Tema321 Опубликовано 15 июня, 2018 Опубликовано 15 июня, 2018 Доброго времени суток. Взломали сайт нашей организации. При открытии его какие-то надписи с просьбой не выключать компьютер и начинается загрузка чего-то. Загрузку остановил, но все равно что-то успело скачаться. Теперь на рабочем столе куча файлов типа 497С.tmp, 50BA.tmp. При попытке удалить их, они заменяются другими примерно с такими же названиями. Мои ярлыки на рабочем столе наложились друг на друга и занимают одно место. Рабочий стол полностью занят, ничего невозможно ни создать, ни переместить. Проводник и программы, браузер работают нормально. CollectionLog-2018.06.15-18.36.zip
regist Опубликовано 15 июня, 2018 Опубликовано 15 июня, 2018 - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению. Программы/расширения от Mail.ru используете? Кнопка "Яндекс" на панели задач - если не используется, то деинсталируйте. + "Пофиксите" в HijackThis: O4 - MSConfig\startupreg: UIExec [command] = C:\Program Files\USB-модем Билайн\UIExec.exe (file missing) (HKLM) (2016/02/24) O4 - MSConfig\startupreg: YandexElements [command] = C:\Users\admin\AppData\Local\Yandex\Elements\elements.exe\8.9.1.5100\elements.exe /auto (file missing) (HKCU) (2016/02/20) O23 - Service S2: 3D Graphic adapter for video card - (d3dadapter) - C:\Windows\System32\svchost.exe -k netsvcs; "ServiceDll" = C:\Windows\System32\d3dadapter.dll (file missing) O23 - Service S2: BDKVRTP Service - (BDKVRTP) - (no file) O23 - Service S2: BDSGRTP Service - (BDSGRTP) - (no file)
Tema321 Опубликовано 15 июня, 2018 Автор Опубликовано 15 июня, 2018 (изменено) https://virusinfo.info/virusdetector/report.php?md5=3CE70E9892994C1F6ED60159DAA2DDC6 ClearLNK-2018.06.15_21.21.37.log AdwCleanerS00.txt Изменено 15 июня, 2018 пользователем Tema321
regist Опубликовано 15 июня, 2018 Опубликовано 15 июня, 2018 Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Tema321 Опубликовано 16 июня, 2018 Автор Опубликовано 16 июня, 2018 не знаю какой из них нужен AdwCleaner[s01] 5 КБ дата создания 2:45 AdwCleaner[C01] 6 КБ дата создания 2:47 ярлыки переименовал в .mp4 и удалил всё. вроде сейчас все норм AdwCleanerS01.txt AdwCleanerC01.txt
regist Опубликовано 16 июня, 2018 Опубликовано 16 июня, 2018 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" .
Tema321 Опубликовано 16 июня, 2018 Автор Опубликовано 16 июня, 2018 ADMINPC_2018-06-17_00-38-22.7z ADMINPC_2018-06-17_00-38-22.7z
regist Опубликовано 17 июня, 2018 Опубликовано 17 июня, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG delref %SystemDrive%\PROGRA~2\VKSAVER\VKSAVER3.DLL zoo %Sys32%\DRIVERS\BD0001.SYS delall %Sys32%\DRIVERS\BD0001.SYS zoo %Sys32%\DRIVERS\BD0002.SYS delall %Sys32%\DRIVERS\BD0002.SYS zoo %Sys32%\DRIVERS\BD0003.SYS delall %Sys32%\DRIVERS\BD0003.SYS zoo %Sys32%\DRIVERS\BDANTIEXP.SYS delall %Sys32%\DRIVERS\BDANTIEXP.SYS zoo %Sys32%\DRIVERS\BDENHANCEBOOST.SYS delall %Sys32%\DRIVERS\BDENHANCEBOOST.SYS bl EA813EC0B267C03985BC435A839ADD1F 94024 zoo %Sys32%\DRIVERS\BDMNETMON.SYS delall %Sys32%\DRIVERS\BDMNETMON.SYS bl 9343EE4D6EECB4825D5D6C1F295180FD 245576 zoo %Sys32%\DRIVERS\BDMWRENCH.SYS delall %Sys32%\DRIVERS\BDMWRENCH.SYS delref %Sys32%\DRIVERS\14121242.SYS delref %Sys32%\DRIVERS\63443908.SYS delref HTTP://GO.MAIL.RU/SEARCH?Q={SEARCHTERMS}&FR=NTG&GP=OPENPART4 delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref F:\HISUITEDOWNLOADER.EXE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref F:\AUTORUN.EXE zoo %Sys32%\DRIVERS\BDARKIT.SYS delall %Sys32%\DRIVERS\BDARKIT.SYS zoo %Sys32%\DRIVERS\BDDEFENSE.SYS delall %Sys32%\DRIVERS\BDDEFENSE.SYS delref F:\INSTALL.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. проблема решена?
regist Опубликовано 21 июня, 2018 Опубликовано 21 июня, 2018 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти