al_malev 0 Опубликовано 11 апреля, 2016 Share Опубликовано 11 апреля, 2016 Добрый день. Всё стандартно, получили письмо от налоговой и в итоге зашифрованы все файлы word, excel и картинки. Требуется помощь Ваша помощь. Заранее спасибо. CollectionLog-2016.04.11-14.06.zip FRST.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 11 апреля, 2016 Share Опубликовано 11 апреля, 2016 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: AnySend Интернет Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\program files\win32_computersystemproduct-1457687846---\jnsz1c9.tmp'); StopService('dojygici'); QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 ,0); QuarantineFile('c:\program files\win32_computersystemproduct-1457687846---\jnsz1c9.tmp', ''); QuarantineFile('C:\WINDOWS\system32\SETUPAPI.dll', ''); QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', ''); QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', ''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', ''); QuarantineFile('c:\temp\9aad564a.exe', ''); QuarantineFile('c:\temp\rada5d65.tmp', ''); DeleteFile('c:\program files\win32_computersystemproduct-1457687846---\jnsz1c9.tmp', '32'); DeleteFile('C:\WINDOWS\system32\SETUPAPI.dll', '32'); DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32'); DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32'); DeleteFile('c:\temp\9aad564a.exe', '32'); DeleteFile('c:\temp\rada5d65.tmp', '32'); DeleteFileMask('c:\program files\zaxar', '*', false); DeleteDirectory('c:\program files\zaxar'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader'); RegKeyParamDel('HKEY_USERS','S-1-5-21-4161433045-3982831250-3280702219-1184\Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteService('dojygici'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Далее: Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
al_malev 0 Опубликовано 11 апреля, 2016 Автор Share Опубликовано 11 апреля, 2016 - удалил нежелательное ПО - выгрузил антивирус - выполнил скрипт (первый) - пошла перезагрузка...циклическая...в систему не загружается вынужден был уйти, завтра смогу только дальше разбираться и передоставить логи. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти