Решена Проверка рабочего компьютера

Статус
В этой теме нельзя размещать новые ответы.

Eduard Kondratev

Участник
Сообщения
55
Реакции
1
Здравствуйте!
Проверьте, пожалуйста, логи с рабочего компьютера.
Спасибо!
 

Вложения

  • CollectionLog-2017.12.30-07.21.zip
    45.8 KB · Просмотры: 9
Ваше C:\Documents and Settings\АН-72\Шаблоны\Brengkolang.com, в планировщике задач? Ну и машину обновить бы SP3

Какие симптомы?
 
Симптомы следующего характера флешку приношу домой после работы на рабочем компьютере, а там вирусы. Компьютер был проверен: Kaspersky Virus Removal Tool,;Dr.Web CureIt!. Всего угрозы были удалены.
 
А с файлом, что?
 
Логи автосборщиком делал после того как антивирусные утилиты удалили угрозы, значит он на компьютере, не могу утверждать т.к. компьютер находится на работе.
 
Eduard Kondratev, визуально файл похож на зловредный, но на офисных машинах видел легитим и более изощренный. Когда будет доступ, проверьте файл на VirusTotal, если это зловред, то:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\АН-72\Шаблоны\Brengkolang.com', '');
 ExecuteFile('schtasks.exe', '/delete /TN "C:\WINDOWS\Tasks\At1.job" /F', 0, 15000, true);
 DeleteFile('C:\Documents and Settings\АН-72\Шаблоны\Brengkolang.com', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

++
NoMoreAutorun - утилита полного отключения автозапуска на устройствах.

С Наступающим!
 
+ поменяйте пароли на почте и желательно и от других сервисов.

+
Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отсутствует.
 
А вариант обновить систему до SP3? SP2, что лечи, что не лечи...
 
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Отчеты FRST.txt, Addition.txt, Shortcut.txt.
 

Вложения

  • Addition.txt
    39.8 KB · Просмотры: 2
  • FRST.txt
    439.7 KB · Просмотры: 2
  • Shortcut.txt
    61.5 KB · Просмотры: 0
Это корпоративные установки?
HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <==== ATTENTION
    SearchScopes: HKLM -> DefaultScope value is missing
    Task: C:\WINDOWS\Tasks\At1.job => C:\Documents and Settings\АН-72\Шаблоны\Brengkolang.com
    C:\Documents and Settings\АН-72\Шаблоны\Brengkolang.com
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
По поводу корпоративных установок затрудняюсь ответить т.к. ОС я не устанавливал.
 
По поводу корпоративных установок затрудняюсь ответить т.к. ОС я не устанавливал.
Удалим тогда
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1
    HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Теперь к проблемам, какие еще остались?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу