Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Костя\appdata\roaming\x11\engine.exe','');
QuarantineFile('C:\Users\Костя\AppData\Roaming\cppredistx86.exe','');
SetServiceStart('servervo', 4);
DeleteService('servervo');
TerminateProcessByName('c:\users\Костя\appdata\roaming\ssleas.exe');
QuarantineFile('c:\users\Костя\appdata\roaming\ssleas.exe','');
TerminateProcessByName('c:\users\Костя\appdata\roaming\vopackage\vosrv.exe');
QuarantineFile('c:\users\Костя\appdata\roaming\vopackage\vosrv.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\users\Костя\appdata\roaming\vopackage\vosrv.exe','32');
DeleteFile('c:\users\Костя\appdata\roaming\ssleas.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\Костя\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Users\Костя\appdata\roaming\x11\engine.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Влад Перминов
      Автор Влад Перминов
      Добрый день, столкнулся с такой вот бедой.
       
      Операционка windows 2008 R2 Standart, резервные копии велись средствами системы на отдельный диск (при шифровании файлов, этого было вполне достаточно), теперь же даже диск с архивными копиями похоже зашифрован тоже.
      Может кто посоветует что делать?



    • Арсен Геворгян
      Автор Арсен Геворгян
      Пришел на почту файл от "РосПотребНадзора" с темой блокировки аккаунта. Скачал файл, но заподозрив неладное удалил его. После перезагрузки все файлы стали иметь название P5290053.JPG.id-1191046480_maxcrypt@foxmail2.com Что делать? Помогите пожалуйста
      CollectionLog-2015.12.17-22.36.zip
    • TWiM
      Автор TWiM
      День добрый, поймали шифровальщика maxcrypt@foxmail2, через почту, открыли и соответственно получили заражение системы. Если быть точнее зашифрованы почти все файлы с расширением docx и jpg. Скорее всего файл шифровальщика сохранился. Отчет прилагается. Заранее благодарю за содействие в проблеме, спасибо.
      CollectionLog-2015.12.10-12.03.zip
    • mikkhr
      Автор mikkhr
      Это третий , но на нём не дошло до надписи на рабочем столе, зашифровано часть файлов на диске D, мы сделали сканирование утилитами. Отчёты прилагаю, очень ждём вашего совета.
      Addition.txt
      CollectionLog-2015.11.28-14.56.zip
      FRST.txt
    • mibds
      Автор mibds
      Здравствуйте. 
       
      Значит все по стандарту.
       
      Секретарше прислали письмо на почту, со вложенным архивом "Сообщение о задолженности". (Прикрепил к теме архив, переименовал в "осторожно вирус")
       
      В архиве скрипт *.js.  с названием "сообщение о задолженности"
       
      Девочка архив распаковала, файл попыталась открыть, скрипт видимо сработал и заблокировались все файлы excel (xls, xlsx) и word (doc).
       
      Вроде другие файлы не пострадали... но могу и не знать. Знаю точно что не пострадали PDF-файлы и те файлы где стояла галка "только чтение", но таких единицы к сожалению.
       
      Прикрепил для примера архив "несколько зашифрованных файлов для примера". Там 5 зашифрованных файлов, точно не скажу "доки" или "эксели".
       
      Прикрепил логи
       
      несколько зашифрованных файлов для примера.rar
      CollectionLog-2015.10.08-17.09.zip
×
×
  • Создать...