Перейти к содержимому


Фотография
- - - - -

Обнулены файлы (dizelmon@danwin1210.me)

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 12

#1 OFF   DLP167

DLP167

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 16 Январь 2018 - 14:15

Здравствуйте!

12.01.2018 на компьютере все файлы из общедоступной папки стали равны 0 кб. При этом в папке появились два текстовых файла (один с нулевым размером) со следующим текстом:

 

"ЕСЛИ ЧТО-ТО СЛУЧИЛОСЬ С ВАШИМИ ФАЙЛАМИ ПИШИТЕ СЮДА____

dizelmon@danwin1210.me"
 
Логи прилагаю.
 

 

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 17 Январь 2018 - 09:21

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\help\lsmosee.exe', '');
 DeleteFile('C:\WINDOWS\help\lsmosee.exe', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#3 OFF   DLP167

DLP167

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 17 Январь 2018 - 12:31

Добрый день!

 

Ответ от Лаборатории Касперского:

 

"Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.
В антивирусных базах информация по присланным вами файлам отсутствует:
lsmosee.exe
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."

 

Номер KLAN-7531286336

 

Свежие логи прилагаю.

 

З.Ы. Какова вероятность, что файлы можно будет восстановить?

 

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 17 Январь 2018 - 12:37

Какова вероятность, что файлы можно будет восстановить?

Весьма невелика, увы.

1. Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.


2.
  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
  • 0
Изображение

#5 OFF   DLP167

DLP167

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 17 Январь 2018 - 13:40

Сделал.

 

Лог UVS 

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 17 Январь 2018 - 13:54

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v400c
    BREG
    zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPLICATION DATA\MICROSOFT\SYSLOG\USERLOGON.EXE
    ;---------command-block---------
    delref WMI_.[FUCKYOUMM2_FILTER]
    apply
    
    czoo
    restart
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Соберите и прикрепите свежий лог uVS.
  • 0
Изображение

#7 OFF   DLP167

DLP167

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 17 Январь 2018 - 14:23

Архив на safezone отправил.

 

Новый лог uVS прилагаю/

Прикрепленные файлы


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 17 Январь 2018 - 14:40

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v400c
    BREG
    ;---------command-block---------
    bl 20B8AD7F38BB0C6FB9CBA1F4AAD9BB3D 25144
    zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPLICATION DATA\MICROSOFT\SYSLOG\USERLOGON.EXE
    delall %Sys32%\CONFIG\SYSTEMPROFILE\APPLICATION DATA\MICROSOFT\SYSLOG\USERLOGON.EXE
    delref %SystemDrive%\PROGRAM FILES\SOLVUSOFT\WINTHRUSTER\SYNC.EXE
    apply
    
    zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPLICATION DATA\MICROSOFT\SYSLOG\TENIODL_CORE.DLL
    bl 36B72ABBDE07B9FC3D3B3C9A1DCEF865 428032
    addsgn 92701F4B10FC44B54FF08A55BBA9BE99E3CED8F2123D5B5CA1A2C7382CBE958224D85F31F951B9DD2AE8FAEDB7D2C49E59EF011EDED9B06FFB547EB0E6134229 64 Win32:Dropper-gen [Drp] [Avast] 7
    
    chklst
    delvir
    
    czoo
    restart
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#9 OFF   DLP167

DLP167

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 17 Январь 2018 - 15:08

Архив на safezone отправил.

 

Отчеты.

 

Прикрепленные файлы


  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 17 Январь 2018 - 15:19

При наличии лицензии на любой из продуктов Касперского можете создать запрос на расшифровку.
Однако шансы на успех ничтожны.
  • 0
Изображение

#11 OFF   DLP167

DLP167

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 17 Январь 2018 - 15:35

Запрос отправлю. Не подскажите, какие файлы стоит туда отправить?

 

З.Ы. По другому не восстановить?

 

З.З.Ы. На этом все? Все вычистили?


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 17 Январь 2018 - 15:48

какие файлы стоит туда отправить?

В архиве пару поврежденных и записку с требованием выкупа.

На всякий случай еще такой лог сделайте:
Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
  • 0
Изображение

#13 OFF   DLP167

DLP167

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 17 Январь 2018 - 16:06

Спасибо за помощь.

Буду ждать ответа от техподдержки. 


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных