ПрикрепилВыполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-3)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end.
архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.
Решена задача Backball и множество запущенных PS скриптов
- Автор темы Iceman
- Дата начала
- Статус
Прикрепил
- Сообщения
- 15,479
- Реакции
- 3,288
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cH409PN\"",Filter="__EventFilter.Name=\"fH409PN\":: WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"czGgQcsEx\"",Filter="__EventFilter.Name=\"fzGgQcsEx\":: WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cDjXwQytk\"",Filter="__EventFilter.Name=\"fDjXwQytk\":: WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cdO2FSnyUV96\"",Filter="__EventFilter.Name=\"fdO2FSnyUV96\":: WMI:subscription\__EventFilter->fDjXwQytk::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] WMI:subscription\__EventFilter->t.hwqloan.com::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] WMI:subscription\__EventFilter->blackball1::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] WMI:subscription\__EventFilter->fH409PN::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] WMI:subscription\__EventFilter->fzGgQcsEx::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] WMI:subscription\__EventFilter->fdO2FSnyUV96::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 15,479
- Реакции
- 3,288
По антивирусу - установлена версия для рабочих станций, к тому же устаревшая. Возможно есть смысл перейти на более подходящую.
- Сообщения
- 15,479
- Реакции
- 3,288
Тогда ставьте серверную версию и желательно актуальную. Для неё ваш ключ должен подойти.
- Сообщения
- 15,479
- Реакции
- 3,288
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Пожалуйста, перезагрузите компьютер вручную.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Повторите проверку уязвимых мест и покажите отчёт avz_log.txt
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('C:\Windows\Temp\m6.bin.exe');
QuarantineFile('C:\Windows\Temp\m6.bin.exe', '');
QuarantineFile('C:\Windows\TEMP\ttt.vbs', '');
QuarantineFile('t.hwqloan.com', '');
DeleteSchedulerTask('At9H4cm0u37');
DeleteSchedulerTask('ietOT2o');
DeleteSchedulerTask('obAB4M');
DeleteSchedulerTask('t.hwqloan.com');
DeleteFile('C:\Windows\Temp\m6.bin.exe', '');
DeleteFile('C:\Windows\Temp\m6.bin.exe', '64');
DeleteFile('C:\Windows\TEMP\ttt.vbs', '64');
DeleteFile('t.hwqloan.com', '64');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
end.Пожалуйста, перезагрузите компьютер вручную.
После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Повторите проверку уязвимых мест и покажите отчёт avz_log.txt
- Сообщения
- 15,479
- Реакции
- 3,288
Пока в логах та же устаревшая.
Скрипт выполнил, перезагрузил.
После перезагрузки сразу начали появляться файлы в папкеTemp и запускаться процессы.
Файл карантина отправил через форму.
Логи прикрепил.
Уязвимости не обнаружены, файлavz_log.txt не создался.
Да, Касперского пока не установил, что то с лицензией, сегодня жду новый ключ.
После перезагрузки сразу начали появляться файлы в папкеTemp и запускаться процессы.
Файл карантина отправил через форму.
Логи прикрепил.
Уязвимости не обнаружены, файлavz_log.txt не создался.
Да, Касперского пока не установил, что то с лицензией, сегодня жду новый ключ.
- Сообщения
- 15,479
- Реакции
- 3,288
Пока нет ничего. Продублируйте на почту.
- Сообщения
- 15,479
- Реакции
- 3,288
+
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
- Запустите AVZ. (Находится в папке ...\Autologger\AVZ)
- Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
- В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
- Закачайте полученный архив, как описано на этой странице.
- Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Отправил на почту.
Скрипт выполнил, MD5: C82DDF1B0D2E024157269F5C8D662F1A
- Сообщения
- 15,479
- Реакции
- 3,288
Давайте ещё так посмотрим:
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
Попутно смените важные пароли, в т.ч. пароль админской учётки.
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. - Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
Попутно смените важные пароли, в т.ч. пароль админской учётки.
- Сообщения
- 15,479
- Реакции
- 3,288
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v4.11.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c ;---------command-block--------- delref WMI:\\.\ROOT\SUBSCRIPTION\.[F9CGJDABXL] delref WMI:\\.\ROOT\SUBSCRIPTION\.[FIQP0R8N] delref WMI:\\.\ROOT\SUBSCRIPTION\.[FMIOJFWHG9MY] delref WMI:\\.\ROOT\SUBSCRIPTION\.[FSJXFOM0] apply - В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
- Статус