CROSS Опубликовано 12 июня, 2015 Share Опубликовано 12 июня, 2015 (изменено) Все выполнено согласно инструкции. Вот логи... Так же, когда ковырялся в поисках злодея, находил в автозапуске программулю "Nezavisimo" с .bat файлом, написан явно русскими из которого было понятно, что на пациенте создавался сервер... Если нужен - могу прислать так же архивом. (пишу, кстати, не с пациента). CollectionLog-2015.06.12-19.18.zip Изменено 12 июня, 2015 пользователем CROSS Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 июня, 2015 Share Опубликовано 12 июня, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{44627DAE-18B6-4ABC-8B22-13979EDFC56D}'); DelBHO('{05EB6920-D8AD-4350-BEF1-4F7107F70431}'); QuarantineFile('C:\Program Files\Torrent Search\Toolbar32.dll',''); QuarantineFile('C:\Users\Kostia\AppData\Roaming\Browsers\exe.resworb.bat',''); QuarantineFile('C:\Program Files\Napnut\Nezavisimo\krip.exe',''); DeleteFile('C:\Program Files\Napnut\Nezavisimo\krip.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Nezavisimo','command'); DeleteFile('C:\Users\Kostia\AppData\Roaming\Browsers\exe.resworb.bat','32'); DeleteFile('C:\Program Files\Torrent Search\Toolbar32.dll','32'); DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам Ссылка на комментарий Поделиться на другие сайты More sharing options...
CROSS Опубликовано 12 июня, 2015 Автор Share Опубликовано 12 июня, 2015 (изменено) Check_Browsers_LNK.log нет в архиве с ClearLNK... Заранее извиняюсь за невнимательность, но где его взять? UP's: нашел, вот лог. Жду ответа с newvirus@kaspersky.com. ClearLNK-13.06.2015_02-29.log Изменено 12 июня, 2015 пользователем CROSS Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 13 июня, 2015 Share Опубликовано 13 июня, 2015 Неужели не заметили? Сделайте новые логи по правилам Ссылка на комментарий Поделиться на другие сайты More sharing options...
CROSS Опубликовано 13 июня, 2015 Автор Share Опубликовано 13 июня, 2015 (изменено) Ответ: Re: xtbl [KLAN-2862809313] От кого: newvirus@kaspersky.com Кому: сегодня, 2:37 Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. exe.resworb.batПолучен неизвестный файл, он будет передан в Вирусную Лабораторию.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. exe.resworb.batAn unknown file has been received. It will be sent to the Virus Lab.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" И новые логи: CollectionLog-2015.06.13-15.00.zip Изменено 14 июня, 2015 пользователем mike 1 Почта скрыта Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 13 июня, 2015 Share Опубликовано 13 июня, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
CROSS Опубликовано 13 июня, 2015 Автор Share Опубликовано 13 июня, 2015 (изменено) Выполнено: FRST.txt не цепляется: Загрузка пропущена (Ошибка403) Addition.txt Изменено 13 июня, 2015 пользователем CROSS Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 13 июня, 2015 Share Опубликовано 13 июня, 2015 FRST.txt не цепляется: Загрузка пропущена (Ошибка403) Заархивируйте Ссылка на комментарий Поделиться на другие сайты More sharing options...
CROSS Опубликовано 13 июня, 2015 Автор Share Опубликовано 13 июня, 2015 Ctrl+C -> Ctrl+V txt FR1T.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 13 июня, 2015 Share Опубликовано 13 июня, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL&q={searchTerms} HKU\S-1-5-21-1576402954-3448742519-1083736156-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL&q={searchTerms} HKU\S-1-5-21-1576402954-3448742519-1083736156-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp HKU\S-1-5-21-1576402954-3448742519-1083736156-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL&q={searchTerms} HKU\S-1-5-21-1576402954-3448742519-1083736156-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search HKU\S-1-5-21-1576402954-3448742519-1083736156-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL&q={searchTerms} SearchScopes: HKU\S-1-5-21-1576402954-3448742519-1083736156-1000 -> yandex.ru-205706 URL = http://webalta.ru/search?q={searchTerms}&from=IE BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File Toolbar: HKU\S-1-5-21-1576402954-3448742519-1083736156-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL FF Extension: SuperMegaBest.com - C:\Users\Kostia\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-09-28] OPR Extension: (SuperMegaBest.com) - C:\Users\Kostia\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2014-09-28] 2015-06-04 19:49 - 2015-06-04 19:49 - 05292054 _____ C:\Users\Kostia\AppData\Roaming\74D4DDB974D4DDB9.bmp 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README9.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README8.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README7.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README6.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README5.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README4.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README3.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README2.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README10.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README1.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README9.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README8.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README7.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README6.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README5.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README4.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README3.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README2.txt 2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README10.txt 2015-06-04 14:00 - 2015-06-12 16:03 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-06-04 14:00 - 2015-06-12 16:03 - 00000000 __SHD C:\ProgramData\Windows 2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README9.txt 2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README8.txt 2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README7.txt 2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README6.txt 2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README5.txt 2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README4.txt 2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README3.txt 2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README2.txt 2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README10.txt 2015-06-04 14:00 - 2015-06-04 14:00 - 00000000 ____D C:\Program Files\Napnut 2015-05-21 21:00 - 2015-05-22 06:21 - 00000000 ___HD C:\Users\Kostia\AppData\Roaming\749A7437 2015-06-13 15:40 - 2009-07-14 07:34 - 00026576 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2015-06-13 15:40 - 2009-07-14 07:34 - 00026576 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2015-06-13 02:06 - 2015-02-28 15:15 - 00000000 ____D C:\Users\Kostia\AppData\Roaming\Browsers 2015-06-12 15:59 - 2015-02-28 15:21 - 00000000 ____D C:\Users\Kostia\AppData\Local\8F1450C0-1425136883-11DD-8959-0023546DA90B 2015-06-12 15:59 - 2015-02-28 15:19 - 00000000 ____D C:\Users\Kostia\AppData\Roaming\8F1450C0-1425136741-11DD-8959-0023546DA90B 2015-03-06 11:44 - 2015-03-06 11:44 - 0613255 _____ (CMI Limited) C:\Users\Kostia\AppData\Local\nst3BEB.tmp AlternateDataStreams: C:\Users\Kostia\Local Settings:wa AlternateDataStreams: C:\Users\Kostia\AppData\Local:wa AlternateDataStreams: C:\Users\Kostia\AppData\Local\Application Data:wa Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
CROSS Опубликовано 13 июня, 2015 Автор Share Опубликовано 13 июня, 2015 Выполнено: Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 13 июня, 2015 Share Опубликовано 13 июня, 2015 C расшифровкой не поможем Как вариант, http://virusinfo.info/showthread.php?t=156188 (создавать тему на Вирусинфо не нужно) Ссылка на комментарий Поделиться на другие сайты More sharing options...
CROSS Опубликовано 13 июня, 2015 Автор Share Опубликовано 13 июня, 2015 А зачем я Fixlog.txt создавал вообще? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 14 июня, 2015 Share Опубликовано 14 июня, 2015 Это не Вы создавали. Это результат выполнения предыдущего скрипта. У Вас, кроме шифровальщика, еще гора мусора была найдена Выяснилось, что помощь в расшифровке этого типа шифровальщика оказывается в индивидуальном порядке лицензионным пользователям продуктов компании Ссылка на комментарий Поделиться на другие сайты More sharing options...
CROSS Опубликовано 14 июня, 2015 Автор Share Опубликовано 14 июня, 2015 То есть если я приобрету лицензию вашего продукта - могу претендовать на помощь? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти