Brtel Опубликовано 8 июля, 2015 Share Опубликовано 8 июля, 2015 Добры день! Подскажте, пожалйста, есь ли возможность расшифровать фалы?Сами не заметили как поймали эту гадость CollectionLog-2015.07.08-14.57.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 9 июля, 2015 Share Опубликовано 9 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe',''); DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}'); DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}'); DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}'); DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}'); DelBHO('{50F4150A-48B2-417A-BE4C-C83F580FB904}'); DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}'); QuarantineFile('C:\Users\Svetlana\AppData\Roaming\Browsers\exe.emorhc.bat',''); DeleteService('TSSK'); SetServiceStart('TSSysKit', 4); DeleteService('TSSysKit'); SetServiceStart('TSKSP', 4); DeleteService('TSKSP'); SetServiceStart('TsFltMgr', 4); DeleteService('TsFltMgr'); SetServiceStart('TSDefenseBt', 4); DeleteService('TSDefenseBt'); SetServiceStart('TSCPM', 4); DeleteService('TSCPM'); SetServiceStart('TS888', 4); DeleteService('TS888'); SetServiceStart('QQSysMon', 4); DeleteService('QQSysMon'); SetServiceStart('TAOAccelerator', 4); DeleteService('TAOAccelerator'); SetServiceStart('TAOKernelDriver', 4); DeleteService('TAOKernelDriver'); SetServiceStart('TFsFlt', 4); DeleteService('TFsFlt'); SetServiceStart('QMUdisk', 4); DeleteService('QMUdisk'); SetServiceStart('QMIEProtect', 4); DeleteService('QMIEProtect'); QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe',''); DeleteService('WindowsMangerProtect'); DeleteService('TAOFrame'); SetServiceStart('insvc_1.10.0.14', 4); DeleteService('insvc_1.10.0.14'); SetServiceStart('QQPCRTP', 4); DeleteService('QQPCRTP'); SetServiceStart('IHProtect Service', 4); DeleteService('IHProtect Service'); QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys',''); QuarantineFile('C:\Program Files\XTab\SupTab.dll',''); QuarantineFile('C:\Program Files\XTab\IeWatchDog.dll',''); QuarantineFile('C:\Program Files\XTab\BrowerWatchCH.dll',''); TerminateProcessByName('c:\users\svetlana\appdata\local\smartweb\smartwebhelper.exe'); QuarantineFile('c:\users\svetlana\appdata\local\smartweb\smartwebhelper.exe',''); TerminateProcessByName('c:\users\svetlana\appdata\local\smartweb\smartwebapp.exe'); QuarantineFile('c:\users\svetlana\appdata\local\smartweb\smartwebapp.exe',''); TerminateProcessByName('d:\program files\tencent\qqpcmgr\10.10.16434.218\qqpcrtp.exe'); TerminateProcessByName('d:\program files\tencent\qqpcmgr\10.10.16434.218\qmdesktopgc.exe'); QuarantineFile('d:\program files\tencent\qqpcmgr\10.10.16434.218\qmdesktopgc.exe',''); TerminateProcessByName('c:\program files\xtab\protectservice.exe'); QuarantineFile('c:\program files\xtab\protectservice.exe',''); TerminateProcessByName('c:\users\svetlana\appdata\local\kometa\kometaup.exe'); QuarantineFile('c:\users\svetlana\appdata\local\kometa\kometaup.exe',''); TerminateProcessByName('c:\program files\xtab\hpnotify.exe'); QuarantineFile('c:\program files\xtab\hpnotify.exe',''); TerminateProcessByName('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe'); QuarantineFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe',''); TerminateProcessByName('c:\program files\xtab\cmdshell.exe'); QuarantineFile('c:\program files\xtab\cmdshell.exe',''); DeleteFile('c:\program files\xtab\cmdshell.exe','32'); DeleteFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe','32'); DeleteFile('c:\program files\xtab\hpnotify.exe','32'); DeleteFile('c:\users\svetlana\appdata\local\kometa\kometaup.exe','32'); DeleteFile('c:\program files\xtab\protectservice.exe','32'); DeleteFile('d:\program files\tencent\qqpcmgr\10.10.16434.218\qmdesktopgc.exe','32'); DeleteFile('d:\program files\tencent\qqpcmgr\10.10.16434.218\qqpcrtp.exe','32'); DeleteFile('c:\users\svetlana\appdata\local\smartweb\smartwebapp.exe','32'); DeleteFile('c:\users\svetlana\appdata\local\smartweb\smartwebhelper.exe','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome.dll','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome_child.dll','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome_elf.dll','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\ffmpegsumo.dll','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\libegl.dll','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\libglesv2.dll','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\pdf.dll','32'); DeleteFile('C:\Program Files\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll','32'); DeleteFile('C:\Program Files\XTab\BrowerWatchCH.dll','32'); DeleteFile('C:\Program Files\XTab\IeWatchDog.dll','32'); DeleteFile('C:\Program Files\XTab\SupTab.dll','32'); DeleteFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMBDScanner.dat','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\FileSmash\QMSoftExt.dll','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMCloudInter\QMCloudInter.dll','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMCpm.dll','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMHips.dll','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMHipsEngine.dll','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\RtpCommon.dll','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMRepairPlugin.dll','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\qmiemalrtpplugin\qmiemalrtpplugin.dll','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAVProxy.dll','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAssocScan.dll','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\ptrate.dll','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMCommon.dll','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMContextScan.dll','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMContextUninstall.dll','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMIEProtect.sys','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQSysMon.sys','32'); DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator.sys','32'); DeleteFile('C:\Windows\system32\drivers\TAOKernel.sys','32'); DeleteFile('C:\Windows\system32\Drivers\TFsFlt.sys','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\tscpm.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\TSDefenseBt.sys','32'); DeleteFile('C:\Windows\system32\drivers\TsFltMgr.sys','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSKsp.sys','32'); DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSSysKit.sys','32'); DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_50EC41310BEB9663E123347B71D6FB82'); DeleteFile('C:\Users\Svetlana\AppData\Roaming\Browsers\exe.emorhc.bat','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{63332668-8CE1-445D-A5EE-25929176714E}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','QQPCTray'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{754DF2CE-51E8-4895-B53C-6381418B84AE}'); DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Brtel Опубликовано 20 июля, 2015 Автор Share Опубликовано 20 июля, 2015 карантин отправить не получилось, т.к. не получается выполнить последний скрипт в AVZ ClearLNK-20.07.2015_22-59.log ClearLNK-20.07.2015_23-11.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 20 июля, 2015 Share Опубликовано 20 июля, 2015 Новые логи по правилам где? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти