Near 0 Опубликовано 24 апреля, 2016 Share Опубликовано 24 апреля, 2016 Компьютер поймал вирус шифровальщик по спецификации CureIT trojan.encoder.4322. Поймал через флешку. Файлы зашифрованы и имеют расширение better_call_saul. Логи собраны и приложены к письму прикладываю дополнительно лог AdwCleanerCollectionLog-2016.04.24-23.27.zip AdwCleanerS1.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 24 апреля, 2016 Share Опубликовано 24 апреля, 2016 (изменено) Этот компьютер находится в организации? У Вас администратор вообще имеется? Изменено 24 апреля, 2016 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
Near 0 Опубликовано 25 апреля, 2016 Автор Share Опубликовано 25 апреля, 2016 А эта информация как то сказывается на лечении ? Компьютер в организации,но админа нет, поскольку нет денег на его содержание. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 25 апреля, 2016 Share Опубликовано 25 апреля, 2016 Имеет. Стыдно должно быть на таком решете работать. Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) поскольку нет денег на его содержание. Скупой в конечном счете платит дважды. Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP прекращена Установите SP3 (может потребоваться активация) + все новые обновления для Windows Установите Internet Explorer 8 (даже если им не пользуетесь) Потом: Загрузите GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. ! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробную инструкцию читайте в руководстве Ссылка на сообщение Поделиться на другие сайты
Near 0 Опубликовано 25 апреля, 2016 Автор Share Опубликовано 25 апреля, 2016 Знаете, у меня большие сомнения в вашей компетенции, поскольку прежде чем стибаться не мешало бы поподробнее посмотреть логи. Я бы пожал руку админу который ставил эту систему, поскольку: 1. Windows XP стоит с 28.03.2008 (см скрин) и использовалась ежедневно на протяжении 8 лет. 2. На станции стоит Acronis, который делает еженедельную копию, поэтому потеряны только данные недельной давности. И это резервирование работает до сих пор 3. на станции стоит основная программа, написанная на deplhi работающая через IDAPI с firebird ( эта программа ещё более старая). Поэтому выше систему не поднять. 4. на системе стоит NOD32 и он обновлялся до 23.04.2014 (похоже потом кончилась лицензия). З.Ы. Давайте общаться более профессионально. win.rar gmer.log Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 25 апреля, 2016 Share Опубликовано 25 апреля, 2016 Знаете, у меня большие сомнения в вашей компетенции, поскольку прежде чем стибаться не мешало бы поподробнее посмотреть логи. Я их посмотрел и вижу, что благодаря этому старью у Вас активен сетевой червь Kido, который очень любит такие дырявые компьютеры. Я не вижу смысла продолжать лечение с такой дырявой системой. Считайте, что у Вас нет антивируса, а все ваши данные доступны червю. Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 56pkdyz2.exe случайное имя утилиты (gmer) 56pkdyz2.exe -del service widfg 56pkdyz2.exe -del file "C:\WINDOWS\system32\vpthzeo.dll" 56pkdyz2.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\widfg" 56pkdyz2.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\widfg" 56pkdyz2.exe -reboot И запустите сохранённый пакетный файл cleanup.bat. Внимание: Компьютер перезагрузится! Сделайте новый лог gmer. Сделайте лог TDSSKiller. Ссылка на сообщение Поделиться на другие сайты
Near 0 Опубликовано 26 апреля, 2016 Автор Share Опубликовано 26 апреля, 2016 готово gmer.log tdsskiller.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 26 апреля, 2016 Share Опубликовано 26 апреля, 2016 Дальше продолжать нет смысла. Человек не способен выполнять то, что ему пишут. Ссылка на сообщение Поделиться на другие сайты
Near 0 Опубликовано 26 апреля, 2016 Автор Share Опубликовано 26 апреля, 2016 Посмотрел остальные записи - суть понятна - бла бла бла. надо купить KAV. бла-бла-бла Купили - ждите, не купили ничем не поможем. НИ ОДНОГО СПАСИБО за 2 страницы просмотра От общения свами у меня осталось ощущение больного с геморроем, который перепутал кабинет проктолога со стоматологом. Спасибо конечно за филигранный скипт по удалению KIBO, но "Доктор" меня зубы не беспокоят, у меня пятая точка болит! Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 26 апреля, 2016 Share Опубликовано 26 апреля, 2016 (изменено) А тебе тут никто ничего не должен. Ты у нас пользователь Eset вот и иди к ним обращайся в техподдержку. Изменено 26 апреля, 2016 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
still-alive 0 Опубликовано 30 мая, 2016 Share Опубликовано 30 мая, 2016 Имею купленный KES + Консоль. На старых (winxp) станциях версия клиента - 6, на новых (win7/8/10) - 10 версия клиента. Все куплено и управляется через консоль. В обоих случаях целую неделю после передачи вируса в техподдержку шифровальщики(разные) благополучно пропускаются даже при самых параноидальных настройках Касперского. Вот сегодня(30 мая 2016 года) поймал Trojan.Encoder.4322 (далеко не самая свежая вещь!) на одном из пользовательских рабочих мест. Нашел эту ветку по этому поводу. 1. Думаю начать платить другой конторе (DrWeb, например или Symantec), так как их антивирусы эту бяку нашли, а касперский молчит. 2. Думаю, что если mike 1 является сотрудником уважаемой мной компании, то ему бы не помешало наступить на хвост за такое общение. Спрошу завтра кто такой. В общем то всё. Помощи не прошу. буду выкручиваться. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 30 мая, 2016 Share Опубликовано 30 мая, 2016 В обоих случаях целую неделю после передачи вируса в техподдержку шифровальщики(разные) благополучно пропускаются даже при самых параноидальных настройках Касперского. А Вы как хотели. Перед рассылкой злоумышленники криптуют свое детище и тем самым сбивают сигнатурный детект популярных антивирусов. Касперскому для обнаружения шифровальщика вовсе необязательно иметь сигнатуру в базах. 1. Думаю начать платить другой конторе (DrWeb, например или Symantec), так как их антивирусы эту бяку нашли, а касперский молчит. Платите. Только это не панацея. От смены карандашей и фломастеров ничего по сути не поменяется. Сегодня пропустил один антивирус сигнатурно, а завтра другой. 2. Думаю, что если mike 1 является сотрудником уважаемой мной компании, то ему бы не помешало наступить на хвост за такое общение. Спрошу завтра кто такой. Я не сотрудник компании и вообще не обязан тратить свое время на тех, кто халатно относится к информационной безопасности. Это касается пользователей, которые открывают не глядя все подряд и админов, которые не делают бэкапов, используют устаревшее антивирусное ПО и никак не ограничивают своих пользователей. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти