SGWinner 0 Опубликовано 30 сентября, 2016 Share Опубликовано 30 сентября, 2016 (изменено) Привет) Пишу Вам по такой причине: скачал файл из Интернета, подхватил на компьютер вирус-шифратор. К файлам (фотографии, картинки, документы) добавилось расширение .cripttt, так же тип файла стал "Файл CRIPTTT", а в каждой папке есть документ с названием SHTODELATVAM со следующим содержанием: Напишите нам для разблокировки Ваших файлов: dsuoufygfdt@ro.ru Прошу Вас помочь, т.к в зашифрованых файлах есть фотографии и важные документы! Все сделал по инструкции, логи прикрепил. Жду ответа) CollectionLog-2016.09.30-17.11.zip Изменено 30 сентября, 2016 пользователем SGWinner Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 30 сентября, 2016 Share Опубликовано 30 сентября, 2016 baiduprotect1.3 вряд ли сами ставили? Ссылка на сообщение Поделиться на другие сайты
SGWinner 0 Опубликовано 1 октября, 2016 Автор Share Опубликовано 1 октября, 2016 (изменено) baiduprotect1.3 вряд ли сами ставили? Извините, не понял Вас( Я никакого baiduprotect1.3 не ставил( Изменено 1 октября, 2016 пользователем SGWinner Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 1 октября, 2016 Share Опубликовано 1 октября, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\PROGRA~3\Mozilla\ptaiezb.exe',''); QuarantineFile('C:\Users\Administrator\AppData\Roaming\T8as0TpFT.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\Administrator\AppData\Roaming\GDcx4eXaFHOO.exe',''); DeleteService('BDSafeBrowser'); DeleteService('bd0002'); SetServiceStart('BDMWrench', 4); DeleteService('BDMWrench'); SetServiceStart('bd0004', 4); DeleteService('bd0004'); SetServiceStart('BDSGRTP', 4); DeleteService('BDSGRTP'); TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.645\baiduprotect.exe'); DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.645\baiduprotect.exe','32'); DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\ad.dll','32'); DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDKitUtils.dll','32'); DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDLogicUtils.dll','32'); DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMNet.dll','32'); DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMReport.dll','32'); DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\DriverManager.dll','32'); DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\BaiduRepair.dll','32'); DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\HIPS.dll','32'); DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\SafeBrowserDll.dll','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32'); DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32'); DeleteFile('C:\Windows\Tasks\GDcx4eXaFHOO.job','32'); DeleteFile('C:\Windows\Tasks\DSite.job','32'); DeleteFile('C:\Windows\Tasks\SpeedUpMyPC.job','32'); DeleteFile('C:\Windows\Tasks\spmonitor.job','32'); DeleteFile('C:\Program Files (x86)\Uniblue\SpeedUpMyPC\spmonitor.exe','32'); DeleteFile('C:\Program Files (x86)\Uniblue\SpeedUpMyPC\sump.exe','32'); DeleteFile('C:\Users\Administrator\AppData\Roaming\GDcx4eXaFHOO.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\T8as0TpFT.job','32'); DeleteFile('C:\Users\Administrator\AppData\Roaming\T8as0TpFT.exe','32'); DeleteFile('C:\Windows\system32\Tasks\DriverScanner','64'); DeleteFile('C:\Windows\system32\Tasks\DSite','64'); DeleteFile('C:\Windows\system32\Tasks\GDcx4eXaFHOO','64'); DeleteFile('C:\Windows\system32\Tasks\sntxfrm','64'); DeleteFile('C:\PROGRA~3\Mozilla\ptaiezb.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC','64'); DeleteFile('C:\Windows\system32\Tasks\spmonitor','64'); DeleteFile('C:\Windows\system32\Tasks\T8as0TpFT','64'); DeleteFile('C:\Windows\system32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013','64'); DeleteFile('C:\Windows\system32\Tasks\{5F7FA6AE-FC2D-4AF1-B113-2D138980F168}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Ссылка на сообщение Поделиться на другие сайты
SGWinner 0 Опубликовано 1 октября, 2016 Автор Share Опубликовано 1 октября, 2016 Понял почти все, что сделать, не понял только 1: c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com - это надо текст c:\quarantine.zip отправить на адрес newvirus@kaspersky.com. А полученый ответ указать в этой теме, а что такое "с указанием номера KLAN?" Обьясните пожалуйста, просто я не опытный, 1 раз буду такое делать. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 1 октября, 2016 Share Опубликовано 1 октября, 2016 Архив с карантином нужно отправить на почту Ссылка на сообщение Поделиться на другие сайты
SGWinner 0 Опубликовано 2 октября, 2016 Автор Share Опубликовано 2 октября, 2016 Понял, будет сделано Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 2 октября, 2016 Share Опубликовано 2 октября, 2016 Новые логи тоже давно пора было сделать и прикрепить к очередному сообщению на форуме Ссылка на сообщение Поделиться на другие сайты
SGWinner 0 Опубликовано 8 октября, 2016 Автор Share Опубликовано 8 октября, 2016 (изменено) Здравствуйте! Скрипт в AVZ сделал, перезагрузка компьютера была успешна. Но была одна проблема: когда я делал последний скрипт в AVZ (Папка с карантином) мне писало. что у меня нету прав для этого, по-этому я сделал это от имени Администратора. Логи прикрепил. Папку с карантином на почту отправил. Вот какой ответ пришёл с почты, на которую я отправил папку с карантином: Re: quarantine.zip [KLAN-5138239827] newvirus@kaspersky.com сегодня, 20:29 Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. quarantine.zipВредоносный код в файле не обнаружен.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. quarantine.zipNo malicious code was found in this file.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"--------------------------------------------------------------------------------From: Sent: 10/8/2016 5:28:25 PMTo: newvirus@kaspersky.comSubject: quarantine.zip Жду ответа. CollectionLog-2016.10.08-20.21.zip Изменено 8 октября, 2016 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 8 октября, 2016 Share Опубликовано 8 октября, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
SGWinner 0 Опубликовано 8 октября, 2016 Автор Share Опубликовано 8 октября, 2016 Архив прикрепил. Архив Addition и FRST.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 9 октября, 2016 Share Опубликовано 9 октября, 2016 ATTENTION: The user is not administratorПеределывайте, дав учетной записи права администратора Ссылка на сообщение Поделиться на другие сайты
SGWinner 0 Опубликовано 9 октября, 2016 Автор Share Опубликовано 9 октября, 2016 Что именно переделывать? Архив? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 9 октября, 2016 Share Опубликовано 9 октября, 2016 Сбор логов Farbar Ссылка на сообщение Поделиться на другие сайты
SGWinner 0 Опубликовано 9 октября, 2016 Автор Share Опубликовано 9 октября, 2016 Сделал Addition и FRST.zip Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти