cooperd 0 Опубликовано 21 июля, 2018 Share Опубликовано 21 июля, 2018 (изменено) Добрый день, вирус попал на ноутбук и защифровал большое количество файлов, с помощью Autologger создал архив. подскажите,пожалуйста, дальнейшие действия CollectionLog-2018.07.21-13.49.zip Изменено 21 июля, 2018 пользователем cooperd Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 21 июля, 2018 Share Опубликовано 21 июля, 2018 Здравствуйте, Пожалуйста используете Kaspersky Rescue Disk по удалению файлового вируса. Цитата Ссылка на сообщение Поделиться на другие сайты
cooperd 0 Опубликовано 21 июля, 2018 Автор Share Опубликовано 21 июля, 2018 Подскажите, пожалуйста мне сперва использовать Kaspersky Rescue Disk, он просто в исо формате, его нужно установить и сделать проверку,?а потом уже делать скрипт в avz и отчет в adwcleaner? Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 21 июля, 2018 Share Опубликовано 21 июля, 2018 Да, сначало KRD, если незнаете как с ним работать, то пробуйте использовать KVRT.После этого приложите новые логи автологгера, и не выполняйте предыдущие инструкции по AVZ.P.S. я удалил скрипты AVZ, так как они будут не актуально после проверки утилитой KVRT. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 июля, 2018 Share Опубликовано 21 июля, 2018 KRD нужно записать как образ (а не как файл) на оптический диск, загрузиться с него и выполнить лечение от файлового вируса 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
cooperd 0 Опубликовано 24 июля, 2018 Автор Share Опубликовано 24 июля, 2018 KRD нужно записать как образ (а не как файл) на оптический диск, загрузиться с него и выполнить лечение от файлового вируса Подскажите, пожалуйста, записал на диск, проверил весь ноутбук, нашло 1792 обьекта, что мне выбрать, лечить или все в карантин? а только потом сделать отчет автологгера? вирус подписан как virus32.win32.Neshta.a Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 24 июля, 2018 Share Опубликовано 24 июля, 2018 Все лечить, и только после успешного лечения собирать новые логи Autologger 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
cooperd 0 Опубликовано 24 июля, 2018 Автор Share Опубликовано 24 июля, 2018 Вылечил все кроме 14 обьектов, отправил в каратнин, вот архив автолог CollectionLog-2018.07.24-17.34.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 24 июля, 2018 Share Опубликовано 24 июля, 2018 HiJackThis (из каталога autologger)профиксить O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^AdwCleaner.lnk [backup] => C:\Program Files (x86)\AdwCleaner\Adwcleaner.exe (2018/03/01) (file missing) O9 - Button: HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086} - (no name) - (no file) O9 - Tools menu item: HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086} - Send by Bluetooth to - (no file) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; StopService('werlsfks'); StopService('USER1-ПК'); StopService('SRepairDrv'); StopService('softaal'); StopService('TSSKX64'); StopService('tsnethlpx64'); StopService('TsDefenseBt'); StopService('QMUdisk'); StopService('WindowsDefender'); StopService('TrkWk'); StopService('spoolsrvrs'); StopService('HSystem'); DeleteService('werlsfks'); DeleteService('USER1-ПК'); DeleteService('SRepairDrv'); DeleteService('softaal'); DeleteService('TSSKX64'); DeleteService('tsnethlpx64'); DeleteService('QMUdisk'); DeleteService('TrkWk'); DeleteService('HSystem'); DeleteService('TsDefenseBt'); DeleteService('spoolsrvrs'); TerminateProcessByName('c:\programdata\microsoft\drm\smss.exe'); TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe'); QuarantineFile('c:\programdata\microsoft\drm\smss.exe',''); QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\System\settings.exe',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.2.17058.221',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.2.17058.221\UninstallTips.exe',''); QuarantineFile('C:\Users\aspnet\AppData\Local\Temp\OmagarableQuest.exe',''); QuarantineFile('C:\ProgramData\BOT.exe',''); QuarantineFile('C:\Users\aspnet\AppData\Local\Temp\MonoCecil\Fazathron.exe',''); QuarantineFile('C:\Windows\system32\drivers\tsskx64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsDefenseBT64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\softaal64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys',''); QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe',''); QuarantineFile('C:\Users\User1\AppData\Roaming\Microsoft\Access\nssm.exe',''); QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe',''); QuarantineFile('C:\Program Files (x86)\Defsoft\MWc32L.exe',''); QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe',''); DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','32'); DeleteFile('c:\programdata\microsoft\drm\smss.exe','32'); DeleteFile('C:\Program Files (x86)\Defsoft\MWc32L.exe','64'); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','64'); DeleteFile('C:\Windows\Font\taskhost.exe','64'); DeleteFile('C:\Users\User1\AppData\Roaming\Microsoft\Access\nssm.exe','64'); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','64'); DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','64'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys','64'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\softaal64.sys','64'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsDefenseBT64.sys','64'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys','64'); DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','64'); DeleteFile('C:\ProgramData\BOT.exe','64'); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Root\BOT" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SystemSecurity\CheckUpdate" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{8115B481-327A-428F-BF63-FD847B2D8D3F}" /F', 0, 15000, true); DeleteFile('C:\Users\aspnet\AppData\Local\Temp\OmagarableQuest.exe','64'); ExecuteFile('schtasks.exe', '/delete /TN "AzureSDKService" /F', 0, 15000, true); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.2.17058.221','64'); DeleteFile('C:\Users\aspnet\AppData\Local\Temp\MonoCecil\Fazathron.exe','64'); ExecuteFile('schtasks.exe', '/delete /TN "Adobe Reader" /F', 0, 15000, true); DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\settings.exe','64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. - Подготовьте лог AdwCleaner и приложите его в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
cooperd 0 Опубликовано 25 июля, 2018 Автор Share Опубликовано 25 июля, 2018 Сообщение от модератора thyrex Убрал простыню-цитату Не получается следующее,не могу закинуть архив пишет Ошибка загрузки. Данный файл уже был загруженв программе ClearLNK не пойму где взять файл Лог quarantine.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 июля, 2018 Share Опубликовано 25 июля, 2018 @cooperd, пожалуйста, используйте форму быстрого ответа внизу, а не цитируйте полностью сообщение. в программе ClearLNK не пойму где взять файл Лог Инструкция. Подготовьте лог AdwCleaner и приложите его в темеЭто также ждем. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
cooperd 0 Опубликовано 25 июля, 2018 Автор Share Опубликовано 25 июля, 2018 вот, ClearLNK-2018.07.25_16.57.44.log AdwCleanerS00.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 25 июля, 2018 Share Опубликовано 25 июля, 2018 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
cooperd 0 Опубликовано 25 июля, 2018 Автор Share Опубликовано 25 июля, 2018 вот AdwCleanerC01.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 25 июля, 2018 Share Опубликовано 25 июля, 2018 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.