gatebbs 0 Опубликовано 27 июня, 2016 Share Опубликовано 27 июня, 2016 Добрый день! На почту сотруднику пришло письмо "типа от судебных приставов", перешли по ссылки и все файла .doc и .xls зашифровались. Прикрепил файлы созданной программой Farbar Recovery Scan Tool Заранее спасибо за помощь. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 июня, 2016 Share Опубликовано 27 июня, 2016 Здравствуйте! Начните с логов по правилам: Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
gatebbs 0 Опубликовано 28 июня, 2016 Автор Share Опубликовано 28 июня, 2016 Здравствуйте! CollectionLog-2016.06.28-08.34.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 июня, 2016 Share Опубликовано 28 июня, 2016 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Program Files (x86)\service.exe',''); DeleteFile('C:\Program Files (x86)\service.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
gatebbs 0 Опубликовано 28 июня, 2016 Автор Share Опубликовано 28 июня, 2016 (изменено) KLAN-4526930458 This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.service.exe - Trojan.Win32.Inject.aahutNew malicious software was found in this file. It's detection will be included in the next update. Thank you for your help. CollectionLog-2016.06.28-10.22.zip Изменено 28 июня, 2016 пользователем gatebbs Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 июня, 2016 Share Опубликовано 28 июня, 2016 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
gatebbs 0 Опубликовано 28 июня, 2016 Автор Share Опубликовано 28 июня, 2016 Забыл прикрепить. CollectionLog-2016.06.28-10.22.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 июня, 2016 Share Опубликовано 28 июня, 2016 Еще раз повторите логи FRST, предварительно удалив старые. Цитата Ссылка на сообщение Поделиться на другие сайты
gatebbs 0 Опубликовано 28 июня, 2016 Автор Share Опубликовано 28 июня, 2016 Повторил Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 28 июня, 2016 Share Опубликовано 28 июня, 2016 На почту сотруднику пришло письмо "типа от судебных приставов" Письмо сохранилось? Цитата Ссылка на сообщение Поделиться на другие сайты
gatebbs 0 Опубликовано 28 июня, 2016 Автор Share Опубликовано 28 июня, 2016 Да сохранилось. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 июня, 2016 Share Опубликовано 28 июня, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION CHR Extension: (Интернет-магазин Chrome) - C:\Users\tina\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-17] CHR Extension: (Интернет-магазин Chrome) - C:\Users\tina\AppData\Local\Google\Chrome\User Data\Default\Extensions\iifchhfnnmpdbibifmljnfjhpififfog [2016-04-21] Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 28 июня, 2016 Share Опубликовано 28 июня, 2016 Да сохранилось. Отправьте тогда мне на почту. Цитата Ссылка на сообщение Поделиться на другие сайты
gatebbs 0 Опубликовано 28 июня, 2016 Автор Share Опубликовано 28 июня, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION CHR Extension: (Интернет-магазин Chrome) - C:\Users\tina\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-17] CHR Extension: (Интернет-магазин Chrome) - C:\Users\tina\AppData\Local\Google\Chrome\User Data\Default\Extensions\iifchhfnnmpdbibifmljnfjhpififfog [2016-04-21] Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Да сохранилось. Отправьте тогда мне на почту. Не успел. Удалили. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 июня, 2016 Share Опубликовано 28 июня, 2016 С расшифровкой помочь не сможем. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.