Skylap Опубликовано 27 июня, 2016 Share Опубликовано 27 июня, 2016 Добрый день, Сотрудник открыл письмо, подумав что деловая переписка. В итоге все важные файлы зашифрованы. Помогите пожалуйста. Какие файлы еще нужны? CollectionLog-2016.06.27-10.33.zip FRST.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 июня, 2016 Share Опубликовано 27 июня, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\enigma.hta',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Temp\08057452a851d1339a606084159f597c.exe',''); DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\08057452a851d1339a606084159f597c.exe','32'); DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\enigma.hta','32'); DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\Rar$EX70.936\GreenChristmasTree.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mrupdsrv','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Green Christmas Tree','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbaafddbbeba','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbaafddbbe','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Skylap Опубликовано 27 июня, 2016 Автор Share Опубликовано 27 июня, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\enigma.hta',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Temp\08057452a851d1339a606084159f597c.exe',''); DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\08057452a851d1339a606084159f597c.exe','32'); DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\enigma.hta','32'); DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\Rar$EX70.936\GreenChristmasTree.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mrupdsrv','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Green Christmas Tree','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbaafddbbeba','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbaafddbbe','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. enigma.hta Получен неизвестный файл, он будет передан в Вирусную Лабораторию. С уважением, Лаборатория Касперского KLAN-4521785767 Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 июня, 2016 Share Опубликовано 27 июня, 2016 Новые логи где? Заодно и новые логи Farbar сделайте Ссылка на комментарий Поделиться на другие сайты More sharing options...
Skylap Опубликовано 27 июня, 2016 Автор Share Опубликовано 27 июня, 2016 Новые логи где? Заодно и новые логи Farbar сделайте Сделал. CollectionLog-2016.06.27-13.37.zip FRST.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 июня, 2016 Share Опубликовано 27 июня, 2016 Ссылка из письма сохранилась? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Skylap Опубликовано 27 июня, 2016 Автор Share Опубликовано 27 июня, 2016 Ссылка из письма сохранилась?да. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 июня, 2016 Share Опубликовано 27 июня, 2016 Действующая лицензия на любой из продуктов Лаборатории имеется? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Skylap Опубликовано 27 июня, 2016 Автор Share Опубликовано 27 июня, 2016 действующих нет. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 июня, 2016 Share Опубликовано 27 июня, 2016 Увы, без этого ТП даже не будет рассматривать обращение. С расшифровкой не сможем помочь Ссылка на комментарий Поделиться на другие сайты More sharing options...
Skylap Опубликовано 27 июня, 2016 Автор Share Опубликовано 27 июня, 2016 Лицензию можем приобрести, но будет ли результат? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 июня, 2016 Share Опубликовано 27 июня, 2016 Это могут знать в только в ТП. Потому я только спрашиваю, а не агитирую покупать. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Skylap Опубликовано 27 июня, 2016 Автор Share Опубликовано 27 июня, 2016 Спасибо за помощь, подумаем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти