gulam 0 Опубликовано 11 ноября, 2015 Share Опубликовано 11 ноября, 2015 На рабочем месте, через почту был запущен вирус, маскировавшийся как файл adobe reader. Данный файл зашифровал множество файлов и документов. Лог прилагается. Файл шифровальщик прилагается - пароль на архив virus Решите проблему проблему. Спасибо. Сообщение от модератора Mark D. Pearlstone Не прикрепляйте вредоносные файлы на форум. Файл удалён. Будем знать что файл вируса не прикреплять в самом форуме. CollectionLog-2015.11.11-19.45.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 11 ноября, 2015 Share Опубликовано 11 ноября, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin DeleteService('wsfd_1_10_0_19'); DeleteService('QMUdisk'); DeleteService('innfd_1_10_0_14'); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys','32'); DeleteFile('C:\Windows\system32\drivers\wsfd_1_10_0_19.sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteFile('C:\Users\Buh1\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\Buh1\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32'); DeleteFile('C:\Windows\Tasks\Price Fountain.job','32'); DeleteFile('C:\Windows\Tasks\PXAQZQT1.job','32'); DeleteFile('C:\ProgramData\TomorrowGames\TomorrowGames.exe','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\Inst_Rep','64'); DeleteFile('C:\Windows\system32\Tasks\LaunchPreSignup','64'); DeleteFile('C:\Windows\system32\Tasks\Price Fountain','64'); DeleteFile('C:\Windows\system32\Tasks\PXAQZQT1','64'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\Windows\system32\Tasks\SomotoUpdateCheckerAutoStart','64'); DeleteFile('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_323338353832373235372d7855236c575a4a5741415034','64'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
gulam 0 Опубликовано 11 ноября, 2015 Автор Share Опубликовано 11 ноября, 2015 Выполнены логи программами и утилитами ClearLNK, AdwCleaner, и повторные логи Автологгером. Примечание: вся работа выполнялась удаленно через Team Viewer. Выполнены логи программами и утилитами ClearLNK, AdwCleaner, и повторные логи Автологгером. Примечание: вся работа выполнялась удаленно через Team Viewer. Запрос на исследование вредоносного файла [KLAN-3338958501] AdwCleanerS1.txt ClearLNK-11.11.2015_20-44.log CollectionLog-2015.11.11-21.14.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 11 ноября, 2015 Share Опубликовано 11 ноября, 2015 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
gulam 0 Опубликовано 11 ноября, 2015 Автор Share Опубликовано 11 ноября, 2015 По данному вопросу... Работа пк была временно приостановлена через Team Viewer. Очистка программой AdwCleaner придется заняться позже, как только окажусь на рабочем месте (примерно через 8-10 часов (msk)). К сведению: было удалено антивирусное решение от Avast (free) и установлена временная лицензия KIS2016. А на счет отчета по программе AdwCleaner. Очистка найденных объектов не предпринималась так как, вы об этом не сообщали. Полагался на то, что по отчету вы отсечете верные и не верные программы, плагины, скрипты и тому подобное. А уж по вашему вердикту, провел бы повторный скан на наличие зловредов, с последующим устранением. Ссылка на сообщение Поделиться на другие сайты
gulam 0 Опубликовано 12 ноября, 2015 Автор Share Опубликовано 12 ноября, 2015 Отчет работы программы AdwCleaner готов AdwCleanerC1.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 12 ноября, 2015 Share Опубликовано 12 ноября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
gulam 0 Опубликовано 13 ноября, 2015 Автор Share Опубликовано 13 ноября, 2015 Логи программы FRST прикрепляю: FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 13 ноября, 2015 Share Опубликовано 13 ноября, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION 2015-11-11 16:51 - 2015-11-11 16:51 - 04320054 _____ C:\Users\Buh1\AppData\Roaming\90CADD4190CADD41.bmp 2015-11-11 16:00 - 2015-11-11 20:28 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-11-11 16:00 - 2015-11-11 20:28 - 00000000 __SHD C:\ProgramData\Windows Task: {C26C2F6A-A742-44E8-9FA6-D088BBBBBEE0} - \SPBIW_UpdateTask_Time_323338353832373235372d7855236c575a4a5741415034 -> No File <==== ATTENTION Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти