Dypuk Опубликовано 2 сентября, 2015 Share Опубликовано 2 сентября, 2015 Здравствуйте. Вирус зашифровал частично документы, запускается каждый раз при включении компьютера. Открыт был из входящего письма в почте. Так же выводит сообщение на скачивание браузера и перехода в нем на ссылку, пройдя авторизацию через файл Vault.key, прикрепляю логи. Нашел несколько файлов с расширением GPG, Scriping.gpg имеет нулевой размер (0 Kb.) CollectionLog-2015.09.02-08.24.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 2 сентября, 2015 Share Опубликовано 2 сентября, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\DOCUME~1\jurgunov.es\LOCALS~1\Temp\e33176c1.js',''); DeleteFile('C:\DOCUME~1\jurgunov.es\LOCALS~1\Temp\e33176c1.js','32'); DeleteFile('C:\DOCUME~1\jurgunov.es\LOCALS~1\Temp\VAULT.txt','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-2506673397-2813142750-3965359231-1216\Software\Microsoft\Windows\CurrentVersion\Run','e1a04a3c'); RegKeyParamDel('HKEY_USERS','S-1-5-21-2506673397-2813142750-3965359231-1216\Software\Microsoft\Windows\CurrentVersion\Run','58f139df'); RegKeyParamDel('HKEY_USERS','S-1-5-21-2506673397-2813142750-3965359231-1216\Software\Microsoft\Windows\CurrentVersion\Run','ed3f074a'); DeleteFile('C:\Documents and Settings\jurgunov.es\Desktop\vault.txt','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-2506673397-2813142750-3965359231-1216\Software\Microsoft\Windows\CurrentVersion\Run','WinnerDM'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dypuk Опубликовано 2 сентября, 2015 Автор Share Опубликовано 2 сентября, 2015 [KLAN-3101403286] Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. e33176c1.js - Trojan-Ransom.JS.Agent.ahДетектирование файла будет добавлено в следующее обновление.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. e33176c1.js - Trojan-Ransom.JS.Agent.ahNew malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"--------------------------------------------------------------------------------Sent: 9/2/2015 9:45:32 AMTo: newvirus@kaspersky.comSubject: Virus CollectionLog-2015.09.02-14.38.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 2 сентября, 2015 Share Опубликовано 2 сентября, 2015 Логи в порядке. С расшифровкой не поможем Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти