Перейти к содержанию

Da_vinci_code_Зашифрована большая часть файлов


Рекомендуемые сообщения

Доброго времени суток!

Историю заражения к сожалению не знаю. Шифровка файлов выборочная,т.е. не все, но затронула как текстовые так и мультимедиа файлы. Прошу помощи в расшифровке если такая возможна.

Файл протоколов подготовил.

CollectionLog-2016.05.22-13.16.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\user1\Рабочий стол\0.2868063695771216.exe','');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\WindowsUpdate\Updater.exe','');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\MyDesktop\qweeeCL.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}t.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}t.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt.sys','');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Kometa.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Оpеrа.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Главное меню\Программы\Kometa\Kometa.lnk', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}\rbia.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk', '');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Logitech\Lоgitесh Wеbсаm Sоftwаrе.lnk', '');
 QuarantineFile('C:\Documents and Settings\All Users\Рабочий стол\Lоgitесh Wеbсаm Sоftwаrе  .lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Unibluе RеgistryВооstеr.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Избранное\Ссылки\Интернет.url', '');
 QuarantineFile('C:\Documents and Settings\user1\Local Settings\Application Data\Yandex\browser.bat', '');
 QuarantineFile('C:\opera.bat', '');
 QuarantineFile('C:\Program Files\Common Files\LogiShrd\LWSPlugins\LWS\launchershortcut.bat', '');
 QuarantineFile('C:\Program Files\Launcher.bat', '');
 DeleteFile('C:\WINDOWS\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}t.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}t.sys','32');
 DeleteFile('C:\Documents and Settings\user1\Application Data\MyDesktop\qweeeCL.exe','32');
 DeleteFile('C:\Documents and Settings\user1\Application Data\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Documents and Settings\user1\Рабочий стол\0.2868063695771216.exe','32');
 DeleteFile('C:\Program Files\Launcher.bat', '32');
 DeleteFile('C:\Documents and Settings\user1\Local Settings\Application Data\Yandex\browser.bat', '32');
 DeleteFile('C:\opera.bat', '32');
 DeleteFile('C:\Program Files\Common Files\LogiShrd\LWSPlugins\LWS\launchershortcut.bat', '32');
 DeleteService('{9a9b956a-1677-4d20-830c-6c34a0594e62}t');
 DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}t');
 DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt');
 DeleteService('{6191cc23-5db4-4079-aaac-546c45b08af1}t');
 DeleteService('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\0.2868063695771216.exe','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(10);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\user1\Рабочий стол\0.2868063695771216.exe','');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\WindowsUpdate\Updater.exe','');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\MyDesktop\qweeeCL.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}t.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}t.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt.sys','');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Kometa.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Оpеrа.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Главное меню\Программы\Kometa\Kometa.lnk', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}\rbia.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk', '');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Logitech\Lоgitесh Wеbсаm Sоftwаrе.lnk', '');
 QuarantineFile('C:\Documents and Settings\All Users\Рабочий стол\Lоgitесh Wеbсаm Sоftwаrе  .lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Unibluе RеgistryВооstеr.lnk', '');
 QuarantineFile('C:\Documents and Settings\user1\Избранное\Ссылки\Интернет.url', '');
 QuarantineFile('C:\Documents and Settings\user1\Local Settings\Application Data\Yandex\browser.bat', '');
 QuarantineFile('C:\opera.bat', '');
 QuarantineFile('C:\Program Files\Common Files\LogiShrd\LWSPlugins\LWS\launchershortcut.bat', '');
 QuarantineFile('C:\Program Files\Launcher.bat', '');
 DeleteFile('C:\WINDOWS\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}t.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}t.sys','32');
 DeleteFile('C:\Documents and Settings\user1\Application Data\MyDesktop\qweeeCL.exe','32');
 DeleteFile('C:\Documents and Settings\user1\Application Data\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Documents and Settings\user1\Рабочий стол\0.2868063695771216.exe','32');
 DeleteFile('C:\Program Files\Launcher.bat', '32');
 DeleteFile('C:\Documents and Settings\user1\Local Settings\Application Data\Yandex\browser.bat', '32');
 DeleteFile('C:\opera.bat', '32');
 DeleteFile('C:\Program Files\Common Files\LogiShrd\LWSPlugins\LWS\launchershortcut.bat', '32');
 DeleteService('{9a9b956a-1677-4d20-830c-6c34a0594e62}t');
 DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}t');
 DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt');
 DeleteService('{6191cc23-5db4-4079-aaac-546c45b08af1}t');
 DeleteService('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\0.2868063695771216.exe','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(10);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

Ответ: Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

KLAN-4315321499

Повторный файл во вложении.

CollectionLog-2016.05.22-15.58.zip

Ссылка на комментарий
Поделиться на другие сайты

Далее:

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.google.com" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1426589817&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1426589817&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&q={searchTerms}
SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> 80AC086D1E6BE771336481A840FF7D9C URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {105E99FF-8B9A-4492-B155-06194B9056D2} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {3E0C9769-C75E-4D54-9BA8-ACE7DDE006DD6B4} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {8A0349E9-5932-C082-03A2-591DDE006DBACE7} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms}
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.istartsurf.com/?type=sc&ts=1426589770&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V
StartMenuInternet: (HKLM) Opera.exe - C:\Program Files\Opera\Opera.exe hxxp://www.istartsurf.com/?type=sc&ts=1426589770&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V
2016-05-16 11:39 - 2016-05-16 11:39 - 02949174 _____ C:\Documents and Settings\user1\Application Data\326DAD8B326DAD8B.bmp
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README9.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README8.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README7.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README6.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README5.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README4.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README3.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README2.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README10.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README1.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README9.txt
2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README8.txt
2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README7.txt
2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README6.txt
2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README5.txt
2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README4.txt
2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README3.txt
2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README2.txt
2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README10.txt
2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README1.txt
2016-05-16 11:09 - 2016-05-16 11:09 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-05-16 10:57 - 2016-05-16 11:38 - 00000000 ____D C:\Documents and Settings\user1\Application Data\Mipony
2016-05-16 11:38 - 2015-10-26 13:21 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\ProductData
2016-05-16 11:38 - 2015-10-26 13:21 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\IObit
2016-05-16 11:38 - 2015-07-01 14:15 - 00000000 ____D C:\Documents and Settings\user1\Application Data\MailProducts
2016-05-16 11:38 - 2015-03-17 14:39 - 00000000 ____D C:\Documents and Settings\user1\Application Data\eTranslator
2016-05-16 11:37 - 2015-10-26 13:19 - 00000000 ____D C:\Documents and Settings\user1\Application Data\MyDesktop
C:\Documents and Settings\user1\Local Settings\Temp\AmigoDistrib.exe
C:\Documents and Settings\user1\Local Settings\Temp\amigo_setup.exe
C:\Documents and Settings\user1\Local Settings\Temp\downloader.exe
C:\Documents and Settings\user1\Local Settings\Temp\KMP_3.2.0.0.exe
C:\Documents and Settings\user1\Local Settings\Temp\kometa_vd.exe
C:\Documents and Settings\user1\Local Settings\Temp\mailruhomesearchvbm.exe
Task: C:\WINDOWS\Tasks\Update Service for VK Downloader.job => C:\Program Files\VK Downloader\kfCFztp.exe.exe
Task: C:\WINDOWS\Tasks\Update Service for VK Downloader2.job => C:\Program Files\VK Downloader\kfCFztp.exe.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Ярлыки

C:\Documents and Settings\All Users\Главное меню\Программы\Logitech\Lоgitесh Wеbсаm Sоftwаrе.lnk

C:\Documents and Settings\All Users\Рабочий стол\Lоgitесh Wеbсаm Sоftwаrе .lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alex Mor
      От Alex Mor
      Добрый день, Коллеги, столкнулся проблемой произошла утечка реквизитов одной из УЗ администраторов на win сервере, после чего злоумышленники подключились по RDP и переместили файлы БД 1С в запароленный RAR архив, в письме у злоумышленников указаны требования выкупа пароля и контакт:  kelianydo@gmail.com, если сталкивались, прошу помочь.
      пароль к архиву - копия (107) — копия — копия — копия — копия.txt
      CHANGES.txt NOTICE.txt
    • E.K.
      От E.K.
      Всем привет!

       

       
      Фото-видео материалов терабайта два, не меньше. Впечатлений и эмоций море-океаны. Продолжение следует.
    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • skyinfire
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

×
×
  • Создать...