baddiw Опубликовано 17 сентября, 2015 Share Опубликовано 17 сентября, 2015 файлы переименованы в email-seven_legion@india.com .ver-CL 1.0.0.0.id-MNOQQSTUVWXYZABCDDEFGIIJKLMMNOPRRSTU-16.09.2015 18@06@287370553.randomname-FIJLMNPQQRTUVVWYZZABDEEFGIIJKL.MNO можно ли их расшифровать? лог прилагаю CollectionLog-2015.09.17-16.58.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 17 сентября, 2015 Share Опубликовано 17 сентября, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\asd\AppData\Roaming\Browsers\exe.atemok.bat',''); QuarantineFile('C:\Windows\Sys\taskmgr.vbs',''); QuarantineFile('C:\Program Files (x86)\0233b7f4.exe',''); QuarantineFile('C:\Users\asd\AppData\Local\Temp\0234c212.exe',''); QuarantineFile('C:\Windows\unpack.exe',''); QuarantineFile('C:\Users\asd\AppData\Local\Kometa\kometaup.exe',''); QuarantineFile('C:\Users\asd\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe',''); QuarantineFile('C:\Users\asd\AppData\Local\Kometa\Application\kometa.exe',''); QuarantineFile('C:\Users\asd\AppData\Local\Temp\wisptis.exe',''); QuarantineFile('C:\PROGRA~3\LOCALS~1\Temp\msolcwez.com',''); SetServiceStart('Windows', 4); DeleteService('Windows'); TerminateProcessByName('C:\Windows\Sys\svchost.exe'); QuarantineFile('C:\Windows\Sys\svchost.exe',''); TerminateProcessByName('C:\Windows\csrss.exe'); QuarantineFile('C:\Windows\csrss.exe',''); DeleteFile('C:\Windows\csrss.exe','32'); DeleteFile('C:\Windows\Sys\svchost.exe','32'); DeleteFile('C:\PROGRA~3\LOCALS~1\Temp\msolcwez.com','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','44470'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FolderInformer','command'); DeleteFile('C:\Users\asd\AppData\Local\Temp\wisptis.exe','32'); DeleteFile('C:\Users\asd\AppData\Local\Kometa\Application\kometa.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_33B70C04E30C602347247AADC530F1A1','command'); DeleteFile('C:\Users\asd\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32'); DeleteFile('C:\Users\asd\AppData\Local\Kometa\kometaup.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command'); DeleteFile('C:\Windows\unpack.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaNotifyer','command'); DeleteFile('C:\Users\asd\AppData\Local\Temp\0234c212.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetworkSaver','command'); DeleteFile('C:\Program Files (x86)\0233b7f4.exe','32'); DeleteFile('C:\Windows\Sys\taskmgr.vbs','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Program','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pr','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qhzwtosuov','command'); DeleteFile('C:\Users\asd\AppData\Roaming\Browsers\exe.atemok.bat','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
baddiw Опубликовано 18 сентября, 2015 Автор Share Опубликовано 18 сентября, 2015 (изменено) KLAN-3147236415 Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.unknownСистеме приёма писем не удалось распаковать этот архив в автоматическом режиме.С уважением, Лаборатория Касперского Это ответ ClearLNK-18.09.2015_09-29.log Изменено 18 сентября, 2015 пользователем baddiw Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 18 сентября, 2015 Share Опубликовано 18 сентября, 2015 Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
baddiw Опубликовано 18 сентября, 2015 Автор Share Опубликовано 18 сентября, 2015 повторные логи ClearLNK-18.09.2015_11-51.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 18 сентября, 2015 Share Опубликовано 18 сентября, 2015 Правила раздела перечитайте и пришлите нужные логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти