Пинги есть, интернета нет. Последствия вируса-архиватора

@noskov_me · Регистрация: 14.07.2016

Author24 — интернет-сервис помощи студентам

Здравствуйте!

На сервере пользователь запустил скриптик, присланный по почте. Этот скрипт, недолго думая, заархивировал общие папки, 1с и другие базы с паролем. Появилась надпись - сообщите мне на почту что и сколько заархивировано, я вам пришлю пароль от архивов. Делались ежедневные бэкапы, я восстановил всё что мне нужно было и удалил все архивы. Прошёлся avz4. Он ничего сильно подозрительного не нашёл.
После этого не могу в браузере ползать по интернету. Пинги работают, трассировка тоже. Все остальные компы в сети работают штатно. Подозреваю что это последствия вируса, но не могу найти где-что подправлено.
Прошу помощи.

@Sandor · 14.07.2016, 09:29

Здравствуйте!

Ran by: support (group: Limited User) on AQUABOX-SRV

Все утилиты лечение следует запускать от имени администратора. Переделайте, пожалуйста.

@noskov_me · 14.07.2016, 11:37 **[ТС]**

Прошу простить. Добавилась ещё беда. Меняется пароль от Администратора.
Работаю с сервером в основном через удалёнку. Работаю под учёткой support. По указанию, решил зайти под Администратором, не смог. Подумал что забыл просто, т.к. давно не заходил. Сменил пароль. Зашёл, собрал статистику. Ушёл. Сейчас снова попробовал поработать - снова не принимает пароль - 100% верный. Снова сменил, поставил запрет менять пароль пользователю. Теперь не меняет.

@Sandor · 14.07.2016, 11:45

Дополнительно подготовьте и прикрепите лог сканирования AdwCleaner.

@noskov_me · 14.07.2016, 12:05 **[ТС]**

Сделано.

@Sandor · 14.07.2016, 13:12

1.

Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@noskov_me · 14.07.2016, 14:41 **[ТС]**

Готово.

@Sandor · 14.07.2016, 14:58

Восстановление системы по-прежнему выключено:

ATTENTION: System Restore is disabled

включите.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file    
        
            
                
                
                
                
            
        
    Скопировано
start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
CHR Extension: (Google Презентации) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-04-19]
CHR Extension: (Google Таблицы) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-04-19]
CHR Extension: (Google Презентации) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2015-12-29]
CHR Extension: (Google Презентации) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\iifchhfnnmpdbibifmljnfjhpififfog [2016-04-05]
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перегрузите сервер вручную.
Подробнее читайте в этом руководстве.

@noskov_me · 14.07.2016, 15:46 **[ТС]**

Включил.
Перезагрузил после.

@Sandor · 14.07.2016, 15:51

Изменения есть? Проверяете во всех браузерах, в т.ч. в IE?

@noskov_me · 14.07.2016, 15:55 **[ТС]**

IE 11 - Не удается отобразить эту страницу
Opera 38 - Не удалось обнаружить DNS-адрес google.ru.
Opera 12 - Невозможно найти удалённый сервер

Ситуация не изменилась.

@Sandor · 14.07.2016, 16:00

Если в адресной строке ввести

216.58.213.195

страница открывается?

@noskov_me · 14.07.2016, 16:06 **[ТС]**

Нет. Ни в одном из браузеров.

@Sandor · 14.07.2016, 16:07

Запустите AVZ (при подключенном интернете), меню Файл - Выполнить скрипт - Скопируйте ниже написанный скрипт - Нажмите кнопку Запустить.

Code    
        
            
                
                
                
                
            
        
    Скопировано
var
STR : TStringList;
CMDFile: string;
begin
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
STR := TStringList.Create;
STR.Add('ipconfig /all > diag.log');
STR.Add('route print >> diag.log');
STR.Add('ping www.yandex.ru >> diag.log');
STR.Add('ping 77.88.55.55 >> diag.log');
STR.Add('tracert www.yandex.ru >> diag.log');
STR.Add('tracert 77.88.55.55 >> diag.log');
STR.SaveToFile(GetAVZDirectory + 'diag.cmd');
CMDFile:= GetAVZDirectory + 'diag.cmd';
ExecuteFile(CMDFile, '', 0, 200000, true);
end.

Файл diag.log из папки с AVZ прикрепите к сообщению.

@noskov_me · 14.07.2016, 16:15 **[ТС]**

Сделано.

@Sandor · 14.07.2016, 16:21

Прошу прощения, забываю, что форум вставляет ссылки. Я поправил скрипт, выполните его еще раз.

@noskov_me · 14.07.2016, 16:23 **[ТС]**

Сделано.

@Sandor · 14.07.2016, 16:35

Сообщение от noskov_me

Прошёлся avz4

Поясните, что именно делали? Что-то из Восстановления в AVZ запускали?

@noskov_me · 14.07.2016, 16:38 **[ТС]**

Да. В том числе и восстановление системы.
Пункты 2,3,4,13,14,15,20.
Если правильно вспомнил.

@Sandor · 14.07.2016, 16:48

Напрасно ((

В той папке AVZ, откуда Вы до обращения сюда запускали утилиту, должна быть папка Backup. Войдите в нее и запустите твики реестра (в имени должен быть указан номер). Конкретно 14 и 15.

Новые блоги и статьи Все статьи Все блоги /
TypeScript: Классы и конструкторы run.dev 06.04.2025 TypeScript, как статически типизированный язык, построенный на основе JavaScript, привнес в веб-разработку новый уровень надежности и структурированности кода. Одним из важнейших элементов этой. . .	Многопоточное программирование: Rust против C++ golander 06.04.2025 C++ существует уже несколько десятилетий и его поддержка параллелизма постепенно наращивалась со временем. Начиная с C++11, язык получил стандартную библиотеку для работы с потоками, а в последующих. . .	std::vector в C++: от основ к оптимизации производительности NullReferenced 05.04.2025 Для многих программистов знакомство с std::vector происходит на ранних этапах изучения языка, но между базовым пониманием и подлинным мастерством лежит огромная дистанция. Контейнер std::vector. . .	Реляционная модель и правила Кодда: фундамент современных баз данных Codd 05.04.2025 Конец 1960-х — начало 1970-х годов был периодом глубоких трансформаций в области хранения и обработки данных. На фоне растущих потребностей бизнеса и правительственных структур существовавшие на тот. . .	Асинхронные операции в Django с Celery py-thonny 05.04.2025 Разработчики Django часто сталкиваются с проблемой, когда пользователь нажимает кнопку отправки формы и. . . ждёт. Секунды растягиваются в минуты, терпение иссякает, а интерфейс приложения замирает. . . .
Использование кэшей CPU: Максимальная производительность в Go golander 05.04.2025 Разработчикам хорошо известно, что эффективность кода зависит не только от алгоритмов и структур данных, но и от того, насколько удачно программа взаимодействует с железом. Среди множества факторов,. . .	Создаем Telegram бот на TypeScript с grammY run.dev 05.04.2025 Одна из его самых сильных сторон Telegram — это интеграция ботов прямо в экосистему приложения. В отличие от многих других платформ, он предоставляет разработчикам мощный API, позволяющий создавать. . .	Паттерны распределённых транзакций в Event-Driven микросервисах ArchitectMsa 05.04.2025 Современные программные системы всё чаще проектируются как совокупность взаимодействующих микросервисов. И хотя такой подход даёт множество преимуществ — масштабируемость, гибкость, устойчивость к. . .	Работа с объемным DOM в javascript Htext 04.04.2025 Сегодня прочитал статью тут о расходах памяти в JS, ее утечках и т. п. И вот что вспомнил из своей недавней практики. Может, кому пригодится. Хотя, в той статье об этом тоже есть. Дело в том, что я. . .	Оптимизация производительности Node.js с помощью кластеризации run.dev 04.04.2025 Масштабирование приложений для обработки тысяч и миллионов запросов — обыденная задача для многих команд. Node. js, благодаря своей асинхронной событийно-ориентированной архитектуре, стал популярной. . .

@Sandor 22340 / 15818 / 3054 Регистрация: 08.10.2012 Сообщений: 64,316
	14.07.2016, 09:29
	Здравствуйте! Ran by: support (group: Limited User) on AQUABOX-SRV Все утилиты лечение следует запускать от имени администратора. Переделайте, пожалуйста. 0

@Sandor 22340 / 15818 / 3054 Регистрация: 08.10.2012 Сообщений: 64,316
	14.07.2016, 11:45
	Дополнительно подготовьте и прикрепите лог сканирования AdwCleaner. 0

@Sandor 22340 / 15818 / 3054 Регистрация: 08.10.2012 Сообщений: 64,316
	14.07.2016, 13:12
	1. Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22340 / 15818 / 3054 Регистрация: 08.10.2012 Сообщений: 64,316
	14.07.2016, 15:51
	Изменения есть? Проверяете во всех браузерах, в т.ч. в IE? 0

@noskov_me 0 / 0 / 0 Регистрация: 14.07.2016 Сообщений: 22
	14.07.2016, 15:55 [ТС]
	IE 11 - Не удается отобразить эту страницу Opera 38 - Не удалось обнаружить DNS-адрес google.ru. Opera 12 - Невозможно найти удалённый сервер Ситуация не изменилась. 0

@Sandor 22340 / 15818 / 3054 Регистрация: 08.10.2012 Сообщений: 64,316
	14.07.2016, 16:00
	Если в адресной строке ввести 216.58.213.195 страница открывается? 0

@noskov_me 0 / 0 / 0 Регистрация: 14.07.2016 Сообщений: 22
	14.07.2016, 16:06 [ТС]
	Нет. Ни в одном из браузеров. 0

@Sandor 22340 / 15818 / 3054 Регистрация: 08.10.2012 Сообщений: 64,316
	14.07.2016, 16:21
	Прошу прощения, забываю, что форум вставляет ссылки. Я поправил скрипт, выполните его еще раз. 0

@Sandor 22340 / 15818 / 3054 Регистрация: 08.10.2012 Сообщений: 64,316
	14.07.2016, 16:35
	Сообщение от noskov_me Прошёлся avz4 Поясните, что именно делали? Что-то из Восстановления в AVZ запускали? 0

@noskov_me 0 / 0 / 0 Регистрация: 14.07.2016 Сообщений: 22
	14.07.2016, 16:38 [ТС]
	Да. В том числе и восстановление системы. Пункты 2,3,4,13,14,15,20. Если правильно вспомнил. 0

@Sandor 22340 / 15818 / 3054 Регистрация: 08.10.2012 Сообщений: 64,316
	14.07.2016, 16:48
	Напрасно (( В той папке AVZ, откуда Вы до обращения сюда запускали утилиту, должна быть папка Backup. Войдите в нее и запустите твики реестра (в имени должен быть указан номер). Конкретно 14 и 15. 0