Blackserg Опубликовано 21 июня, 2016 Share Опубликовано 21 июня, 2016 Здравствуйте, из почты словили давинчи. Все полезные файлы стали с расширением .code_da_vinchi Антивирус Касперский стоит, но видимо старые оболочки не успевают срабатывать. Прилагаю логи автологера ну и само письмо Спасибо. CollectionLog-2016.06.21-15.20.zip doc..eml.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 21 июня, 2016 Share Опубликовано 21 июня, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\autorun.inf', ''); RegKeyParamDel('HKEY_USERS','S-1-5-21-3129168197-3016434877-757893137-1639\Software\Microsoft\Windows\CurrentVersion\Run','sbfxupzthj'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Blackserg Опубликовано 21 июня, 2016 Автор Share Опубликовано 21 июня, 2016 повторно запустил логер, вот результат. Спасибо! CollectionLog-2016.06.21-16.35.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 21 июня, 2016 Share Опубликовано 21 июня, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Blackserg Опубликовано 21 июня, 2016 Автор Share Опубликовано 21 июня, 2016 При начале работы программы получаю ошибку: Error: Subscript used on noon-accessible variable. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 21 июня, 2016 Share Опубликовано 21 июня, 2016 (изменено) Утилита FRST обновлена. Скачайте, пожалуйста, заново и соберите логи. Изменено 21 июня, 2016 пользователем Sandor Ссылка на комментарий Поделиться на другие сайты More sharing options...
Blackserg Опубликовано 22 июня, 2016 Автор Share Опубликовано 22 июня, 2016 (изменено) добрый день. сделал логи, высылаю. так же наткнулся на флешке на файлы readme, прикладываю их тоже. Загрузки.zip Archive.zip Изменено 22 июня, 2016 пользователем Blackserg Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 22 июня, 2016 Share Опубликовано 22 июня, 2016 Ran by Бурлачук (ATTENTION: The user is not administrator)Утилиту следует запускать правой кнопкой от имени администратора. Переделайте, пожалуйста. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Blackserg Опубликовано 22 июня, 2016 Автор Share Опубликовано 22 июня, 2016 Переделал. Загрузки.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 22 июня, 2016 Share Опубликовано 22 июня, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: ProxyServer: [S-1-5-21-3129168197-3016434877-757893137-1171] => 127.0.0.1:8080 AutoConfigURL: [S-1-5-21-3129168197-3016434877-757893137-1171] => 127.0.0.1:8080 ProxyServer: [S-1-5-21-3129168197-3016434877-757893137-1639] => 127.0.0.1:8080 AutoConfigURL: [S-1-5-21-3129168197-3016434877-757893137-1639] => 127.0.0.1:8080 FF NetworkProxy: "type", 0 FF Extension: No Name - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2016-06-20] [not signed] 2016-06-20 16:24 - 2016-06-20 18:46 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows 2016-05-20 15:55 - 2016-05-20 15:55 - 00000000 ____D C:\Documents and Settings\Бурлачук\Application Data\Tencent 2016-05-20 15:55 - 2016-05-20 15:55 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Tencent 2016-05-20 15:49 - 2016-05-20 15:49 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Rising 2016-05-20 15:41 - 2016-06-06 09:11 - 00000000 ____D C:\Documents and Settings\Бурлачук\Application Data\ProShopper 2016-04-13 16:48 - 2016-06-22 08:59 - 00000362 _____ C:\WINDOWS\Tasks\MailRuUpdater.job 2016-04-13 16:46 - 2016-04-13 16:46 - 00000000 ____D C:\Documents and Settings\Бурлачук\Local Settings\Application Data\Unity 2016-04-13 16:43 - 2016-04-13 16:43 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\KRB Updater Utility 2016-04-13 16:39 - 2016-04-13 16:39 - 00000000 ____D C:\Documents and Settings\Бурлачук\Application Data\ImageCropResize 2016-04-13 16:35 - 2016-06-06 09:11 - 00000000 ____D C:\Documents and Settings\Бурлачук\Local Settings\Application Data\SearchGo 2016-04-13 16:34 - 2016-06-20 17:14 - 00000000 ____D C:\Documents and Settings\Бурлачук\Application Data\MailProducts 2016-04-13 16:34 - 2016-05-13 09:30 - 00000000 ____D C:\Documents and Settings\Бурлачук\Local Settings\Application Data\Mail.Ru 2016-04-13 16:34 - 2016-04-13 17:48 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Mail.Ru Task: C:\WINDOWS\Tasks\MailRuUpdater.job => C:\Documents and Settings\Бурлачук\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe <==== ATTENTION Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
dima744 Опубликовано 22 июня, 2016 Share Опубликовано 22 июня, 2016 Извините, что вмешался в дисскуссию просто судя по так же наткнулся на флешке на файлы readme, прикладываю их тоже. у меня точно такой же вирус антивирус не написал его названия? или это абсолютно новый вирус? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Blackserg Опубликовано 22 июня, 2016 Автор Share Опубликовано 22 июня, 2016 @dima744, Касперский потом нашел его, в логах написал: Удалено троянская программа Trojan-Downloader.JS.Cryptoload.yf [From:"Ростелеком" <isaev.s@siqd.rt.ru>][subject:[?? Probable Spam] doc.][Time:2016/06/20 14:19:02]/21.zip/317.zip/31.js 21.06.2016 9:41:44 Результаты работы фарбара, прикладываю Fixlog Fixlog.txt 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
dima744 Опубликовано 22 июня, 2016 Share Опубликовано 22 июня, 2016 (изменено) @Blackserg Спасибо, если будете платить за восстановление, не сочтите за труд результат написать можно в личку Изменено 22 июня, 2016 пользователем dima744 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 22 июня, 2016 Share Опубликовано 22 июня, 2016 Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского)Версия устарела и больше не поддерживается. Обновите до актуальной. С расшифровкой не поможем. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Blackserg Опубликовано 22 июня, 2016 Автор Share Опубликовано 22 июня, 2016 @Sandor, Спасибо за старания. да версия устарела, тут надо вместе с компьютером надо менять... ну тоесть никак не получится с расшифровкой? или чего не хватает для расшифровки? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти