1Влад1 0 Опубликовано 17 сентября, 2014 Share Опубликовано 17 сентября, 2014 Привет всем, помогите решить проблему. Ко всем файлам добавилось расширение *CRY. На рабочем столе появился ярлык "Ваш консультант". Как расшифровать файлы на диске D? Лог с AutoLogger прикреплен ниже. CollectionLog-2014.09.17-21.50.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 409 Опубликовано 18 сентября, 2014 Share Опубликовано 18 сентября, 2014 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\ShopperPro\ShopperPro.exe',''); QuarantineFile('C:\Program Files\ShopperPro\updater.exe',''); QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js',''); QuarantineFile('C:\Users\Ксюша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemAutorun.exe',''); QuarantineFile('C:\Users\Ксюша\AppData\Roaming\system app\loader.exe',''); QuarantineFile('C:\Program Files\ShopperPro\JSDriver\1.37.0.202\jsdrv.sys',''); DeleteService('SPDRIVER_1.37.0.202'); DeleteFile('C:\Program Files\ShopperPro\JSDriver\1.37.0.202\jsdrv.sys','32'); DeleteFile('C:\Users\Ксюша\AppData\Roaming\system app\loader.exe','32'); DeleteFile('C:\Users\Ксюша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemAutorun.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderLocker'); DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32'); DeleteFile('C:\Program Files\ShopperPro\updater.exe','32'); DeleteFile('C:\Program Files\ShopperPro\ShopperPro.exe','32'); DeleteFile('C:\Windows\system32\Tasks\ShopperPro','32'); DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','32'); Delete-File('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_3537303635383538352d3437415a556c2a3223346c41','32'); DeleteFile('C:\Windows\system32\Tasks\SPDriver','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите в HiJack R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhome.vi-view.com/?type=hp&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dfd3c6aeb9cee669d1ddb6c8dd9ae3a7&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dfd3c6aeb9cee669d1ddb6c8dd9ae3a7&text={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?win=141&clid=2151455 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhome.vi-view.com/?type=hp&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://myhome.vi-view.com/?type=hp&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dfd3c6aeb9cee669d1ddb6c8dd9ae3a7&text= Сделайте новые логи Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти