Сделайте новые логи AVZ и RSIT
Сделайте новые логи AVZ и RSIT
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Вот:
- - - Добавлено - - -
RSIT забыл
Бэн, ай нид хэлп ))).
Ап темы )
Ребята-хелперы, а мне то чего делать? Уже 5 дней прошло и тема опять уплывает по страницам форума. Мой случай не лечится?
Извините за долгое ожидание.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Documents and Settings\Admin\Application Data\Mjeeeq.exe',''); QuarantineFileF('C:\Documents and Settings\Admin\Application Data\ujgieauf', '*', true, ' ', 0, 0); QuarantineFileF('C:\Documents and Settings\All Users\Application Data\IBank', '*', true, ' ', 0, 0); QuarantineFileF('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus', '*', true, ' ', 0, 0); DeleteFile('C:\Documents and Settings\Admin\Application Data\Mjeeeq.exe','32'); DeleteFile('C:\WINDOWS.0\system32\xtgina.dll','32'); DeleteFile('C:\WINDOWS.0\System32\BeTwinServiceXP.exe','32'); DeleteFile('C:\Documents and Settings\Admin\Start Menu\Programs\Startup\start0.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg','Mjeeeq'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\System','Windows Debugger 32'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\svchost.exe','C:\WINDOWS\system32\svchost.exe:*:Enabled:ipsec'); DeleteFileMask('C:\Documents and Settings\All Users\Application Data\IBank', '*', true, ' '); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus', '*', true, ' '); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\ujgieauf', '*', true, ' '); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\ujgieauf'); DeleteDirectory('C:\Documents and Settings\All Users\Application Data\IBank'); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus'); DeleteService('BeTwinVideo'); DeleteService('BeTwinSystem'); DeleteService('BeTwinKeyboard'); DeleteService('BeTwinMouse'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новые логи AVZ, RSIT.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Ооо. Спасибо Майк. Работаем.
Выполнил скрипт и снова как в предыдущих попытках после перезагрузки не запускается ругаясь на xtgina.dll. После восстановления в безопасном режиме, выполнил скрипт по созданию архива с карантином, но красная ссылка вверху не дает его загрузить, ругаясь на то что "такой файл уже загружен".
- - - Добавлено - - -
Новые логи:
- - - Добавлено - - -
Может не будем пока xtgina.dll трогать? А то никакого прогресса из-за этого. Может без нее скрипт сделать?
К сожалению не получится т.к. этот файл заражен Trojan.Win32.FakeGina.do.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Попробуйте выполнить такой скрипт в AVZ:
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Documents and Settings\Admin\Application Data\Mjeeeq.exe',''); QuarantineFileF('C:\Documents and Settings\Admin\Application Data\ujgieauf', '*', true, ' ', 0, 0); QuarantineFileF('C:\Documents and Settings\All Users\Application Data\IBank', '*', true, ' ', 0, 0); QuarantineFileF('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus', '*', true, ' ', 0, 0); DeleteFile('C:\Documents and Settings\Admin\Application Data\Mjeeeq.exe','32'); DeleteFile('C:\WINDOWS.0\system32\xtgina.dll','32'); DeleteFile('C:\WINDOWS.0\System32\BeTwinServiceXP.exe','32'); RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Mjeeeq'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\System','Windows Debugger 32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','GinaDLL'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\svchost.exe','C:\WINDOWS\system32\svchost.exe:*:Enabled:ipsec'); DeleteFileMask('C:\Documents and Settings\All Users\Application Data\IBank', '*', true, ' '); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus', '*', true, ' '); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\ujgieauf', '*', true, ' '); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\ujgieauf'); DeleteDirectory('C:\Documents and Settings\All Users\Application Data\IBank'); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus'); DeleteService('BeTwinVideo'); DeleteService('BeTwinSystem'); DeleteService('BeTwinKeyboard'); DeleteService('BeTwinMouse'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новые логи AVZ, RSIT
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Ооо. Теперь скрипт выполнился и после перезагрузки, загрузился нормально. Выполнил скрипт по созданию архива карантина и при его пересылке не выдало сообщения, что такой файл уже загружен. Прилагаю новые логи:
Ваш провайдер?
Что с проблемой?IP: 91.206.18.1
Город: Ангарск
Провайдер: Base Ltd.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Да. Это наш городской провайдер БЭЙС. 91.206.18.1 - это DNS его кажется.Ваш провайдер?
Надписей на кнопках по прежнему нет. Это проблемы уже винды? Может попробовать с установочного диска восстановление сделать?Что с проблемой?
Сделайте лог UVS (http://virusinfo.info/showthread.php?t=121767). Если лог получиться большим выложите его на http://www.rghost.ru
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Ну и разнообразный же у вас инструментарий )). Вот:
Проверьте целостность системных файлов. Для этого нажмите на клавиатуре Win+R, введите cmd, нажмите Enter, затем введите команду sfc /scannow и нажмите Enter. Плохого по логу UVS не вижу.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Добрый день. При запуске указанной команды выскочило 2 окошка. Оба с надписью "Защита файлов Windows". Одно с прогрессбарром и кнопкой справа от нее, и прогресс не идет. Просто стоит. На кнопке надписи нет, по той же причине, по которой была создана тема. Во втором окне три кнопки, тоже без подписей и значок такой... Диск и привод нарисован. Похоже это предложение вставить установочный диск для поиска нужных файлов. Я так понял все-таки какие-то системные файлы накрылись или были удалены. Я в этом окне нажал кажется правую кнопку. Это был выход похоже. Что посоветуете?
В некоторых случаях когда идет восстановление системных файлов может потребоваться диск с дистрибутивом Windows. Попробуйте вставить в привод диск с дистрибутивом Windows.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Итак. Нашел я какой-то другой диск с XP. Запустил указанную команду и пошло сканирование. Наверно полчаса где-то. И после этого надписи на кнопках и вообще везде где их не было - появились!!! Я минут 5 улыбаясь лазил по разным окнам и проверял самые разные кнопки ))). В общем все заработало. Огромное вам спасибо, ребята.
- Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Из лога следует что мне надо следующее обновить?:
Java(TM) 6 Update 17 v.6.0.170
Adobe Flash Player 10 ActiveX v.10.0.32.18
Adobe Reader 7.0 v.7.0.0
Установите обновления:
Java(TM) 6 Update 17 v.6.0.170 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^
Adobe Flash Player 10 ActiveX v.10.0.32.18 Внимание! Скачать обновления
Adobe Reader 7.0 v.7.0.0 Внимание! Скачать обновления
Антивирус обновите по этой http://www.esetnod32.ru/download/home/trial/ ссылке.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
mike 1, обновил указанное. Спасибо за профессиональную помощь.
Уважаемый(ая) lonmi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.