alextrue 0 Опубликовано 11 августа, 2016 Share Опубликовано 11 августа, 2016 День добрый, на работе сотрудник открыл письмо со скриптом, сами понимаете что случилось дальше. Жду инструкций, спасибо CollectionLog-2016.08.11-14.07.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 11 августа, 2016 Share Опубликовано 11 августа, 2016 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su. 1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Ссылка на сообщение Поделиться на другие сайты
alextrue 0 Опубликовано 12 августа, 2016 Автор Share Опубликовано 12 августа, 2016 (изменено) Добрый день, как и сказали сделал все по пунктам. Новые логи (автологгер) прикладываю плюс от adwcleaner p.s: письмо с шифровальщиком осталось, в этом письме архив а нем скрипт, может как то пригодится? CollectionLog-2016.08.12-11.58.zip AdwCleanerS1.txt Изменено 12 августа, 2016 пользователем alextrue Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 12 августа, 2016 Share Опубликовано 12 августа, 2016 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
alextrue 0 Опубликовано 12 августа, 2016 Автор Share Опубликовано 12 августа, 2016 Запустил скан - очистку. Выложил лог А как это поможет с дешифратором? AdwCleanerC1.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 12 августа, 2016 Share Опубликовано 12 августа, 2016 На форуме будет только лечение. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
alextrue 0 Опубликовано 12 августа, 2016 Автор Share Опубликовано 12 августа, 2016 Сделано! А с дешифратором к кому обращатся? (кроме самих хакеров) Addition.txt FRST.txt Shortcut.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 12 августа, 2016 Share Опубликовано 12 августа, 2016 Антивирус Касперского 6.0 для Windows Workstations (HKLM-x32\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского) Антивирус уже давно снят с поддержки. К нему и базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный. Агент администрирования Лаборатории Касперского (HKLM-x32\...\InstallShield_{BC6B20F3-AF34-44BF-BA29-B7E9A79FF81B}) (Version: 8.0.2177 - Лаборатория Касперского) Это старье тоже уже не поддерживается http://support.kaspersky.ru/support/lifecycle#b2b.block3.ak8. Налицо халатность администратора. ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: CHR Extension: (Chrome Media Router) - C:\Users\n.guskova\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-09] CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx R3 WPRO_41_2001; C:\Windows\System32\drivers\WPRO_41_2001.sys [34752 2016-08-12] () S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X] 2016-08-12 14:59 - 2016-08-12 14:59 - 00094656 _____ (CACE Technologies) C:\Windows\system32\WPRO_41_2001woem.tmp 2016-08-11 09:53 - 2016-08-12 11:34 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-08-11 09:53 - 2016-08-12 11:34 - 00000000 __SHD C:\ProgramData\Windows 2016-08-11 09:53 - 2016-08-11 09:53 - 01098240 _____ C:\Users\n.guskova\AppData\Roaming.exe Folder: C:\Users\Все пользователи\Monitor Folder: C:\ProgramData\Monitor 2014-12-17 17:31 - 2014-12-17 17:31 - 0312591 _____ ( ) C:\Program Files (x86)\baidus.exe IE trusted site: HKU\S-1-5-21-2376097901-247793852-1460568912-4630\...\baidu.com -> hxxp://baidu.com Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
alextrue 0 Опубликовано 12 августа, 2016 Автор Share Опубликовано 12 августа, 2016 Версию обновить не имеется возможности по корпоративным соображениям Подскажите на счет дешифратора куда можно обратится? Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 13 августа, 2016 Share Опубликовано 13 августа, 2016 Версию обновить не имеется возможности по корпоративным соображениям По каким таким соображениям? Можете считать, что у вас сейчас нет антивируса. Подскажите на счет дешифратора куда можно обратится? Пишите запрос http://forum.kasperskyclub.ru/index.php?showtopic=48525 На компьютере меняйте все пароли. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти