Перейти к содержанию

Проблема имени Дэна Брауна. da_vinci_code

ISPM RAN
 Поделиться

Рекомендуемые сообщения

ISPM RAN Новичок

ISPM RAN

Опубликовано
Опубликовано (изменено)

Здравствуйте!

Пролистав форум, понял, что сейчас какая-то волна. Мы не стали исключением. Информация на данном компьютере очень важна. Были бы чрезвычайно признательны за любую помощь.

CollectionLog-2016.05.31-17.31.zip

Изменено пользователем ISPM RAN
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
 QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','');
 QuarantineFile('C:\Users\Shpinev.ISPM\AppData\Local\BitMaster\bitmaster.exe','');
 QuarantineFile('C:\Users\Shpinev.ISPM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\4dk\Информер.appref-ms','');
 SetServiceStart('ReimageRealTimeProtector', 4);
 DeleteService('ReimageRealTimeProtector');
 TerminateProcessByName('c:\program files\reimage\reimage protector\reiguard.exe');
 TerminateProcessByName('c:\program files\reimage\reimage protector\reisystem.exe');
 QuarantineFile('c:\program files\reimage\reimage protector\reisystem.exe','');
 QuarantineFile('c:\program files\reimage\reimage protector\reiguard.exe','');
 DeleteFile('c:\program files\reimage\reimage protector\reiguard.exe','32');
 DeleteFile('c:\program files\reimage\reimage protector\reisystem.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','32');
 DeleteFile('C:\Windows\system32\Tasks\Reimage Reminder','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
ISPM RAN Новичок

ISPM RAN

Опубликовано
  • Автор
Опубликовано

@thyrex,

Da vinci [KLAN-4371197745]

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.  

 

ReiGuard.exe,

ReimageReminder.exe,

bitmaster.exe,

Информер.appref-ms,

reisystem.exe,

bcqr00005.dat,

bcqr00006.dat,

bcqr00007.dat,

bcqr00008.dat

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского 


@thyrex, прошу прощения за комментарий #3, несколько взбешенное состояние от всего случившегося, посему сначала пишу, потом открываю гугл  :think:  

CollectionLog-2016.05.31-18.58.zip

Ссылка на комментарий
Поделиться на другие сайты
ISPM RAN Новичок

ISPM RAN

Опубликовано
  • Автор
Опубликовано (изменено)

@thyrex, если поможет, то мы нашли файл, который все заразил. Так как он в названии содержит наименование компании его пославшей, я переименовал файл в "499". Внутри архива еще один архив, внутри которого файл формата "js". Запустили его на ненужно ноутбуке и убедились, что это он. Очень надеемся, что это как-то поможет дешифровать файлы..

ЗЫ. Малавейр все еще проверяет..

Строгое предупреждение от модератора Elly
Нельзя прикреплять вредоносные файлы на форуме.

Резонно. Как доставить файл для анализа? и нужен ли он вообще?

Изменено пользователем Elly
Ссылка на комментарий
Поделиться на другие сайты
Elly Мудрец

Elly

Опубликовано
Опубликовано

 

 


Как доставить файл для анализа? и нужен ли он вообще?

если потребуется, консультант вам скажет как и куда его отправить.

Ссылка на комментарий
Поделиться на другие сайты
ISPM RAN Новичок

ISPM RAN

Опубликовано
  • Автор
Опубликовано (изменено)

@Elly, прошу прощения 

@thyrex, Здравствуйте! Очень долго компьютер проверялся, оставил на ночь. Вот лог, если я правильно  понимаю. 

log. Malaware.txt

Изменено пользователем ISPM RAN
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

К сведению

Помощь оказывается добровольно в свободное от основных занятий время. Поэтому подъем темы в большинстве своем не имеет смысла

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-1017886116-1530573973-3177708200-1217\...\Run: [] => [X]
HKU\S-1-5-21-1017886116-1530573973-3177708200-1217\...\Run: [**=D>@<5@<*>] => C:\Users\Shpinev.ISPM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\4dk\Информер.appref-ms [ ] () <===== ATTENTION (Value Name with invalid characters)
2016-05-31 13:03 - 2016-05-31 13:03 - 03932214 _____ C:\Users\Shpinev.ISPM\AppData\Roaming\081938A2081938A2.bmp
C:\Users\Shpinev.ISPM\AppData\Local\Temp\plugins.exe
C:\Users\Shpinev.ISPM\AppData\Local\Temp\ReimagePackage.exe
Task: {AE54E215-F20E-4BBD-B256-38CBE68A5D95} - \Reimage Reminder -> No File <==== ATTENTION
Task: {E77F49D5-3C62-442F-9AA9-5887374C30E9} - \ReimageUpdater -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей1202
      проблема на андроид
      Автор Сергей1202
      Сегодня на смартфоне после перехода по рекламной ссылке появилось  вот ЭТО и постоянно напоминает о себе, может это и не вирус вообще но что значит "name os tone " и откуда оно взялось?


    • Вадим666
      проблема с RDP
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
    • Seiku2812
      проблемы с пк
      Автор Seiku2812
      началось все с того что я скачал новые драйвера от нвидиа очень сильно снизилась производительность и я откатил на старые , на следующий день была опять проблема с производительностью как будто видеокарта не хочет работать на 100 процентов , в той же доте в лобби всегда было 240 стабильно сейчас 180(в игре падает фпс с 180 до 80) перепробовал много каких способов ничего не помогает , помогите решить проблему 
    • PoMKA125
      Проблема с youtube из за Kaspersky Free (блокировка quic)
      Автор PoMKA125
      Здравствуйте. В связи с последними событиями описанными тут https://www.company.rt.ru/press/news/d470885/ , заметил такую особенность, что на ПК где нет продуктов ПО Касперкого , ЮТуб работает стабильно, на компьютерах с ПО Касперкого, ЮТуб тормозит. После анализа трафика, стало понятно, что где нет ПО Касперкого, ЮТуб работает на протоколе HTTP3/QUIC и всё замечательно грузится и работает, а на остальных ПК протокол TCP т.е. https. Ради интереса удалил на своём ПК ПО от Касперкого и все заработало, установил и опять не работает нормально ЮТуб. Менял настройки и не смог добиться что бы браузер переключал на протокол QUIC (в настройках браузера chrome://flags/#enable-quic вкл). Помогает только приостановка всей защиты. Подскажите, как вкл или не блокировать QUIC протокол, не удаляя при этом ПО Касперкого? 

    • warnix
      Проблема с пк
      Автор warnix
      здравствуйте, недавно столкнулся с такой проблемой,что при открытии программ вылезает ошибка(я прикрепил фото)
      есть подозрение что это вирус или просто ошибка виндовс
      пробовал запускать разные антивирусы(Kaspersky, dr web cureit) они также не запускаются, абсолютно никакие программы не запускаются, кроме нескольких игр и системных приложений, в диспетчере задач есть много подозрительных процессов, в автозагрузке есть файл steam у которого отсутствует издатель, а открыть расположение файла не получается, хочу попробовать решить эту проблему без переустановки виндовс, на это есть причины

×
×
  • Создать...