AltayResort Опубликовано 7 ноября, 2015 Share Опубликовано 7 ноября, 2015 (изменено) Добрый День! Получили по электроной почте файл с вирусом (прекреплен в скрепке) после открытия файла зашифровались файлы с расширением doc, xls Пример заражонного файла в скрепке, так же прекладываем логи собранные программной autologger. Учитывая финансовый характер заражонных файлов просьба помочь в расшифровке файлов как можно скорее Мы являемся владельцами корпоративной линцензии kaspersky endpoint security. С Уважением. ООО Алтай Резорт Изменено 7 ноября, 2015 пользователем mike 1 Карантин в теме. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 7 ноября, 2015 Share Опубликовано 7 ноября, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\client.exe',''); QuarantineFile('C:\Users\Бодрова\AppData\Local\Host installer\2933571908_installcube.exe',''); QuarantineFile('C:\Users\Бодрова\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\Бодрова\AppData\Roaming\Browsers\exe.emorhc.bat',''); QuarantineFile('C:\Users\Бодрова\AppData\Roaming\Microsoft Update\UnLoad.exe',''); QuarantineFile('C:\Users\Бодрова\AppData\Roaming\GemWare\node-webkit.exe',''); QuarantineFile('C:\Windows\SysWOW64\csrss.exe',''); QuarantineFile('C:\Windows\system32\csrss.exe',''); DeleteFile('C:\Users\99A1~1\AppData\Local\Temp\VAULT.txt','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1ae63f88','command'); DeleteFile('C:\Windows\system32\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Process','command'); DeleteFile('C:\Users\Бодрова\Desktop\vault.txt','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\e080586c','command'); DeleteFile('C:\Windows\SysWOW64\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Host-process Windows (Rundll32.exe)','command'); DeleteFile('C:\Users\Бодрова\AppData\Roaming\GemWare\node-webkit.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\node-webkit','command'); DeleteFile('C:\Users\Бодрова\AppData\Roaming\Microsoft Update\UnLoad.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UnLoad_TorProject','command'); DeleteFile('C:\Users\Бодрова\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\Бодрова\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\desktop (1).ini','32'); DeleteFile('C:\Users\Бодрова\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\Бодрова\AppData\Local\Host installer\2933571908_installcube.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Soft installer','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти