prizrak_a 0 Опубликовано 14 июля, 2016 Share Опубликовано 14 июля, 2016 добрый день. Открыли зараженное письмо... CollectionLog-2016.07.14-10.21.zip Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 282 Опубликовано 14 июля, 2016 Share Опубликовано 14 июля, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe'); QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', ''); QuarantineFile('C:\WINDOWS\system32\el32.dll', ''); DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
prizrak_a 0 Опубликовано 14 июля, 2016 Автор Share Опубликовано 14 июля, 2016 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. csrss.exe - Trojan.Win32.Fsysna.doqg Детектирование файла будет добавлено в следующее обновление. el32.dll, bcqr00003.dat, bcqr00004.dat Вредоносный код в файлах не обнаружен. С уважением, Лаборатория Касперского [KLAN-4681865317] Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 282 Опубликовано 14 июля, 2016 Share Опубликовано 14 июля, 2016 Жду повторный лог. Цитата Ссылка на сообщение Поделиться на другие сайты
prizrak_a 0 Опубликовано 14 июля, 2016 Автор Share Опубликовано 14 июля, 2016 Что дальше? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 493 Опубликовано 14 июля, 2016 Share Опубликовано 14 июля, 2016 Прочтите последний абзац в сообщении №2 1 Цитата Ссылка на сообщение Поделиться на другие сайты
prizrak_a 0 Опубликовано 14 июля, 2016 Автор Share Опубликовано 14 июля, 2016 Сори. Логи Addition.txt CollectionLog-2016.07.14-12.21.zip FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 282 Опубликовано 14 июля, 2016 Share Опубликовано 14 июля, 2016 Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ClearQuarantine; QuarantineFileF('C:\Documents and Settings\glabbuh\Application Data\Xl5jVVxcVWIx', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('C:\Documents and Settings\glabbuh\Application Data\766918.exe', ''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicyScripts: Restriction <======= ATTENTION CHR HKU\S-1-5-21-1957994488-879983540-839522115-1003\SOFTWARE\Policies\Google: Restriction <======= ATTENTION 2016-07-14 09:41 - 2016-07-14 09:41 - 02949174 _____ C:\Documents and Settings\glabbuh\Application Data\1788479017884790.bmp 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README9.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README8.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README7.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README6.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README5.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README4.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README3.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README2.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README10.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README1.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt 2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt 2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README9.txt 2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README8.txt 2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README7.txt 2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README6.txt 2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README5.txt 2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README4.txt 2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README3.txt 2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README2.txt 2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README10.txt 2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README1.txt 2016-07-14 07:58 - 2016-07-14 11:17 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows 2016-07-14 07:58 - 2016-07-14 07:58 - 00913231 _____ (FLash iop the profiles of people named Muiko Miyamoto ) C:\Documents and Settings\glabbuh\Application Data\766918.exe 2016-07-14 07:57 - 2016-07-14 07:58 - 00000000 __SHD C:\Documents and Settings\glabbuh\Application Data\Xl5jVVxcVWIx Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
prizrak_a 0 Опубликовано 14 июля, 2016 Автор Share Опубликовано 14 июля, 2016 Лог Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 282 Опубликовано 14 июля, 2016 Share Опубликовано 14 июля, 2016 Карантин повторно отправили? Сообщите, пожалуйста, ответ. Цитата Ссылка на сообщение Поделиться на другие сайты
prizrak_a 0 Опубликовано 14 июля, 2016 Автор Share Опубликовано 14 июля, 2016 Да: Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. twunk_lb.exe - Trojan-Ransom.Win32.Shade.yc Детектирование файла будет добавлено в следующее обновление. 766918.exe Получен неизвестный файл, он будет передан в Вирусную Лабораторию. [KLAN-4682196094] Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 282 Опубликовано 14 июля, 2016 Share Опубликовано 14 июля, 2016 Спасибо! Вирус и его следы уничтожены. С расшифровкой помочь не сможем. Цитата Ссылка на сообщение Поделиться на другие сайты
prizrak_a 0 Опубликовано 14 июля, 2016 Автор Share Опубликовано 14 июля, 2016 Спасибо.... Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.