Хитаров_Тимур 0 Опубликовано 28 июня, 2017 Share Опубликовано 28 июня, 2017 (изменено) Добрый день! Я уже создавал тему по данной проблеме https://forum.kasperskyclub.ru/index.php?showtopic=54669&hl=. Все симптомы те же : Блокирует диспетчер, черный экран (пока через диспетчер задач не запустишь explorer), и при вызове командной строки или выполнения команды в км сроке автоматичесская перезагрузка. Почитал описания трояна (Brontok) совпадает по всем пунктам, только вот откуда он снова выполз. Отличия только в том что на данный момент чтобы ничего лишнего не удалить или не стереть я выполнил только указанные в правилах раздела действия. А именно: 1.Проверил Rescue Disk Касперский. Который нашел около 49 вирусов. Из разновидностей только две (Trojan.win32.Genome.amzxw. И Trijan-Downloader.win.32.Brontok.c). 2. Запустил сборщика логов (лог прилагается). P.S. Текст письма предыдущей темы. Здравствуйте! Помогите, объясните. Windows 7 В последнее время он очень долго делает любые действия от загрузки ОС до открытия файлов и папок. а теперь... после приветствия и ввода пароля появляется пустой черный экран с единственным указателем мыши. Через запуск диспетчера задач - новая задача - explorer.exe рабочий стол естественно появляется но... 1. Реестр заблокирован администратором. 2. И толи при запуске regedit то ли при запуске cmd с правами администратора или возможно через некоторое время после ввода новой задачи (explorer.exe) ноутбук перезагружается. В безопасном режиме та же годня. AVZ выполнил пункты раздела восстановления системы 5, 8, 11, 16, 17. и вуаля реестр разблокирован и пока что ничего не перезагружалось. Помогите понять что где нужно поправить если это возможно и удалить (если это вирус) вирус начисто. I-Worm/Brontok - AVG на другом пк определил вирус на флешке (скидывал на флешку лог) CollectionLog-2017.06.28-11.00.zip Изменено 28 июня, 2017 пользователем Хитаров_Тимур Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 28 июня, 2017 Share Опубликовано 28 июня, 2017 Здравствуйте! Да, это классический пример бронтока - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com', ''); DeleteFile('C:\Windows\Tasks\At1.job', '32'); DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com', '32'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); BC_ImportALL; ExecuteSysClean; ExecuteRepair(8); ExecuteRepair(13); ExecuteRepair(17); ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 28 июня, 2017 Share Опубликовано 28 июня, 2017 @Хитаров_Тимур, не надо тут публиковать ничего вирусного! Ваше сообщение удалил. Всё что нужно и так видно по логам, если что надо будет дополнительно попрошу. Цитата Ссылка на сообщение Поделиться на другие сайты
Хитаров_Тимур 0 Опубликовано 28 июня, 2017 Автор Share Опубликовано 28 июня, 2017 @regist, Извините, не знал. Цитата Ссылка на сообщение Поделиться на другие сайты
Хитаров_Тимур 0 Опубликовано 28 июня, 2017 Автор Share Опубликовано 28 июня, 2017 (изменено) Сделал по инструкции. Но "Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь" Через форму не получилось провести. Пишет Ошибка при установлении защищённого соединенияВо время загрузки страницы соединение с сервером было сброшено. Страница, которую вы пытаетесь просмотреть, не может быть отображена, так как достоверность полученных данных не может быть проверена. Пожалуйста, свяжитесь с владельцами веб-сайта и проинформируйте их об этой проблеме. когда нажимаю загрузить. Сообщение касперского: Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами ссылки были проверены с помощью облачной технологии Kaspersky Security Network.В антивирусных базах информация по присланным вами ссылкам отсутствует:https://forum.kasperskyclub.ru/index.php?showtopic=56231Cсылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Могу прикрепить сюда если необходимо.))) CollectionLog-2017.06.28-14.21.zip Изменено 28 июня, 2017 пользователем Хитаров_Тимур Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 28 июня, 2017 Share Опубликовано 28 июня, 2017 Через форму не получилось провести. Пишет Ошибка закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС. Скачайте Malwarebytes' Anti-Malware. Установите.На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.Самостоятельно ничего не удаляйте!!!Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".Отчёт прикрепите к сообщению.Подробнее читайте в руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Хитаров_Тимур 0 Опубликовано 28 июня, 2017 Автор Share Опубликовано 28 июня, 2017 Отчет скана. Scanin.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 28 июня, 2017 Share Опубликовано 28 июня, 2017 1) Удалите всё в MBAM. 2) Меняйте все пароли, в первую очередь от почты. Цитата Ссылка на сообщение Поделиться на другие сайты
Хитаров_Тимур 0 Опубликовано 28 июня, 2017 Автор Share Опубликовано 28 июня, 2017 Я правильно понял удалить? Или карантин? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 28 июня, 2017 Share Опубликовано 28 июня, 2017 Удалить и поместить в карантин это одно и тоже в контексте MBAM. Цитата Ссылка на сообщение Поделиться на другие сайты
Хитаров_Тимур 0 Опубликовано 29 июня, 2017 Автор Share Опубликовано 29 июня, 2017 Сделал. На этом всё? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 29 июня, 2017 Share Опубликовано 29 июня, 2017 1) "Пофиксите" в HijackThis: O20 - Winlogon Notify: cpcsp - (file missing) O20 - Winlogon Notify: itcwlnp - (file missing) 2) MBAM деинсталируйте. 3) Пройдитесь утилитой Malwarebytes Clean Tool 3.1.0.1014. 4) Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Хитаров_Тимур 0 Опубликовано 29 июня, 2017 Автор Share Опубликовано 29 июня, 2017 (изменено) К сожалению не дошел до этого. Установил Аваст и установил один из пакетов обновления безопасности, удалил MBAM. Перезагрузка и черный экран. Пробовал в безопасном, заходит. Отключил командой msconfig автозагрузки вдруг что то мешает тоже не помогло. Что посоветуете? Откат системы? Изменено 29 июня, 2017 пользователем Хитаров_Тимур Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 29 июня, 2017 Share Опубликовано 29 июня, 2017 Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.Аналогичным образом можно поступить на вкладке Автозагрузка.Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.Подробнее об этой диагностике читайте здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
Хитаров_Тимур 0 Опубликовано 29 июня, 2017 Автор Share Опубликовано 29 июня, 2017 В общем я сделал много чего, по делу или нет не уверен. Если вкратце то поставил все предложенные обновления (программа SecurityCheck by glax24 & Severnyj) Windows. Так обновления которые были в сделанном от вашего скрипта лог файле (4) Выполните скрипт в AVZ при наличии доступа в интернет Кроме тех что выдало ошибки (Error не найдено). (3) Пройдитесь утилитой Malwarebytes Clean Tool 3.1.0.1014.) Этой программкой тоже прошелся. Все 4 пункта выполнил. То что система не загружалась - мешал Аваст. Вернее с чем то не ладил и система то ли не загружалась вовсе толи делала это очень долго. На всякий случай я прикреплю повторный лог и повторное выполнение скрипта в АВЗ. Уже второй раз заражается всё тем же вирусом, хочется быть уверенным что его не осталось))) И благодарю вас за помощь! Спасибо большое! CollectionLog-2017.06.29-18.52.zip avz_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.