drweb-updater.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\SETUP\system32\CDClose.dll (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\CDClose.dll (Malware.Packer) -> Quarantined and deleted successfully.
C:\Архив с работы\АнтиТроян\drweb\drweb-updater.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\Программы\Actual\АнтиТроян\drweb\drweb-updater.exe (Malware.Packer) -> Quarantined and deleted successfully.

Сделал по инструкции.
 

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
Vlad_F, все утилиты сигнализируют о том, что у Вас файловый вирус. Но понять какой именно пока не представляется возможным.

Как лечить файловый вирус

И скачайте еще раз AVZ и подготовьте 2 стандартный лог. Посмотрим, активен ли вирус сейчас.
 

Vlad_F

Активный пользователь
Сообщения
11
Реакции
0
Баллы
391
Сегодня выполнил 2 скрипт.( приложение)
Несколько раз запускал ComboFix.
Каждый раз зависал на проверке spoolsv.exe
Некий процесс PEV.cfxxe загружал процессор близко к 99%.
После его отмены проверка доходила до конца.
 

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
Попробуйте выполнить это действие.

Добавлено через 3 минуты 11 секунд
И готовьте полный пакет логов. (rsit необходимо еще раз скачать).
 

Vlad_F

Активный пользователь
Сообщения
11
Реакции
0
Баллы
391
Попробуйте выполнить это действие.

Добавлено через 3 минуты 11 секунд
И готовьте полный пакет логов. (rsit необходимо еще раз скачать).
Да.
Помогло.
Большое Вам и вам спасибо за поддержку столь ценного проекта.
Записался в студенты - буду учиться серьезно.
Помощь нужна была срочно для того, чтобы сохранить хоть какой-то уровень функциональности, например - для обучения.
При первой возможности постараюсь хоть в какой-нибудь степени овеществить свою благодарность. :)
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу