baxromio 0 Опубликовано 20 сентября, 2016 Share Опубликовано 20 сентября, 2016 Здравствуйте! Ситуация типичная - бухгалтер открыл письмо с вложением, файлы .doc, .xls, .jpg, .pdf получили расширение .locked. Письмо бухгалтер удалил, файлы !!!README!!!z5m2A.rtf в корне дисков C, D, E и в Моих документах удалил антивирус (nod32). Можно ли как-то восстановить эти файлы? Файлы ключей и образцы могу выслать. CollectionLog-2016.09.20-07.23.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 20 сентября, 2016 Share Опубликовано 20 сентября, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys', ''); QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys', ''); DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys', '32'); DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys', '32'); DeleteService('MRxCls'); DeleteService('MRxNet'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на сообщение Поделиться на другие сайты
baxromio 0 Опубликовано 21 сентября, 2016 Автор Share Опубликовано 21 сентября, 2016 Здравствуйте! Сделал все по инструкции, получил такой ответ: ------------- Re: locked virus - help [KLAN-5047419627] Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.С уважением, Лаборатория Касперского. -------------------- Сегодня внимательно все повторил с обязательным отключением антивируса перед каждым скриптом - файл quarantine.zip остался таким же по размеру. Тогда я зашел в папку C:\WINDOWS\system32\Drivers\ и не нашел там файлов mrxcls.sys и mrxnet.sys. Новые логи прилагаю. CollectionLog-2016.09.20-19.05.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 21 сентября, 2016 Share Опубликовано 21 сентября, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
baxromio 0 Опубликовано 22 сентября, 2016 Автор Share Опубликовано 22 сентября, 2016 Здравствуйте! Сделал - отправляю FRST.txt Shortcut.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 22 сентября, 2016 Share Опубликовано 22 сентября, 2016 Еще раз, пожалуйста, повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на сообщение Поделиться на другие сайты
baxromio 0 Опубликовано 23 сентября, 2016 Автор Share Опубликовано 23 сентября, 2016 Здравствуйте! Отправляю CollectionLog-2016.09.23-17.58.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 24 сентября, 2016 Share Опубликовано 24 сентября, 2016 Следы вредоноса очищены. С расшифровкой, увы, помочь не сможем. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти