• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Win32:Confi Wrm

Статус
В этой теме нельзя размещать новые ответы.

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Проблема решена?
 

FullDarkness

Активный пользователь
Сообщения
15
Реакции
0
Баллы
301
Проблема решена?

Увы нет... вирус возвращается и возвращается... Могу попробовать отрубить сеть на компьютере может по сети лезет... но если лезет по сети то где его копать? Что блокировать чтоб не лез
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS


установите все обновления для windows.

Добавлено через 1 час 0 минут 0 секунд
FullDarkness, http://virusinfo.info/showthread.php?t=132299 выбирайте, где будете продолжать лечение. Вторая тема будет закрыта.
 

FullDarkness

Активный пользователь
Сообщения
15
Реакции
0
Баллы
301
Сделал =)
 

Вложения

  • ADMINPK_2013-02-07_14-30-04.rar
    523.7 KB · Просмотры: 4

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
1) У вас uVS v3.3.77.1 актуальная версия на оф. сайте 3,71 скачайте её.

2)
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.77.5 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    breg
    zoo \\VSERVER\E\AUTORUN.EXE
    zoo %SystemDrive%\TEMP\BUNNDLEOFFERMANAGER.DLL
    zoo DRFPUCN.VC
    delall DRFPUCN.VC
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

3)
  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
  6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  9. Подробную инструкцию читайте в руководстве

Добавлено через 2 минуты 5 секунд
4)
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.

Добавлено через 3 часа 56 минут 24 секунды
+ смените все пароли и пароль от учётной записи, по окончанию лечения смените ещё раз.
 
Последнее редактирование:

FullDarkness

Активный пользователь
Сообщения
15
Реакции
0
Баллы
301
Где скачать 3.71? на сайте нашел только 3.77
 

FullDarkness

Активный пользователь
Сообщения
15
Реакции
0
Баллы
301
Security Check by glax24 version 0.1.6.53 rc1
WebSite: www.safezone.cc
DataLog 08.02.2013 15:32:15
Program directory: C:\TEMP\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionLocal=2.9
Диск C:\ ФС: NTFS Емкость: (97.7 Гб) Занято: (80.1 Гб) Свободно: (17.6 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 08.06.2011 09:44:48
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-02-08 07:56:56
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
avast! Antivirus
Антивирус обновлен
Сканирование отключено
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
avast! Antivirus
Windows Defender
-------------AntiVirusFirewallInstall-------------
avast! Free Antivirus v.7.0.1474.0
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 39 v.6.0.390
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.146
Adobe Flash Player 11 Plugin v.11.5.502.146
Adobe Reader XI (11.0.01) - Russian v.11.0.01
-------------Browser------------------------------
Mozilla Firefox 18.0.2 (x86 en-US) v.18.0.2
Opera 11.62 v.11.62.1347 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.18.0.2.4780
-------------EndLog-------------------------------
 

Вложения

  • gmer.log
    39.4 KB · Просмотры: 6

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
FullDarkness, карантин uVS прислали или туда ничего не попало ? просто не могу его найти.

+ есть другие компьютеры, которые работают в одной сети с этим ?

Добавлено через 22 минуты 15 секунд
+ обязательно включите UAC и поставьте пароль на админскую учётку (если уже стоит, то смените его).
 

FullDarkness

Активный пользователь
Сообщения
15
Реакции
0
Баллы
301
Все! Всем спасибо проблема разрешилась... вирусов более нет =)
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу