• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Вирус!

Статус
В этой теме нельзя размещать новые ответы.

Brian

Активный пользователь
Сообщения
58
Реакции
5
Баллы
398
Хорошо, спасибо Вам большое за помощь! после лечения LiveCD, выложу результаты..
 

Brian

Активный пользователь
Сообщения
58
Реакции
5
Баллы
398
А да кстати, забыл вам сказать, avz до сих пор не запускается.. Только Полиморфная версия AVZ
 

goredey

Ассоциация VN
Сообщения
438
Реакции
253
Баллы
453
Brian, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.


А да кстати, забыл вам сказать, avz до сих пор не запускается.
Деинсталируйте АВЗ и скачайте заново AVZ 4.35
Обновите базы и повторите логи!
+
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
+


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 

goredey

Ассоциация VN
Сообщения
438
Реакции
253
Баллы
453
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winmvak.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winribm.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winpgos.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winicpsp.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winlctco.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winjdyj.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\bmhcgt.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winsnxvt.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winlrsu.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\windxcq.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\bghi.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winejtso.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\uttfrh.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winwsjc.exe','');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winmvak.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winribm.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winpgos.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winicpsp.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winlctco.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winjdyj.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\bmhcgt.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winsnxvt.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winlrsu.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\windxcq.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\bghi.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winejtso.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\uttfrh.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winwsjc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(6);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме

Пофиксить в HijackThis следующие строчки
Код:
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
Удалите
Код:
Заражённые файлы:
d:\documents and settings\Admin\local settings\Temp\winejtso.exe (Trojan.Downloader) -> No action taken.
Повторите логи АВЗ и RSIT/

Что с проблемой?
 

Brian

Активный пользователь
Сообщения
58
Реакции
5
Баллы
398
Логи:
Вроде все работает нормально... Думаю работа закончена!?:)
 

Вложения

Последнее редактирование:

goredey

Ассоциация VN
Сообщения
438
Реакции
253
Баллы
453
Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.
 

Brian

Активный пользователь
Сообщения
58
Реакции
5
Баллы
398
Все сделал, все прекрасно работает! Спасибо Вам большое! Я очень Вам благодарен за помощь!
 

akok

Команда форума
Администратор
Сообщения
19,317
Реакции
13,335
Баллы
2,203
В карантин ничего вредоносного не попало.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу