Loer 0 Опубликовано 12 марта, 2015 Share Опубликовано 12 марта, 2015 Добрый день. На электронный адрес пришло письмо с вложенным файлом (письмо удалили) после открытия вложенного файла появилось сообщение, что все текстовые, экселевские и графические файлы зашифрованы к расширению файлов добавилось .vault. Помогите мне пожалуйста. я прикрепляю по одному из файлов. Еще вопрос, я новичок и не нашел где можно скачать программы для сканирования "логов" и как это сделать. У нас на компьютерах стоят защиты от посещения некоторых сайтов. За ранее спасибо Вам большое за помощь и внимание. С Уважением Сергей. НМЦК фрукты свежие.xls продукты питания 2 квартал.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 12 марта, 2015 Share Опубликовано 12 марта, 2015 внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Loer 0 Опубликовано 12 марта, 2015 Автор Share Опубликовано 12 марта, 2015 Прикрепляю файлы, только какие точно нужны я не знаю, поэтому прикрепляю все, не ругайтесь пожалуйста!!! CheckBrowsersLNK.zip CollectionLog-2015.03.12-10.03.zip report1.log report2.log RSIT.zip GeneralScript.txt Script2.txt 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 12 марта, 2015 Share Опубликовано 12 марта, 2015 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Китайский прокси сами прописывали? \\ приложите логи FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Цитата Ссылка на сообщение Поделиться на другие сайты
Loer 0 Опубликовано 12 марта, 2015 Автор Share Опубликовано 12 марта, 2015 Farbar Recovery Scan Tool не скачивается блокируется пишет "Уважаемый пользователь, запрашиваемый Вами ресурс содержит запрещенные материалы. Доступ к ресурсу заблокирован." можно его скачать из другого места? Прикладываю лог ClearLNK-12.03.2015_10-50.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 12 марта, 2015 Share Опубликовано 12 марта, 2015 Китайский прокси сами прописывали? Цитата Ссылка на сообщение Поделиться на другие сайты
Loer 0 Опубликовано 12 марта, 2015 Автор Share Опубликовано 12 марта, 2015 Что за китайский прокси? программист пытался обойти данные блокировки и пытался изменить или что-то сделать с ип-адресом Скажите пожалуйста можно скачать Farbar Recovery Scan Tool из другого сайта, или другим способом? Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 12 марта, 2015 Share Опубликовано 12 марта, 2015 http://safezone.cc/resources/farbar-recovery-scan-tool-frst.64/ \\\ Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\users\Пользователь\appdata\local\kometa\kometaup.exe'); TerminateProcessByName('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe'); TerminateProcessByName('c:\program files (x86)\vk downloader\backgroundsingleton.exe'); TerminateProcessByName('c:\program files (x86)\advplugin\backgroundsingleton.exe'); SetServiceStart('4F888DA8223A97F1', 4); SetServiceStart('AmmyyAdmin_13A0', 4); SetServiceStart('Update Service for VK Downloader', 4); StopService('4F888DA8223A97F1'); StopService('Update Service for VK Downloader'); QuarantineFile('C:\Users\Пользователь\AppData\Local\Temp\Temp1_Ohlucky.zip\Ohlucky.exe',''); QuarantineFile('C:\Program Files (x86)\advPlugin\*',''); QuarantineFile('KMPJL64.DLL',''); QuarantineFile('C:\Windows\TEMP\3DF9E0D.sys',''); QuarantineFile('C:\Users\Пользователь\Downloads\AmmyyAdmin_v3.exe',''); QuarantineFile('C:\Program Files (x86)\VK Downloader\*',''); QuarantineFile('c:\users\Пользователь\appdata\local\kometa\*',''); DeleteFileMask('C:\Program Files (x86)\advPlugin\','*', true, ''); DeleteDirectory('C:\Program Files (x86)\advPlugin\',' '); DeleteFileMask('C:\Program Files (x86)\VK Downloader\','*', true, ''); DeleteDirectory('C:\Program Files (x86)\VK Downloader\',' '); DeleteFile('C:\Users\Пользователь\Downloads\AmmyyAdmin_v3.exe','32'); DeleteFile('C:\Windows\TEMP\3DF9E0D.sys','32'); DeleteFile('C:\Windows\Tasks\Update Service for advPlugin.job','64'); DeleteFile('C:\Windows\Tasks\Update Service for advPlugin2.job','64'); DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin','64'); DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin2','64'); DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\Temp1_Ohlucky.zip\Ohlucky.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{BB5C07A7-7237-45AA-B66B-3675C75691D7}','64'); DeleteFileMask('C:\Users\Пользователь\appdata\local\kometa\','*', true , ''); DeleteDirectory('C:\Users\Пользователь\appdata\local\kometa\',' '); DelBHO('1FE48F08-A2AC-44AC-A21C-0556D91C50DA'); DelBHO('3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6'); DelBHO('7CE987D5-11B3-44FC-9C3D-03069360D462'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ezexjxplib'); DeleteService('4F888DA8223A97F1'); DeleteService('AmmyyAdmin_13A0'); DeleteService('Update Service for VK Downloader'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk. Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky. Порядок действий на портале My Kaspersky:: 1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта; 2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию; 3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла; 4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected; 5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить. Важно: размер архива не должен превышать 15 МБ; 6) В строке EMail укажите адрес своей электронной почты; 7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 112.32.45.200:80 O2 - BHO: advPlugin - {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} - C:\Program Files (x86)\advPlugin\Toolbar32.dll O2 - BHO: VK Downloader - {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} - C:\Program Files (x86)\VK Downloader\Toolbar32.dll O4 - HKCU\..\Run: [ezexjxplib] cmd /c start http://simsimotkroysia.ru/ O4 - HKCU\..\Run: [kometaup] C:\Users\Пользователь\AppData\Local\Kometa\kometaup.exe --windows-start O9 - Extra button: Currency Converter - {7CE987D5-11B3-44FC-9C3D-03069360D462} - C:\Program Files (x86)\advPlugin\Toolbar32.dll Сделайте новые логи по правилам (только пункт 3). Цитата Ссылка на сообщение Поделиться на другие сайты
Loer 0 Опубликовано 12 марта, 2015 Автор Share Опубликовано 12 марта, 2015 Прошу прощения, что забираю у Вас так много времени, но при запуске программы пишет что необходимо использовать FRST64 ( Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 12 марта, 2015 Share Опубликовано 12 марта, 2015 http://www.softpedia.com/get/Security/Security-Related/Farbar-Recovery-Scan-Tool.shtml#download Цитата Ссылка на сообщение Поделиться на другие сайты
Loer 0 Опубликовано 12 марта, 2015 Автор Share Опубликовано 12 марта, 2015 сделал все как Вы писали, файл отправил, выкладываю файл. По последней проверке тоже доступ заблокирован ((( в Пофиксите в HijackThis действительно нет строчек всех, кроме первой. и еще на рабочем столе имеются файлы Vault key, vault.txt и desktop.ini CollectionLog-2015.03.12-13.30.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 12 марта, 2015 Share Опубликовано 12 марта, 2015 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 112.32.45.200:80 почему не пофиксили? Цитата Ссылка на сообщение Поделиться на другие сайты
Loer 0 Опубликовано 12 марта, 2015 Автор Share Опубликовано 12 марта, 2015 Прислали письмо, вот содержание: Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.AmmyyAdmin_v3.exe - not-a-virus:RemoteAdmin.Win32.Ammyy.akzInterfaces64.dll - not-a-virus:WebToolbar.Win32.Agent.biikometaup.exe - not-a-virus:Downloader.Win32.Agent.cxanToolbar32.dll,Toolbar32_0.dll - not-a-virus:WebToolbar.Win32.Agent.bgnЭто - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.BackgroundSingleton.exe,BackgroundSingleton_0.exe,uninstall_0.exeBackgroundSingleton.tlb,BackgroundSingleton_0.tlb,BlD4btObOX.exe,icon16.ico,info.json,info_0.json,install.bat,install.html,install.inf,install_0.bat,install_0.html,install_0.inf,Loader.exe,Loader_0.exe,Runner.exe,Toolbar32.tlb,Toolbar32_0.tlb,Toolbar64.dll,Toolbar64.tlb,Toolbar64_0.dll,Toolbar64_0.tlb,uninstall.exe,update.xml,update_0.xmlInterfaces32.dll,Interfaces32_0.dll,Interfaces64_0.dll,Uninstaller.exe,Uninstaller_0.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" Прислали письмо, вот содержание: Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.AmmyyAdmin_v3.exe - not-a-virus:RemoteAdmin.Win32.Ammyy.akzInterfaces64.dll - not-a-virus:WebToolbar.Win32.Agent.biikometaup.exe - not-a-virus:Downloader.Win32.Agent.cxanToolbar32.dll,Toolbar32_0.dll - not-a-virus:WebToolbar.Win32.Agent.bgnЭто - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.BackgroundSingleton.exe,BackgroundSingleton_0.exe,uninstall_0.exeBackgroundSingleton.tlb,BackgroundSingleton_0.tlb,BlD4btObOX.exe,icon16.ico,info.json,info_0.json,install.bat,install.html,install.inf,install_0.bat,install_0.html,install_0.inf,Loader.exe,Loader_0.exe,Runner.exe,Toolbar32.tlb,Toolbar32_0.tlb,Toolbar64.dll,Toolbar64.tlb,Toolbar64_0.dll,Toolbar64_0.tlb,uninstall.exe,update.xml,update_0.xmlInterfaces32.dll,Interfaces32_0.dll,Interfaces64_0.dll,Uninstaller.exe,Uninstaller_0.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" Пофиксил, прошу прощения за мои тормоза Farbar Recovery Scan Tool скачаю дома и привезу на работу, скорее всего в понедельник выложу результаты hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 12 марта, 2015 Share Опубликовано 12 марта, 2015 и снова не пофикшено: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 112.32.45.200:80 Цитата Ссылка на сообщение Поделиться на другие сайты
Loer 0 Опубликовано 18 марта, 2015 Автор Share Опубликовано 18 марта, 2015 Здравствуйте, сегодня после обеда все выложу Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.