• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Вирус подменяет DNS

Денис111

Новый пользователь
Сообщения
18
Реакции
1
Баллы
3
Люди помогите плз подхватил вирус подменяет DNC даже на adwcleaner оф сайт не мог зайти скачал из других источников почистил после перезагрузки опять подмененный DNC инетом не могу пользоваться выскакивает всякая херня ооочень не хочу винду сносить
 

akok

Команда форума
Администратор
Сообщения
17,685
Реакции
13,479
Баллы
2,203
Не то, нужен лог автологера.
 

akok

Команда форума
Администратор
Сообщения
17,685
Реакции
13,479
Баллы
2,203
Вот так сложно прочесть несколько абзацев?
По окончанию работы в папке AutoLogger, расположенной там же, куда распаковали архив, вы найдёте новый архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm. Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2017.10.30-22.15
 

Денис111

Новый пользователь
Сообщения
18
Реакции
1
Баллы
3
я его ток что подхватил ...могу ссылку кинуть(если нужно) где
извините тороплюсь
 

Вложения

Последнее редактирование:

Денис111

Новый пользователь
Сообщения
18
Реакции
1
Баллы
3
Здесь
и поздно понял что ловушка ...уже кликнул и сразу начались проблемы
 
Последнее редактирование:

Денис111

Новый пользователь
Сообщения
18
Реакции
1
Баллы
3
сори очень спешу на работу если можно давайте завтра продолжим
 
  • Like
Реакции: akok

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,407
Реакции
1,839
Баллы
563
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Денис\AppData\Roaming\stcxiameagvg\ypgjvfvwgtjarxo.msi', '');
 DeleteSchedulerTask('gwlihiqastbga');
 DeleteFile('C:\Users\Денис\AppData\Roaming\stcxiameagvg\ypgjvfvwgtjarxo.msi', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

Денис111

Новый пользователь
Сообщения
18
Реакции
1
Баллы
3
Добрый день... если не заняты можно продолжить?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,407
Реакции
1,839
Баллы
563
Мы ждем вас))
 

Денис111

Новый пользователь
Сообщения
18
Реакции
1
Баллы
3
отправил
[ссылка]
но эта дрянь еще выскакивает
 
Последнее редактирование модератором:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,407
Реакции
1,839
Баллы
563
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,407
Реакции
1,839
Баллы
563
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Вчерашний отчёт - AdwCleaner[C01].txt - тоже покажите.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Сверху Снизу