Александр Шуплецов Опубликовано 12 апреля, 2016 Опубликовано 12 апреля, 2016 все файлы зашифровались Addition.txt FRST.txt CollectionLog-2016.04.12-19.24.zip
thyrex Опубликовано 12 апреля, 2016 Опубликовано 12 апреля, 2016 В теме http://forum.kasperskyclub.ru/index.php?showtopic=49629 другой компьютер?
Александр Шуплецов Опубликовано 12 апреля, 2016 Автор Опубликовано 12 апреля, 2016 да письмо счастья прилетело на два компьютера сразу
thyrex Опубликовано 12 апреля, 2016 Опубликовано 12 апреля, 2016 Открыли отдельно письмо на этом компьютере? Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe',''); QuarantineFile('C:\Program Files\contentprotector\nfregdrv.exe',''); QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe',''); QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe',''); QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe',''); QuarantineFile('C:\Program Files\contentprotector\condefclean.exe',''); QuarantineFile('C:\Documents and Settings\Наталья\Local Settings\Application Data\SaveYouTime\config.json',''); QuarantineFile('C:\Documents and Settings\Наталья\Local Settings\Application Data\SaveYouTime\stub.exe',''); SetServiceStart('ContentProtector', 4); SetServiceStart('ContentProtectorUpdate', 4); SetServiceStart('ContentProtectorDrv', 4); DeleteService('ContentProtectorDrv'); DeleteService('ContentProtector'); DeleteService('ContentProtectorUpdate'); QuarantineFile('C:\WINDOWS\system32\drivers\ContentProtectorDrv.sys',''); TerminateProcessByName('c:\program files\contentprotector\contentprotector.exe'); TerminateProcessByName('c:\program files\contentprotector\contentprotectorupdate.exe'); QuarantineFile('c:\program files\contentprotector\contentprotectorupdate.exe',''); QuarantineFile('c:\program files\contentprotector\contentprotector.exe',''); DeleteFile('c:\program files\contentprotector\contentprotector.exe','32'); DeleteFile('c:\program files\contentprotector\contentprotectorupdate.exe','32'); DeleteFile('C:\WINDOWS\system32\drivers\ContentProtectorDrv.sys','32'); DeleteFile('C:\Documents and Settings\Наталья\Local Settings\Application Data\SaveYouTime\stub.exe','32'); DeleteFile('C:\Documents and Settings\Наталья\Local Settings\Application Data\SaveYouTime\config.json','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SaveYouTime'); DeleteFile('C:\Program Files\contentprotector\condefclean.exe','32'); DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','32'); DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe','32'); DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe','32'); DeleteFile('C:\Program Files\contentprotector\libeay32.dll','32'); DeleteFile('C:\Program Files\contentprotector\nfregdrv.exe','32'); DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe','32'); DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll','32'); DeleteFile('C:\Program Files\contentprotector\ssleay32.dll','32'); DeleteFileMask('C:\Program Files\contentprotector', '*', true); DeleteDirectory('C:\Program Files\contentprotector'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Александр Шуплецов Опубликовано 12 апреля, 2016 Автор Опубликовано 12 апреля, 2016 KLAN-4074554239 Addition.txt FRST.txt CollectionLog-2016.04.12-20.36.zip
thyrex Опубликовано 12 апреля, 2016 Опубликовано 12 апреля, 2016 Открыли отдельно письмо на этом компьютере?Не заметили, ну и ладно. Уже сам по логу увидел ответ на свой вопрос. 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: 2016-04-05 08:25 - 2016-04-05 08:25 - 03932214 _____ C:\Documents and Settings\Наталья\Application Data\39CD609F39CD609F.bmp 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README9.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README8.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README7.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README6.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README5.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README4.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README3.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README2.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README10.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README1.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt 2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt 2016-04-04 13:55 - 2016-04-05 10:30 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows 2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README9.txt 2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README8.txt 2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README7.txt 2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README6.txt 2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README5.txt 2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README4.txt 2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README3.txt 2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README2.txt 2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README10.txt C:\Documents and Settings\Наталья\Local Settings\Temp\stub.exe AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:D8999815 [155] Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
thyrex Опубликовано 12 апреля, 2016 Опубликовано 12 апреля, 2016 Увы, на этом наша помощь закончена. С расшифровкой смогут помочь только сами злодеи.
Александр Шуплецов Опубликовано 12 апреля, 2016 Автор Опубликовано 12 апреля, 2016 грустно. а со вторым компьютером можете помочь? а то там тема заглохла. там интернет пропал
thyrex Опубликовано 12 апреля, 2016 Опубликовано 12 апреля, 2016 Проблема с интернетом во второй теме появилась после скриптов лечения?
thyrex Опубликовано 12 апреля, 2016 Опубликовано 12 апреля, 2016 Выполните скрипт в AVZ на второй машине begin ExecuteREpair(15); RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Появился интернет?
Александр Шуплецов Опубликовано 12 апреля, 2016 Автор Опубликовано 12 апреля, 2016 нет в скрипте еще ошибка) нашел проблему
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти