• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Тяжелый случай, опять заражает флешки

Статус
В этой теме нельзя размещать новые ответы.

probatf

Активный пользователь
Сообщения
102
Реакции
3
Баллы
248
Еще одно вредное заражение. Флешку только вставь...
 

Вложения

  • CollectionLog-2014.12.09-11.12.zip
    75.5 KB · Просмотры: 3

Vvvyg

Ассоциация VN
Сообщения
220
Реакции
83
Баллы
418
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true)
TerminateProcessByName('c:\users\админ\appdata\roaming\regsvr.exe');
TerminateProcessByName('c:\optionalcomponents\lsass.exe');
QuarantineFile('F:\regsvr.exe', '');
QuarantineFile('F:\autorun.inf', '');
QuarantineFile('c:\users\админ\appdata\roaming\regsvr.exe', '');
QuarantineFile('c:\optionalcomponents\lsass.exe', '');
DeleteFile('c:\optionalcomponents\lsass.exe', '32');
DeleteFile('c:\users\админ\appdata\roaming\regsvr.exe', '32');
DeleteFile('C:\Users\админ\AppData\Roaming\support\svchost.exe', '32');
DeleteFile('F:\autorun.inf', '32');
DeleteFile('F:\regsvr.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\{0E0107CD-41B0-43A8-A72D-29914A84CB02}', '32');
DeleteFile('C:\Windows\system32\Tasks\{D03E546E-82A3-47FB-A5BE-01C88055FF8C}', '32');
DelBHO('{b4efb02b-cd4a-44b9-b5d9-aa486cdffab6}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Yahoo Messsenger');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Msn Messsenger');
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:

probatf

Активный пользователь
Сообщения
102
Реакции
3
Баллы
248
Карантин отправил
 

Вложения

  • CollectionLog-2014.12.09-16.21.zip
    46.1 KB · Просмотры: 2

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
753
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

  1. Выполните скрипт в АВЗ

    Код:
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\optionalcomponents\lsass.exe');
     QuarantineFile('c:\optionalcomponents\lsass.exe', '');
     QuarantineFile('C:\configuration\configuration.exe', '');
     DeleteFile('c:\optionalcomponents\lsass.exe', '32');
     DeleteFile('C:\configuration\configuration.exe', '32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.

    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
  2. Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  3. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код:
    O4 - Startup: configuration.lnk = C:\configuration\configuration.exe


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
+ большая просьба, в будущем давать более говорящие название темы, чем просто "Тяжелый случай". Чтобы при чтение названия было понятно, какая у вас проблема.


+ деинсталируйте
Ask Toolbar-->MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Ask Toolbar-->rundll32 C:\PROGRA~1\AskTBar\bar\1.bin\AskTBar.dll,O
Conduit Engine-->C:\PROGRA~1\CONDUI~1\ConduitEngineUninstall.exe

+
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

+ смените все пароли.
 

probatf

Активный пользователь
Сообщения
102
Реакции
3
Баллы
248
Карантин отправил
 

Вложения

  • CollectionLog-2014.12.09-19.29.zip
    45.4 KB · Просмотры: 2

probatf

Активный пользователь
Сообщения
102
Реакции
3
Баллы
248
большая просьба, в будущем давать более говорящие название темы, чем просто "Тяжелый случай". Чтобы при чтение названия было понятно, какая у вас проблема.
какое примерно? я просто сюда пишу в одном случае - предполагаю наличие вируса. а вот подробностей не знаю. скажите что примерно писать?
 

Вложения

  • AdwCleaner[R0].txt
    11.8 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
какое примерно?
пример смотрите текущее название
опять заражает флешки
это название я дал вообще ничего не зная о вашей проблеме и то оно более понятное чем ваше. А раз вы сюда обратились, то значит есть основания для подозрений? Вот и укажите как проявляется вирус, это ускорит помощь. В качестве примера можете посмотреть ещё названия других тем в этой проблеме.
--------------------------
1)
+ деинсталируйте

Ask Toolbar-->MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Ask Toolbar-->rundll32 C:\PROGRA~1\AskTBar\bar\1.bin\AskTBar.dll,O
Conduit Engine-->C:\PROGRA~1\CONDUI~1\ConduitEngineUninstall.exe
Остальные тулбары если не используете, то тоже деинсталируйте.

2) - Удалите в AdwCleaner всё кроме папок от mail.ru и AlawarWrapper - если программами от mail.ru и Alawar не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

3) Смените пароли, если ещё этого не сделали.
 

probatf

Активный пользователь
Сообщения
102
Реакции
3
Баллы
248
пример смотрите текущее название
понял, спасибо.
3) Смените пароли, если ещё этого не сделали.
что за пароли? или вообще? там нечего прятать. ничего приватного. абсолютно.
Остальные тулбары если не используете, то тоже деинсталируйте.
аск не удаляется, пишет нет какой-то библиотеки, кондуит деинсталлировал. уже после того как сделал лог адваре. первый лог.
 

Вложения

  • AdwCleaner[S0].txt
    10.7 KB · Просмотры: 2

probatf

Активный пользователь
Сообщения
102
Реакции
3
Баллы
248
сейчас нормально.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу