Tema321 0 Опубликовано 15 июня, 2018 Share Опубликовано 15 июня, 2018 Доброго времени суток. Взломали сайт нашей организации. При открытии его какие-то надписи с просьбой не выключать компьютер и начинается загрузка чего-то. Загрузку остановил, но все равно что-то успело скачаться. Теперь на рабочем столе куча файлов типа 497С.tmp, 50BA.tmp. При попытке удалить их, они заменяются другими примерно с такими же названиями. Мои ярлыки на рабочем столе наложились друг на друга и занимают одно место. Рабочий стол полностью занят, ничего невозможно ни создать, ни переместить. Проводник и программы, браузер работают нормально. CollectionLog-2018.06.15-18.36.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 июня, 2018 Share Опубликовано 15 июня, 2018 - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению. Программы/расширения от Mail.ru используете? Кнопка "Яндекс" на панели задач - если не используется, то деинсталируйте. + "Пофиксите" в HijackThis: O4 - MSConfig\startupreg: UIExec [command] = C:\Program Files\USB-модем Билайн\UIExec.exe (file missing) (HKLM) (2016/02/24) O4 - MSConfig\startupreg: YandexElements [command] = C:\Users\admin\AppData\Local\Yandex\Elements\elements.exe\8.9.1.5100\elements.exe /auto (file missing) (HKCU) (2016/02/20) O23 - Service S2: 3D Graphic adapter for video card - (d3dadapter) - C:\Windows\System32\svchost.exe -k netsvcs; "ServiceDll" = C:\Windows\System32\d3dadapter.dll (file missing) O23 - Service S2: BDKVRTP Service - (BDKVRTP) - (no file) O23 - Service S2: BDSGRTP Service - (BDSGRTP) - (no file) Цитата Ссылка на сообщение Поделиться на другие сайты
Tema321 0 Опубликовано 15 июня, 2018 Автор Share Опубликовано 15 июня, 2018 (изменено) https://virusinfo.info/virusdetector/report.php?md5=3CE70E9892994C1F6ED60159DAA2DDC6 ClearLNK-2018.06.15_21.21.37.log AdwCleanerS00.txt Изменено 15 июня, 2018 пользователем Tema321 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 июня, 2018 Share Опубликовано 15 июня, 2018 Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Цитата Ссылка на сообщение Поделиться на другие сайты
Tema321 0 Опубликовано 16 июня, 2018 Автор Share Опубликовано 16 июня, 2018 не знаю какой из них нужен AdwCleaner[s01] 5 КБ дата создания 2:45 AdwCleaner[C01] 6 КБ дата создания 2:47 ярлыки переименовал в .mp4 и удалил всё. вроде сейчас все норм AdwCleanerS01.txt AdwCleanerC01.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 июня, 2018 Share Опубликовано 16 июня, 2018 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Цитата Ссылка на сообщение Поделиться на другие сайты
Tema321 0 Опубликовано 16 июня, 2018 Автор Share Опубликовано 16 июня, 2018 ADMINPC_2018-06-17_00-38-22.7z ADMINPC_2018-06-17_00-38-22.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 17 июня, 2018 Share Опубликовано 17 июня, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG delref %SystemDrive%\PROGRA~2\VKSAVER\VKSAVER3.DLL zoo %Sys32%\DRIVERS\BD0001.SYS delall %Sys32%\DRIVERS\BD0001.SYS zoo %Sys32%\DRIVERS\BD0002.SYS delall %Sys32%\DRIVERS\BD0002.SYS zoo %Sys32%\DRIVERS\BD0003.SYS delall %Sys32%\DRIVERS\BD0003.SYS zoo %Sys32%\DRIVERS\BDANTIEXP.SYS delall %Sys32%\DRIVERS\BDANTIEXP.SYS zoo %Sys32%\DRIVERS\BDENHANCEBOOST.SYS delall %Sys32%\DRIVERS\BDENHANCEBOOST.SYS bl EA813EC0B267C03985BC435A839ADD1F 94024 zoo %Sys32%\DRIVERS\BDMNETMON.SYS delall %Sys32%\DRIVERS\BDMNETMON.SYS bl 9343EE4D6EECB4825D5D6C1F295180FD 245576 zoo %Sys32%\DRIVERS\BDMWRENCH.SYS delall %Sys32%\DRIVERS\BDMWRENCH.SYS delref %Sys32%\DRIVERS\14121242.SYS delref %Sys32%\DRIVERS\63443908.SYS delref HTTP://GO.MAIL.RU/SEARCH?Q={SEARCHTERMS}&FR=NTG&GP=OPENPART4 delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref F:\HISUITEDOWNLOADER.EXE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref F:\AUTORUN.EXE zoo %Sys32%\DRIVERS\BDARKIT.SYS delall %Sys32%\DRIVERS\BDARKIT.SYS zoo %Sys32%\DRIVERS\BDDEFENSE.SYS delall %Sys32%\DRIVERS\BDDEFENSE.SYS delref F:\INSTALL.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. проблема решена? Цитата Ссылка на сообщение Поделиться на другие сайты
Tema321 0 Опубликовано 20 июня, 2018 Автор Share Опубликовано 20 июня, 2018 вроде все норм. спасибо Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 июня, 2018 Share Опубликовано 21 июня, 2018 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.