dmitriy797 Опубликовано 27 декабря, 2015 Опубликовано 27 декабря, 2015 День добрый. Вирус зашифровал файлы. Пришло письмо на почту со ссылкой, при открыти файлы зашифровались. Согласно инструкции http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]прилагаю файлы с логами. CollectionLog-2015.12.27-16.45.zip
thyrex Опубликовано 27 декабря, 2015 Опубликовано 27 декабря, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\ITsoft\BiomCtrlFace.dll',''); QuarantineFile('C:\Documents and Settings\User\Мои документы\Downloads\schet.nomer.10400514-10-12 (1).scr',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\YmrPack\BiomCtrlFace.dll',''); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\YmrPack\BiomCtrlFace.dll','32'); DeleteFile('C:\Documents and Settings\User\Мои документы\Downloads\schet.nomer.10400514-10-12 (1).scr','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Evdtion'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YmrPack'); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\ITsoft\BiomCtrlFace.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
dmitriy797 Опубликовано 27 декабря, 2015 Автор Опубликовано 27 декабря, 2015 [KLAN-3517259309] Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.BiomCtrlFace.dll - Trojan.Win32.Yakes.ntauBiomCtrlFace_0.dll - Trojan.Win32.Agentb.bqrvДетектирование файлов будет добавлено в следующее обновление.С уважением, Лаборатория Касперского Я так понимаю что надо еще раз скачать файл для создания логов и запустить его?
Sandor Опубликовано 27 декабря, 2015 Опубликовано 27 декабря, 2015 Правильно. Только заново качать не обязательно, достаточно еще раз запустить Autologger.
dmitriy797 Опубликовано 27 декабря, 2015 Автор Опубликовано 27 декабря, 2015 прилагаю отчеты после сканирования. CollectionLog-2015.12.27-17.41.zip
thyrex Опубликовано 27 декабря, 2015 Опубликовано 27 декабря, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
dmitriy797 Опубликовано 27 декабря, 2015 Автор Опубликовано 27 декабря, 2015 Прикладываю архив с двумя отчетами Addition.rar
thyrex Опубликовано 27 декабря, 2015 Опубликовано 27 декабря, 2015 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM\...\Run: [] => [X] FF Extension: No Name - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 15.0.0\FFExt\content_blocker@kaspersky.com [not found] 2015-12-10 13:58 - 2015-12-10 13:58 - 00000013 _____ C:\Documents and Settings\User\Application Data\Ky7d757rdtfygug41.ini 2015-12-10 13:58 - 2015-12-10 13:58 - 00000000 ____D C:\Documents and Settings\User\Application Data\fitesimg1 2015-12-10 13:58 - 2015-12-10 13:58 - 00000000 ____D C:\Documents and Settings\User\Application Data\filesbo1 2015-12-10 13:58 - 2015-12-10 13:58 - 00000000 ____D C:\Documents and Settings\User\Application Data\fesbo 2015-12-10 13:53 - 2015-12-27 17:12 - 00000000 ____D C:\Documents and Settings\User\Local Settings\Application Data\ITsoft 2015-12-10 13:52 - 2015-12-10 13:52 - 03932214 _____ C:\Documents and Settings\User\Application Data\71C87E8F71C87E8F.bmp 2015-12-10 13:31 - 2015-12-10 13:32 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
dmitriy797 Опубликовано 27 декабря, 2015 Автор Опубликовано 27 декабря, 2015 прикладываю лог выполнения. Fixlog.txt
dmitriy797 Опубликовано 27 декабря, 2015 Автор Опубликовано 27 декабря, 2015 Спасибо за помощь. Я понял, еще вопрос, эти файлы уже никогда нельзя будет расшифровать?
thyrex Опубликовано 27 декабря, 2015 Опубликовано 27 декабря, 2015 Кто знает, что может произойти спустя какое-то время. Может злодеев поймают, и они все отдадут, например
dmitriy797 Опубликовано 27 декабря, 2015 Автор Опубликовано 27 декабря, 2015 Я понял. Спасибо большое.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти