[Katharsis]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение систем от вредоносных программ и выполните Правила запроса о помощи.
_______________________________________________________

Цитата:

C:\RectorDecryptor.2.6.8.0_28.10.2013_10.54.39_log.txt C:\XoristDecryptor.2.3.22.0_28.10.2013_10.53.48_log.txt

у вас файлы зашифрованы или зачем это?

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\Install\Winamp Pro v 5.622 Build 3189 Final\KeyGen by\tRUE\tRUEs.KeyGen.exe','');
 QuarantineFile('D:\Install\!Стройтехнорм_v5\SD_5_LAN_KEYGEN_INT_271\SD5Keygen.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\HNPsSdk.drv','');
 QuarantineFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\mc21.tmp','');
 DeleteFile('C:\WINDOWS\system32\Drivers\HNPsSdk.drv','32');
 DeleteService('PSSdk21');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

3. Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

[cyber_mhn]

Доброе утро. Спасибо за рекомендации.
Файлы C:\RectorDecryptor.2.6.8.0_28.10.2013_10.54.39_log.txt и C:\XoristDecryptor.2.3.22.0_28.10.2013_10.53.48_log.txt остались от использования утилит Лаборатории Касперского (от страха запускал всё), но так ничего этими 2-мя утилитами и не проверил (не было ничего шифрованного для проверки), логи наверное остались о попытке проверки.
Далее все сделал согласно вышеуказанным рекомендациям.

[Katharsis]

карантин еще раз отправьте, т к не вижу его в ящике

[cyber_mhn]

Цитата Katharsis:

карантин еще раз отправьте, т к не вижу его в ящике »

Повторил.

[Katharsis]

и еще на почту quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме

по поиску АВЗ: отметьте все пункты (ПКМ по списку - выбрать все) и нажмите "удалить"

Цитата:

Из найденного MBAM удалите только это: Обнаруженные ключи в реестре: 8 HKCR\CLSID\{33119133-0854-469d-807A-171568457991} (PUP.Optional.FunWebProducts.A) -> Действие не было предпринято. HKCR\VideoDownloadConverter_4z.SkinLauncherSettings.1 (PUP.Optional.FunWebProducts.A) -> Действие не было предпринято. HKCR\VideoDownloadConverter_4z.SkinLauncherSettings (PUP.Optional.FunWebProducts.A) -> Действие не было предпринято. HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent) -> Действие не было предпринято. Обнаруженные параметры в реестре: 1 HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято. Объекты реестра обнаружены: 4 HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято. Обнаруженные папки: 2 C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято. C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято. Обнаруженные файлы: 38 C:\Documents and Settings\Andrey\Setup.exe (Trojan.Agent) -> Действие не было предпринято.

[Katharsis]

Цитата:

D:\Install\!Стройтехнорм_v5\SD_5_LAN_KEYGEN_INT_271\SD5Keygen.exe D:\Install\Winamp Pro v 5.622 Build 3189 Final\KeyGen by\tRUE\tRUE's.KeyGen.exe

от этого лучше избавиться

в остальном нормально. проблема решена?

[cyber_mhn]

День добрый. По поиску AVZ- удалил все записи и всё, конец, винда загружается появляется рабочий стол без ярлыков и всё, ничего больше не работает. Восстановление системы не помогает. Почему, черт возьми, копию реестра не сделал? Как быть дальше не подскажите?

[Katharsis]

нужно запустить проводник.

1 способ

нажмите ctrl -alt - del, откроется диспетчер задач в строку "новая задача" введите "explorer.exe" нажмите enter

2. способ, если первый не поможет:

нажмите клавиши Windows + U, потом кнопку "справка". в следующем окне кликните по верхнему левому углу, в контекстном меню выберите пункт "перейти по адресу". запустится браузер IE. в адресной строке впишите C:\windows\explorer.exe

запустится проводник, появится рабочий стол. как сделаете, отпишитесь

[cyber_mhn]

Не совсем наверное я правильно изъяснился. Комп вроде загрузился, но не реагирует ни на какую комбинацию ни клавиш ни мыши-жмешь и ничего не происходит, то есть вызвать диспетчер не представляется возможным. На экране только пустые обои да мышка. Безопасный режим работает нормально. Из него пробовал восстановить систему-все тщетно. Видать что-то лишнего в реестре удалил. Комп рабочий, доступ к нему будет только в пятницу. В AVZ случаем нету функции отката?