Nesser 923 Опубликовано 18 марта, 2015 Share Опубликовано 18 марта, 2015 (изменено) Принесли ноут зашифрованный decode00001@gmail.com. Видимо, популярный на сегодня тип шифратора Помимо почистить комп... Интересует есть ли ключ к расшифровке или не стоит и надеяться? В общем, на что рассчитывать знакомому? Логи прицепил: CollectionLog-2015.03.18-18.47.zip Изменено 18 марта, 2015 пользователем Nesser Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 18 марта, 2015 Share Опубликовано 18 марта, 2015 Сразу "порадую" - шансов 0% Будет простая зачистка следов Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DeleteFile('C:\Program Files\baidu\baidus.exe','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); DeleteFile('C:\Users\Игорь\AppData\Roaming\1E215FA6\bin.exe','32'); DeleteFile('C:\Users\Игорь\AppData\Roaming\eTranslator\eTranslator.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Update','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1E215FA6','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите в HiJack R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2ea83a36c85db359c20f99e68099a005&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2ea83a36c85db359c20f99e68099a005&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2ea83a36c85db359c20f99e68099a005&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2ea83a36c85db359c20f99e68099a005&text= R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://compactpacs.com/s2w35e/Uj8.uro O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2ea83a36c85db359c20f99e68099a005&text= Сделайте новые логи по правилам 1 Ссылка на сообщение Поделиться на другие сайты
Nesser 923 Опубликовано 18 марта, 2015 Автор Share Опубликовано 18 марта, 2015 "Обрадовал" уже товарища. Повторные логи: CollectionLog-2015.03.18-20.26.zip Файл карантин сформировался неправильно, с ошибкой. В общем пусто по этому пункту. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 18 марта, 2015 Share Опубликовано 18 марта, 2015 Папки C:\Users\Игорь\AppData\Roaming\VOPackageC:\Users\Игорь\AppData\Roaming\eTranslator удалите вручную 1 Ссылка на сообщение Поделиться на другие сайты
Nesser 923 Опубликовано 19 марта, 2015 Автор Share Опубликовано 19 марта, 2015 Удалено. @thyrex, на этом всё? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 19 марта, 2015 Share Опубликовано 19 марта, 2015 Да, на этом все 1 1 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения