Константин Андреев Опубликовано 27 июня, 2016 Опубликовано 27 июня, 2016 Как и у многих сотрудник открыл в письме от налоговой вложение html Большинство doc, xls, jpeg файлов и пр. зашифровались enigma Сообщение от модератора Mark D. Pearlstone Файл Infected.zip удалён. Не прикрепляйте то, что вас не просят CollectionLog-2016.06.27-17.29.zip
thyrex Опубликовано 27 июня, 2016 Опубликовано 27 июня, 2016 Как и у многих сотрудник открыл в письме от налоговой вложение htmlСохранилось вложение? Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\WINDOWS\system32\machineupper32.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); DeleteFile('C:\WINDOWS\system32\ntos.exe','32'); DeleteFile('C:\WINDOWS\system32\machineupper32.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи
Константин Андреев Опубликовано 27 июня, 2016 Автор Опубликовано 27 июня, 2016 Да вложение html сохранилось Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" Отправил архив защищенный паролем, пока нет ответа CollectionLog-2016.06.27-19.12.zip
thyrex Опубликовано 27 июня, 2016 Опубликовано 27 июня, 2016 Да вложение html сохранилосьПришлите мне в личные сообщения
Константин Андреев Опубликовано 28 июня, 2016 Автор Опубликовано 28 июня, 2016 В Лс отправил html KLAN-4527174986 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected. Постоянно такое сообщение, даже на архивы защищенные паролем.
thyrex Опубликовано 28 июня, 2016 Опубликовано 28 июня, 2016 ЛС получил. Сделайте лог полного сканирования МВАМ
thyrex Опубликовано 28 июня, 2016 Опубликовано 28 июня, 2016 Что-то сделали не так. Лог пустой. Переделывайте
Константин Андреев Опубликовано 28 июня, 2016 Автор Опубликовано 28 июня, 2016 (изменено) MBAM_log MBAM_log2.txt Изменено 28 июня, 2016 пользователем Константин Андреев
thyrex Опубликовано 28 июня, 2016 Опубликовано 28 июня, 2016 К сведению Не надо спамить мне в ЛС безо всяких на то оснований. Я тоже человек, у меня тоже есть свои дела, жить на форуме я не обязан. Удалите в МВАМ все, кроме PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[79da42c0d6c4b0863a58e692020237c9] Trojan.FakeAlert.DF, C:\Program Files\ASCON\KOMPAS-3D V10\Libs\FTDraw\FTSCALC.exe, , [7bd853afccce5adc4b7fa70d0bf5dd23], Trojan.Agent.Drop, C:\Program Files\msi InstallSource MSXML\hidcon.exe, , [ba992fd39bffb77f5fb2c67cd2306997], Adware.HiRu, C:\temp\OFFICE2010\AutorunHelper.exe, , [66edd72bb5e5de58e0e65157e120768a], Trojan.Agent.Drop, C:\WINDOWS\I386\SVCPACK\DX9U.EXE, , [5ff459a9f7a3ca6c1df4ca7816ec46ba], Trojan.Agent.Drop, C:\WINDOWS\I386\SVCPACK\MSXML.EXE, , [62f18b77fe9cf046a66b09390af8d32d], Trojan.Agent.Drop, C:\WINDOWS\I386\SVCPACK\RMS.EXE, , [6de6bc46b0eae1550d046cd6b64c3ac6], Trojan.Agent.Drop, C:\WINDOWS\I386\SVCPACK\SOUNDVISTA.exe, , [75de18eabcde6ec84ac75ce655adc23e],
Константин Андреев Опубликовано 28 июня, 2016 Автор Опубликовано 28 июня, 2016 Удалил, в том числе и enigma.hta Запустил еще раз проверку пока что...
Константин Андреев Опубликовано 29 июня, 2016 Автор Опубликовано 29 июня, 2016 MBAM_log3 Какие дальнейшие действия? MBAM_log3.txt
thyrex Опубликовано 29 июня, 2016 Опубликовано 29 июня, 2016 Действующая лицензия на любой продукт Лаборатории Касперского имеется?
Константин Андреев Опубликовано 29 июня, 2016 Автор Опубликовано 29 июня, 2016 Да есть Kaspersky Total Security
thyrex Опубликовано 29 июня, 2016 Опубликовано 29 июня, 2016 Тогда создавайте запрос http://forum.kasperskyclub.ru/index.php?showtopic=48525 К запросу приложите зашифрованные файлы и файл вида ENIGMA_номер.RSA с Рабочего стола
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти