Перейти к содержанию

На съеммном Жестком диске файлы определяются как ярлыки


Рекомендуемые сообщения

На съеммном Жестком диске файлы определяются как ярлыки

на других пк все нормально

 

 

 

Раскрывающийся текст:

post-15149-1307286010_thumb.png

 

 

вот логи

Строгое предупреждение от модератора Mark D. Pearlstone
Не выкладывайте автокарантин на форум. Файл удалён.

 

логи

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

подключите съёмный ЖД (G:)

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ClearQuarantine;
TerminateProcessByName('C:\Users\Const\AppData\Roaming\Hyxexl.exe');
QuarantineFile('G:\autorun.inf','Trojan.Win32.AutoRun.bkr');
QuarantineFile('G:\sestro\minla.exe','');
QuarantineFile('G:\kobi\*.*','');
QuarantineFile('C:\Users\Const\AppData\Roaming\Hyxexl.exe','');
DeleteFile('C:\Users\Const\AppData\Roaming\Hyxexl.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\sestro\minla.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Hyxexl');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',1,1,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [Hyxexl] C:\Users\Const\AppData\Roaming\Hyxexl.exe
O13 - Gopher Prefix:

 

После проведённого лечения рекомендуется установить следующие обновления:

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Сделайте новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Users\Const\AppData\Roaming\Hyxexl.exe','');
QuarantineFile('G:\RECYCLER\f4448e25.exe','');
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RECYCLER\f4448e25.exe');
DeleteFile('C:\Users\Const\AppData\Roaming\Hyxexl.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Hyxexl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты

f4448e25.exe - Worm.Win32.AutoRun.ckgl

Hyxexl.exe - Backdoor.Win32.Ruskill.ee

 

авира постоянно ссылается на опасные объекты в appData\Roaming пишет о троянской программе TR/Jorik.Skor.ahi

 

на другом буке у подруги также заражение.

 

при подключении внешнего устройства памяти ( к примеру флэшки) также папке превращаются в ярлыки к ним

 

в данный момент делаю логи еще раз

 

f4448e25.exe - Worm.Win32.AutoRun.ckgl

Hyxexl.exe - Backdoor.Win32.Ruskill.ee

 

авира постоянно ссылается на опасные объекты в appData\Roaming пишет о троянской программе TR/Jorik.Skor.ahi

 

на другом буке у подруги также заражение.

 

при подключении внешнего устройства памяти ( к примеру флэшки) также папке превращаются в ярлыки к ним

 

в данный момент делаю логи еще раз

virusinfo_syscheck.zip

virusinfo_syscure.zip

osam.html

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

при подключении внешнего устройства памяти

долечите оба компьютера (для второго откройте новую тему).

Вы постоянно заражаете свой внешний ЖД. не используйте его после лечения на втором компьютере, пока не полечите и его.

 

сделайте НОВЫЙ лог Hijackthis (Вы прикладывали старый).

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('G:\RECYCLER\f4448e25.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Const\AppData\Roaming\*.exe','');
QuarantineFile('C:\Documents and Settings\Const\Application Data\*.exe','');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RECYCLER\f4448e25.exe');
DeleteFileMask('C:\Documents and Settings\Const\Application Data\ ','*.exe ',false ,' ');
DeleteFileMask('C:\Documents and Settings\Const\AppData\Roaming\','*.exe ', false,' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 9.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

+ лог MBAM

Ссылка на комментарий
Поделиться на другие сайты

Файлы получилось восстановить http://forum.kasperskyclub.ru/index.php?showtopic=29429

 

помогла программка USB SHOW

 

Вот логи с 1-го Ноутбука

 

Спасибо!

mbam_log_2011_06_13__15_57_31_.txt

hijackthis.log

osam.html

mbam_log_2011_06_13__15_57_31_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

BAHEK1987,

Вы уже в четвёртый раз выложили один и тот же старый лог Hijackthis :(

сделайте НОВЫЙ лог Hijackthis

 

Удалите в MBAM:

c:\Users\Const\AppData\Roaming\342F.tmp (Trojan.Agent.Gen) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

 

 

 

когда будуте делать новый лог MBAM не забудьте подключить внешний ЖД

Ссылка на комментарий
Поделиться на другие сайты

Роман!

Спасибо Вам огромное за все!

 

И мне очень хочется в следующий раз самостоятельно вылечить зловредов.

 

Хочется узнать ваш алгоритм работы - после того как мы выкладываем логи.

 

не могли бы вы поделиться опытом, может быть видео урок - 1 день из жизни Романа_Файв!

 

т.е. вы скачиваете логи. смотрите - и что видите!....

 

обучите нас если не сложно....

Ссылка на комментарий
Поделиться на другие сайты

  • 2 months later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • lonoa
      От lonoa
      Здравствуйте, у меня есть загрузочный диск kaspersky rescue disk 10, на двух ноутбуках Asus x550c и Toshiba satellite l850d не видит жесткие диски только загрузочные сектора. (На других компьютерах с этой же болванки все работает.) В настройках биоса защиты жесткого диска не стоит все отключено. Помогите разобраться. С Уважением Александр
    • khortys
      От khortys
      Добрый день! Меня взломали, заблокировали файлы и теперь вымогают деньги, оставили почту. Пришел сюда потому что не знаю что делать.
      К сожалению самого файл шифровальщика найти не удалось.
      Прикрепляю логи (server1.zip), пару зашифрованных файлов и письмо вымогателей (temp.zip).
      server1.zip temp.zip
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Garand
      От Garand
      Windows Server 2012 R2
      Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.
      в текстовом файле указана почта для восстановления:
      Write to email: a38261062@gmail.com
       
      Во вложении текстовый файл и несколько зашифрованных файлов
      FILES_ENCRYPTED.rar Desktop.rar
    • RadmirLee
      От RadmirLee
      Доброго времени суток.
      Занимательный вышел понедельник.
      С зашифрованного сервера.
      Есть активная подписка на КСОС и его просто отключили... отчёт тоже в приложении.
      Addition.txt FRST.txt ksos.txt
×
×
  • Создать...