Алескей Немыкин 0 Опубликовано 30 мая, 2016 Share Опубликовано 30 мая, 2016 Добрый день. В почту пришло сообщение со вложением EMS Доставка Почта РУ 05302016R FDP.SCR В итоге получил предупреждение что файлы зашифрованы. Временные файлы пользователя отчистил. Логи avz прикрепил. Помогите искоренить. Спасибо. KL_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 30 мая, 2016 Share Опубликовано 30 мая, 2016 Здравствуйте! Соберите логи по этим правилам: Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Алескей Немыкин 0 Опубликовано 30 мая, 2016 Автор Share Опубликовано 30 мая, 2016 Здравствуйте! Соберите логи по этим правилам: Порядок оформления запроса о помощи Сделал новый лог CollectionLog-2016.05.30-14.31.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 30 мая, 2016 Share Опубликовано 30 мая, 2016 В антивирусе эта защита была включена на момент заражения? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\programdata\windows\csrss.exe'); TerminateProcessByName('c:\programdata\csrss\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe', ''); QuarantineFile('c:\programdata\csrss\csrss.exe', ''); DeleteFile('c:\programdata\windows\csrss.exe', '32'); DeleteFile('c:\programdata\csrss\csrss.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
Алескей Немыкин 0 Опубликовано 30 мая, 2016 Автор Share Опубликовано 30 мая, 2016 В антивирусе эта защита была включена на момент заражения? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\programdata\windows\csrss.exe'); TerminateProcessByName('c:\programdata\csrss\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe', ''); QuarantineFile('c:\programdata\csrss\csrss.exe', ''); DeleteFile('c:\programdata\windows\csrss.exe', '32'); DeleteFile('c:\programdata\csrss\csrss.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. KLAN-4362545913 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. csrss.exe - Trojan.Win32.Fsysna.dfpb Детектирование файла будет добавлено в следующее обновление. csrss_0.exe Получен неизвестный файл, он будет передан в Вирусную Лабораторию. С уважением, Лаборатория Касперского новый лог прилагается CollectionLog-2016.05.30-15.43.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 30 мая, 2016 Share Опубликовано 30 мая, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Алескей Немыкин 0 Опубликовано 30 мая, 2016 Автор Share Опубликовано 30 мая, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. новые логи Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 30 мая, 2016 Share Опубликовано 30 мая, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: 2016-05-30 11:39 - 2016-05-30 14:55 - 00000000 __SHD C:\Users\Все пользователи\Csrss 2016-05-30 11:39 - 2016-05-30 14:55 - 00000000 __SHD C:\ProgramData\Csrss 2016-05-30 11:38 - 2016-05-30 11:38 - 03148854 _____ C:\Users\User\AppData\Roaming\2ED1F46F2ED1F46F.bmp 2016-05-30 10:24 - 2016-05-30 14:55 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-05-30 10:24 - 2016-05-30 14:55 - 00000000 __SHD C:\ProgramData\Windows Task: {B6723A18-82A4-4208-9E99-AAFC2D2E2BF7} - System32\Tasks\{4CC5757F-3153-43E7-824A-6BB6F94BADBE} => Chrome.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Алескей Немыкин 0 Опубликовано 30 мая, 2016 Автор Share Опубликовано 30 мая, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: 2016-05-30 11:39 - 2016-05-30 14:55 - 00000000 __SHD C:\Users\Все пользователи\Csrss 2016-05-30 11:39 - 2016-05-30 14:55 - 00000000 __SHD C:\ProgramData\Csrss 2016-05-30 11:38 - 2016-05-30 11:38 - 03148854 _____ C:\Users\User\AppData\Roaming\2ED1F46F2ED1F46F.bmp 2016-05-30 10:24 - 2016-05-30 14:55 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-05-30 10:24 - 2016-05-30 14:55 - 00000000 __SHD C:\ProgramData\Windows Task: {B6723A18-82A4-4208-9E99-AAFC2D2E2BF7} - System32\Tasks\{4CC5757F-3153-43E7-824A-6BB6F94BADBE} => Chrome.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. новый лог Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 30 мая, 2016 Share Опубликовано 30 мая, 2016 С расшифровкой, увы, не поможем. Цитата Ссылка на сообщение Поделиться на другие сайты
Алескей Немыкин 0 Опубликовано 30 мая, 2016 Автор Share Опубликовано 30 мая, 2016 Бог с ней с расшифровкой. там не успел он много нашифровать. Меня интересует зловред удален и подчищен? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 30 мая, 2016 Share Опубликовано 30 мая, 2016 Да, именно так. Для проверки уязвимых мест: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 30 мая, 2016 Share Опубликовано 30 мая, 2016 Вирус вам удалили. В качестве профилактических мер от случайного запуска исполняемых файлов из электронной почты рекомендую воспользоваться этой http://safezone.cc/threads/fixsecurity-by-vitokhv.27638/программой. Как это работает: Для повышения уровня компьютерной грамотности ознакомьтесь с этим: 1. https://forum.kaspersky.com/index.php?showtopic=314866 2. http://forum.kasperskyclub.ru/index.php?app=blog&module=display§ion=blog&blogid=320&showentry=2083 Цитата Ссылка на сообщение Поделиться на другие сайты
Алескей Немыкин 0 Опубликовано 30 мая, 2016 Автор Share Опубликовано 30 мая, 2016 новый лог спасибо SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 30 мая, 2016 Share Опубликовано 30 мая, 2016 ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Автоматическое обновление отключено (-1) --------------------------- [ OtherUtilities ] ---------------------------- TeamViewer 9 v.9.0.41110 Внимание! Скачать обновления WinRAR 5.00 бета 6 (32-разрядная) v.5.00.6 Внимание! Скачать обновления --------------------------- [ AppleProduction ] --------------------------- iTunes v.12.0.1.26 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ Bonjour v.3.0.0.10 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ ------------------------------- [ Browser ] ------------------------------- Google Chrome v.50.0.2661.102 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- Skype Click to Call v.8.3.0.9150 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. Прочтите и выполните Рекомендации после удаления вредоносного ПО Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.