• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена x30811.exe

Статус
В этой теме нельзя размещать новые ответы.

vglp

Активный пользователь
Сообщения
18
Реакции
0
Баллы
381
появляются непонятные процессы: x30811.exe, 2A.exe, 14.exe и подобные (с цифрами)
 

Вложения

  • virusinfo_syscure.zip
    22.3 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    21.4 KB · Просмотры: 1
  • log.txt
    66.4 KB · Просмотры: 5
  • info.txt
    28.8 KB · Просмотры: 0

akok

Команда форума
Администратор
Сообщения
19,382
Реакции
13,373
Баллы
2,203
Смотрю логи

Добавлено через 5 минут 46 секунд
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
 QuarantineFile('C:\Program Files\Apoint2K\Apoint.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Juvavj.exe','');
 QuarantineFile('C:\WINDOWS\hex(2):53','');
 QuarantineFile('c:\documents and settings\admin\start menu\programs\startup\taskmgr.exe','');
 DeleteFile('c:\documents and settings\admin\start menu\programs\startup\taskmgr.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Juvavj.exe');
  BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(16);
  RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

vglp

Активный пользователь
Сообщения
18
Реакции
0
Баллы
381
Malwarebytes' Anti-Malware ЛОГ
 

Вложения

  • mbam-log-2011-11-28 (00-27-33).txt
    7.2 KB · Просмотры: 7

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,660
Баллы
753
Повторите сканирование в MBAM и удалите все кроме:

Код:
c:\WINDOWS\kmsem\kmservice.exe (Trojan.FakeAlert) -> No action taken
.
 

vglp

Активный пользователь
Сообщения
18
Реакции
0
Баллы
381
Повторите сканирование в MBAM и удалите все кроме:

Код:
c:\WINDOWS\kmsem\kmservice.exe (Trojan.FakeAlert) -> No action taken
.

сделано!

посоветуйте, пожалуйста, какой-нибудь оптимальный вариант антивируса (программы) для защиты и чтоб сильно не грузил систему, т.к. железо старенькое..

спс:)
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,660
Баллы
753
Сделайте повторный комплект логов AVZ и RSIT - обычно эта зараза не сразу удаляется.

Любой антивирус не даст 100% защиты если не выполнять паралельно другие правила (ограниченная учетная запись, обновляемое ПО итд).

Могу посоветовать бесплатные антивирусы и Internet Security
- Avira
- Avast
- CIS
- FortiClient Lite
 
Последнее редактирование:

vglp

Активный пользователь
Сообщения
18
Реакции
0
Баллы
381
Извиняюсь за задержку)
 

Вложения

  • virusinfo_syscheck.zip
    21 KB · Просмотры: 2
  • virusinfo_syscure.zip
    21.5 KB · Просмотры: 4
  • log.txt
    72.2 KB · Просмотры: 7
  • info.txt
    28.6 KB · Просмотры: 2

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,660
Баллы
753
Смогу поглядеть только ночью, если никто не ответит - ждите
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Скачайте и установите все последние обновления для безопасности windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

Обновите используемое програмное обеспечение до последних актуальных версий.

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\1B5.tmp','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\5B6.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\598.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\A.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\18.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\D.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\B.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\2A.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\36.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\E.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\14.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\EC.exe','');
 DeleteFile('C:\WINDOWS\system32\1B5.tmp');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\5B6.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\598.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\A.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\18.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\D.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\B.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\2A.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\36.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\E.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\14.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\EC.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 
Последнее редактирование:

vglp

Активный пользователь
Сообщения
18
Реакции
0
Баллы
381
Выполнено!
 

Вложения

  • ComboFix.txt
    20.2 KB · Просмотры: 6

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
В логе чисто. Проблема осталась?

Выполните скрипт в АВЗ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\', '*.exe', false);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\', '*.tmp', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Повторите сканирование AVZ и Rsit.
 
Последнее редактирование:

vglp

Активный пользователь
Сообщения
18
Реакции
0
Баллы
381
Проблемы нет больше)

новые логи:
 

Вложения

  • info.txt
    30.8 KB · Просмотры: 1
  • log.txt
    71.4 KB · Просмотры: 1
  • virusinfo_syscure.zip
    21.7 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    21.2 KB · Просмотры: 1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Хорошо, в логах тоже чисто.

Деинсталируйте МВАМ
Пуск-панель управления-установка удаление программ, найдите МВАМ-нажмите удалить.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Вам необходимо:
1.создать новую контрольную точку восстановления и очистить предыдущие.
2.очистить временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner.
3.на вашем компьютере разрешен авто-запуск со сменных носителей, во- избежании повторных заражений рекомендую его отключить:
скопируйте это в блокнот и сохраните с произвольным именем и расширением .reg
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd
Запустите сохраненный файл, на запрос ответить - да.

Заражение вашего компьютера происходило через уязвимости системы, поэтому выполняйте пожалуйста рекомендации:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool.
- регулярно обновлять антивирус и антивирусные базы

Всего хорошего.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу