sereginsv Опубликовано 14 мая, 2015 Опубликовано 14 мая, 2015 (изменено) Добрый день. В результате вирусной активности зашифровались файлы msoffice и jpg. (фото и личные документы) с переименованием в *.xtblЛог файла в аттаче. Заранее спасибо. PS Вероятнее всего шифрование прошло после открытия письма с Word вложением. После посмотрели кино, а после окончания просмотра было уже ку. CollectionLog-2015.05.14-21.47.zip Изменено 14 мая, 2015 пользователем sereginsv
thyrex Опубликовано 14 мая, 2015 Опубликовано 14 мая, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\f\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\f\AppData\Local\Yandex\browser.bat',''); DeleteFile('C:\Users\f\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\f\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\WINDOWS\Tasks\Digital Sites.job','64'); DeleteFile('C:\Program Files (x86)\RCP\systweakasp.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\ASP','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Digital Sites','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам
sereginsv Опубликовано 19 мая, 2015 Автор Опубликовано 19 мая, 2015 (изменено) Добрый день. Ответ: [KLAN-2778889036] ? Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. browser.batПолучен неизвестный файл, он будет передан в Вирусную Лабораторию.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" Повторно файл с C:\Users\f\Desktop\AutoLogger\CollectionLog-2015.05.19-20.04.zip не прекрепляется. Файл ClearLNK-19.05.2015_19-49.log Изменено 19 мая, 2015 пользователем sereginsv
thyrex Опубликовано 19 мая, 2015 Опубликовано 19 мая, 2015 Повторно файл с C:\Users\f\Desktop\AutoLogger\CollectionLog-2015.05.19-20.04.zip не прекрепляется. Что пишет?
sereginsv Опубликовано 19 мая, 2015 Автор Опубликовано 19 мая, 2015 Повторно файл с C:\Users\f\Desktop\AutoLogger\CollectionLog-2015.05.19-20.04.zip не прекрепляется.Что пишет? Ничего, как будто скрипт загрузки не выполняется. Пробовал с двух разных компов. Вот ссылка на onedrive. http://1drv.ms/1F06W29
mike 1 Опубликовано 19 мая, 2015 Опубликовано 19 мая, 2015 Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
sereginsv Опубликовано 19 мая, 2015 Автор Опубликовано 19 мая, 2015 Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ошибка запуска приложения. 0xc000007b
thyrex Опубликовано 19 мая, 2015 Опубликовано 19 мая, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
sereginsv Опубликовано 19 мая, 2015 Автор Опубликовано 19 мая, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Перестала работать загрузка файлов. Профиль через facebook.com создан. И был какой то глюк. Форум терял связку аккаунтов, после этого не могу грузить файлы. Сорри но только так (ссылка на onedrive.live.com) http://1drv.ms/1EVYwry
thyrex Опубликовано 20 мая, 2015 Опубликовано 20 мая, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1399189447&from=cor&uid=HitachiXHTS541075A9E680_130109J841001VJ59H8CX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1399189447&from=cor&uid=HitachiXHTS541075A9E680_130109J841001VJ59H8CX&q={searchTerms} HKU\S-1-5-21-529891017-314046463-7195969-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=4e948e329a12fdfe3207307ce6d0a0c8&text={searchTerms} HKU\S-1-5-21-529891017-314046463-7195969-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=4e948e329a12fdfe3207307ce6d0a0c8&text={searchTerms} SearchScopes: HKU\S-1-5-21-529891017-314046463-7195969-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=4e948e329a12fdfe3207307ce6d0a0c8&text={searchTerms} SearchScopes: HKU\S-1-5-21-529891017-314046463-7195969-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=4e948e329a12fdfe3207307ce6d0a0c8&text= BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-529891017-314046463-7195969-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-529891017-314046463-7195969-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Handler: WSWSVCUchrome - No CLSID Value CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value CHR HKLM-x32\...\Chrome\Extension: [jbolfgndggfhhpbnkgnpjkfhinclbigj] - No Path Or update_url value Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
sereginsv Опубликовано 21 мая, 2015 Автор Опубликовано 21 мая, 2015 ! Получилось прилепить файл. Fixlog.txt
sereginsv Опубликовано 25 мая, 2015 Автор Опубликовано 25 мая, 2015 Коллеги ? будут какие то дальнейшие рекомендации ?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти