farmys 0 Опубликовано 17 октября, 2014 Share Опубликовано 17 октября, 2014 Здравствуйте! Проблема как и у многих... Вирус зашифровал все файлы семейные фото и ворд документы с распространенными расширениями aes256 CollectionLog-2014.10.17-08.39.zip Ссылка на сообщение Поделиться на другие сайты
farmys 0 Опубликовано 17 октября, 2014 Автор Share Опубликовано 17 октября, 2014 HashKey: 9d677e4d821dfb0f70b5d722cfeb64eb ID: 28347 Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 17 октября, 2014 Share Опубликовано 17 октября, 2014 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe',''); QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_609\s_inst.exe',''); QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_608\s_inst.exe',''); QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_606\s_inst.exe',''); QuarantineFile('C:\Users\Фарис\AppData\Roaming\runWIN\update.exe',''); QuarantineFile('C:\Users\Фарис\AppData\Roaming\runWIN\Updates.exe',''); QuarantineFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); QuarantineFile('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe',''); QuarantineFile('C:\ProgramData\Schedule\timetasks.exe',''); QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe',''); QuarantineFileF('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT', '*.*', true,'', 0, 0, '', ''); DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32'); DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32'); DeleteFile('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32'); DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); DeleteFile('C:\Users\Фарис\AppData\Roaming\runWIN\Updates.exe','32'); DeleteFile('C:\Users\Фарис\AppData\Roaming\runWIN\update.exe','32'); DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_606\s_inst.exe','32'); DeleteFile('C:\Windows\Tasks\newSI_606.job','32'); DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_608\s_inst.exe','32'); DeleteFile('C:\Windows\Tasks\newSI_608.job','32'); DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_609\s_inst.exe','32'); DeleteFile('C:\Windows\Tasks\newSI_609.job','32'); DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32'); DeleteFile('C:\Windows\system32\Tasks\chrome5','32'); DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32'); DeleteFile('C:\Windows\system32\Tasks\newSI_606','32'); DeleteFile('C:\Windows\system32\Tasks\newSI_608','32'); DeleteFile('C:\Windows\system32\Tasks\newSI_609','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NewLoadSystemWIN32','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LoaderSystemWIN','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RuningWIN32','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Encrypt','command'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); DeleteFileMask('C:\Users\Фарис\AppData\Roaming\runWIN', '*', true); DeleteDirectory('C:\Users\Фарис\AppData\Roaming\runWIN'); DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT', '*', true); DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT'); DeleteFileMask('c:\programdata\schedule', '*', true); DeleteDirectory('c:\programdata\schedule'); DeleteFileMask('C:\Program Files\Zaxar', '*', true); DeleteDirectory('C:\Program Files\Zaxar'); DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_606', '*', true); DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_606'); DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_608', '*', true); DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_608'); DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_609', '*', true); DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_609'); DeleteFileMask('C:\Program Files\Microsoft Data', '*', true); DeleteDirectory('C:\Program Files\Microsoft Data'); DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Microsoft DB', '*', true); DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Microsoft DB'); DeleteFileMask('C:\Users\Фарис\AppData\Roaming\GemWare', '*', true); DeleteDirectory('C:\Users\Фарис\AppData\Roaming\GemWare'); DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Browsers', '*', true); DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Browsers'); DeleteFileMask('C:\Users\Фарис\AppData\Roaming\ICL', '*', true); DeleteDirectory('C:\Users\Фарис\AppData\Roaming\ICL'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Скачайте SITLog и сохраните архив с утилитой на Рабочем столеРаспакуйте архив с утилитой в отдельную папкуЗапустите sitlog.exe Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите Да В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txtПрикрепите эти отчеты в вашей теме. Ссылка на сообщение Поделиться на другие сайты
farmys 0 Опубликовано 17 октября, 2014 Автор Share Опубликовано 17 октября, 2014 c:\quarantine.zip не смог закрепить отправил по newvirus@kaspersky.com Сообщение от модератора Mark D. Pearlstone Не выкладывайте карантин на форум. файл удалён. SITLog.txt SITLog_Info.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 17 октября, 2014 Share Опубликовано 17 октября, 2014 Пофиксите в HiJack R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1 Пересоздайте ярлыки C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk По расшифровке пробуем обновленную версию http://support.kaspersky.ru/viruses/disinfection/10556 1 Ссылка на сообщение Поделиться на другие сайты
farmys 0 Опубликовано 17 октября, 2014 Автор Share Опубликовано 17 октября, 2014 спасибо ВАМ огромное, дай бог ВАМ здоровья. пароль подобран успешно. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 17 октября, 2014 Share Опубликовано 17 октября, 2014 Новые SIT логи сделайте для контроля. 1 Ссылка на сообщение Поделиться на другие сайты
farmys 0 Опубликовано 19 октября, 2014 Автор Share Опубликовано 19 октября, 2014 Новые SIT логи для контроля. SITLog.txt SITLog_Info.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 19 октября, 2014 Share Опубликовано 19 октября, 2014 Фикс в HiJack почему не выполнили? Запустите HiJack от имени Администратора по правой кнопке мыши и сделайте Ярлыки тоже похоже не пересоздавали, а сразу ринулись проверять расшифровку C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk 1 Ссылка на сообщение Поделиться на другие сайты
farmys 0 Опубликовано 19 октября, 2014 Автор Share Опубликовано 19 октября, 2014 вроде всё выполнил . hijackthis.log SITLog.txt SITLog_Info.txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 19 октября, 2014 Share Опубликовано 19 октября, 2014 не пересоздан ярлык C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe'); DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk'); DeleteFile('C:\Windows\Tasks\newSI_606.job','32'); DeleteFile('C:\Windows\system32\Tasks\newSI_609','32'); DeleteFile('C:\Windows\system32\Tasks\newSI_608','32'); DeleteFile('C:\Windows\system32\Tasks\newSI_606','32'); DeleteFile('C:\Windows\Tasks\newSI_609.job','32'); DeleteFile('C:\Windows\Tasks\newSI_608.job','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Encrypt','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RuningWIN32','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LoaderSystemWIN','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NewLoadSystemWIN32','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zona','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Сделайте новые логи по правилам. 1 Ссылка на сообщение Поделиться на другие сайты
farmys 0 Опубликовано 19 октября, 2014 Автор Share Опубликовано 19 октября, 2014 скрипт AVZ отправил логи после скрипта AVZ SITLog.txt SITLog_Info.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 19 октября, 2014 Share Опубликовано 19 октября, 2014 Сделайте новые логи по правилам. Где в правилах увидел лог SIT? 1 Ссылка на сообщение Поделиться на другие сайты
farmys 0 Опубликовано 19 октября, 2014 Автор Share Опубликовано 19 октября, 2014 это правильно? KL_syscure.zip Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 19 октября, 2014 Share Опубликовано 19 октября, 2014 farmysНужен лог CollectionLog, как в первом сообщении, только новый. 1 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти