Перейти к содержанию

better_call_saul или 1 апреля продолжается


Рекомендуемые сообщения

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
 QuarantineFile('C:\Documents and Settings\Пучкова\Local Settings\Application Data\Agmlworks\rkqwykqw.dll','');
 QuarantineFile('C:\Documents and Settings\Пучкова\Local Settings\Application Data\Udlrmedia\hvmzagwk.dll','');
 QuarantineFile('C:\Documents and Settings\Пучкова\Local Settings\Application Data\Udlrmedia\12534F00.exe','');
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 TerminateProcessByName('c:\temp\12534f00.exe');
 QuarantineFile('c:\temp\12534f00.exe','');
 DeleteFile('c:\temp\12534f00.exe','32');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Agmlworks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aljlworks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Udlrmedia','command');
 DeleteFile('C:\Documents and Settings\Пучкова\Local Settings\Application Data\Udlrmedia\12534F00.exe','32');
 DeleteFile('C:\Documents and Settings\Пучкова\Local Settings\Application Data\Udlrmedia\hvmzagwk.dll','32');
 DeleteFile('C:\Documents and Settings\Пучкова\Local Settings\Application Data\Agmlworks\rkqwykqw.dll','32');
 DeleteFile('C:\WINDOWS\system32\betwinservicexp.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты

Re: Запрос на исследование вредоносного файла [KLAN-4029158115]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

csrss.exe - Trojan-Ransom.Win32.Shade.xj
12534f00.exe - Trojan.Win32.Boaxxe.ot

Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

CollectionLog-2016.04.02-12.34.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты


2015-03-31 11:59 - 2015-11-02 10:07 - 0151100 _____ () C:\Documents and Settings\Пучкова\Application Data\CONFIRMATION.KEY

2015-03-31 11:59 - 2015-03-31 11:59 - 0001351 _____ () C:\Documents and Settings\Пучкова\Application Data\VAULT.KEY

Забавно. В прошлом году смотрю в день дурака уже ловили шифровальщика и так ничему не научились. Ну что же, госпожу Пучкову мне не жалко в данном случае. Может быть в третий раз она будет думать перед тем, как открывать вложения от неизвестных адресатов. 

 
 
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
S3 BeTwinKeyboard; C:\WINDOWS\System32\drivers\BeTwinKF.sys [16192 2012-06-19] (ThinSoft Pte Ltd.)
S3 BeTwinMouse; C:\WINDOWS\System32\drivers\BeTwinMF.sys [16192 2012-06-19] (ThinSoft Pte Ltd.)
S1 BeTwinSystem; C:\WINDOWS\System32\Drivers\BeTwinSystem.sys [13640 2012-06-19] (ThinSoft Pte Ltd.)
S0 BeTwinVideo; C:\WINDOWS\System32\drivers\BeTwinVF.sys [20800 2012-06-19] (ThinSoft Pte Ltd.)
2016-04-01 13:46 - 2016-04-01 13:46 - 00050680 _____ C:\Documents and Settings\Пучкова\Application Data\tweakChkDsk_ko.p5p
2016-04-01 13:06 - 2016-04-01 13:06 - 03932214 _____ C:\Documents and Settings\Пучкова\Application Data\F01390F0F01390F0.bmp
2016-04-01 11:31 - 2016-04-01 11:31 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2015-03-31 11:59 - 2015-11-02 10:07 - 0151100 _____ () C:\Documents and Settings\Пучкова\Application Data\CONFIRMATION.KEY
2015-03-31 11:59 - 2015-03-31 11:59 - 0001351 _____ () C:\Documents and Settings\Пучкова\Application Data\VAULT.KEY
2014-10-07 08:39 - 2014-10-07 08:39 - 0011264 _____ () C:\Documents and Settings\Пучкова\Application Data\System.dll
zip:C:\FRST\Quarantine
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на комментарий
Поделиться на другие сайты

думать перед тем, как открывать вложения от неизвестных адресатов

Учатся, конечно... Но куда ж бухгалтеру от неизвестных адресатов деться. Вчера нашлось одно подозрительное письмо, но утверждается, что ко вложению не прикасались - открывали только офисные файлы и пдф.

 

Лог + upload отправлен через форму.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Учатся, конечно... Но куда ж бухгалтеру от неизвестных адресатов деться. Вчера нашлось одно подозрительное письмо, но утверждается, что ко вложению не прикасались - открывали только офисные файлы и пдф.

Обучать персонал азам компьютерной гигиены потому что нужно. Админ вообще на что? Ценная информация должна бэкапиться, иначе в один прекрасный день все ваши базы 1С превратятся в груду мусора из-за любопытного сотрудника. 

 

Бухгалтеру это https://forum.kaspersky.com/index.php?showtopic=314866 дашь почитать, а потом примешь у нее экзамен по изученной лекции. 

 

Пароли меняйте. С расшифровкой не поможем. В этот раз предлагаю из зарплаты бухгалтера сделать вычет на покупку дешифратора, иначе она так и будет все подряд открывать. 

Ссылка на комментарий
Поделиться на другие сайты

Бухгалтеру это https://forum.kasper...howtopic=314866 дашь почитать, а потом примешь у нее экзамен по изученной лекции.

Статья, не на 100% эта, но подобная, изучена, да и наизусть выучена в прошлом году, после прошлого шифровальщика. Даже цитата с "избранными расширениями" повешена уровне глаз. Но обязательно вручу почитать-освежить.

Спасибо за помощь.

Ссылка на комментарий
Поделиться на другие сайты

Скажу честно - они стараются, но промашки бывают все же. Были бы молодые, можно было бы жестче воздействовать, с пенсионерами сложнее.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Elly
      От Elly
      Дорогие друзья!
       
      В честь совершенно неофициального праздника – 1 апреля, мы подготовили для вас сказку под названием: «Путешествие в историю», созданную по мотивам одного рассказа в блогах Клуба. Вы можете прочитать её из интереса, но лучше сделать это на платной основе.
      Если вы в срок до 23 часов 00 минут (время московское) 2 апреля 2024 года в этой теме правильно напишете автора искомой записи в блогах, ставшей основой для сказки, то получите 100 баллов. Баллами можно оплатить лицензии и сувениры в магазине Клуба.
       
      Каждый участник может отправить сообщение с указанием автора загаданной записи в блоге только один раз. Сообщение должно быть в категоричной форме и содержать лишь один ник автора (перебор вариантов или предложение нескольких вариантов не допускается).
       
      Пример сообщения, которое можно написать ниже в этой теме:
      Принять участие в конкурсе могут пользователи клуба «Лаборатории Касперского», зарегистрированные до 20.03.2024 года.
       
      Текст сказки представлен в ниже под спойлером.
      Итоги конкурса будут подведены в течение двух дней с момента завершения приёма сообщений с никами автора загаданной записи в блоге. Баллы будут начислены в течение двадцати дней с момента опубликования итогов активности. 
       
      Все вопросы, связанные с корректностью проведения конкурса, необходимо отправлять пользователю @oit, (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов активности и дальнейшего обсуждения не предполагает. До 23 часов 00 минут (время московское) 2 апреля 2024 года  запрещается обсуждать автора сказки, автора загаданной записи в блогах, содержание записей в блогах, содержание сказки, термины и иные вопросы, прямо или косвенно связанные с данной активностью.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.
      Каждый участник конкурса имеет право искать ответы самостоятельно, однако, списывать чужой ответ можно. Признаваться в списывании не обязательно, на получение приза в случае верного угадывания автора искомой записи это не повлияет.
       
      Администрация, официально уведомив, может в любой момент внести изменения в правила активности, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза в случае выявления фактов его недобросовестного участия в нем и/или нарушения правил активности. Любые вопросы, связанные с активностью, в том числе и по начислению баллов, принимаются в течение 30 дней с момента подведения её итогов.
       
      Участие в конкурсе означает безоговорочное согласие с настоящими правилами.

      Удачи!
×
×
  • Создать...