Виктор Дземян 0 Опубликовано 12 октября, 2016 Share Опубликовано 12 октября, 2016 Доброе утро, вчера,предположительно, через компьютер сотрудника зараженного вирусом-шифровальщиком Da Vinci Code были заражены файлы на подключеном сетевом диске, проверка Kaspersky Virus Removal Tool 2015 ничего не обнаружила на сервере. CollectionLog-2016.10.12-09.34.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 12 октября, 2016 Share Опубликовано 12 октября, 2016 Здравствуйте! компьютер сотрудника зараженного вирусом-шифровальщиком Da Vinci CodeЛоги нужны с этого компьютера, а не с сервера. Ссылка на сообщение Поделиться на другие сайты
Виктор Дземян 0 Опубликовано 12 октября, 2016 Автор Share Опубликовано 12 октября, 2016 Логи с компьютера, который был источником заражения. Подскажите можно ли пользоваться сервером если Kaspersky Virus Removal Tool 2015 на нём не обнаружил вирус, но зашифрованные файлы попали с компьютера пользователя и были созданы файлы ReadMe на сетевом диске? Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 12 октября, 2016 Share Опубликовано 12 октября, 2016 Логи с компьютера, который был источником зараженияСначала сделайте CollectionLog с помощью Автологера. можно ли пользоваться серверомМожно, т.к. в логах тоже порядок. Ссылка на сообщение Поделиться на другие сайты
Виктор Дземян 0 Опубликовано 12 октября, 2016 Автор Share Опубликовано 12 октября, 2016 Логи сделанные автологером CollectionLog-2016.10.12-18.05.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 12 октября, 2016 Share Опубликовано 12 октября, 2016 Зачистим адварь. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('c:\users\голуб\appdata\roaming\newsi_649\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Users\D7CF~1\AppData\Local\Temp\yupdate.exe-{402669DF-50EE-43F5-8C3A-E3693A5E928E}', ''); QuarantineFile('C:\Users\Голуб\AppData\Roaming\newSI_649\s_inst.exe', ''); DeleteFile('C:\Windows\Tasks\newSI_649.job', '32'); DeleteFile('C:\Users\D7CF~1\AppData\Local\Temp\yupdate.exe-{402669DF-50EE-43F5-8C3A-E3693A5E928E}', '32'); DeleteFile('C:\Users\Голуб\AppData\Roaming\newSI_649\s_inst.exe', '32'); DeleteFileMask('c:\users\голуб\appdata\roaming\newsi_649\', '*', true); DeleteDirectory('c:\users\голуб\appdata\roaming\newsi_649\'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ClearTemp','command'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Виктор Дземян 0 Опубликовано 12 октября, 2016 Автор Share Опубликовано 12 октября, 2016 Пункты описанные в посте выше выполнил, в письме пришел следующий ответ Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.quarantine.zipВредоносный код в файле не обнаружен.С уважением, Лаборатория Касперского KLAN-5158341228 AdwCleanerS0.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 13 октября, 2016 Share Опубликовано 13 октября, 2016 Далее: 1. Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Виктор Дземян 0 Опубликовано 13 октября, 2016 Автор Share Опубликовано 13 октября, 2016 Файлы после выполнения действия указанных в посте выше. Ранее в конторе стоял Nod32, сейчас подали данные на торги по переходу на Kaspersky. Могу предоставить личную, действующую, лицензию на Kaspersky Total Security, если это поможет для рассмотрения вопроса. Addition.txt FRST.txt Shortcut.txt AdwCleanerC0.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 13 октября, 2016 Share Опубликовано 13 октября, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: 2016-10-12 08:32 - 2016-10-12 08:33 - 00000000 __SHD C:\Users\Все пользователи\Csrss 2016-10-12 08:32 - 2016-10-12 08:33 - 00000000 __SHD C:\ProgramData\Csrss 2016-10-12 08:32 - 2016-10-12 08:32 - 06220854 _____ C:\Users\NikitinaTA\AppData\Roaming\8BFDE4898BFDE489.bmp 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\Public\Desktop\README9.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\Public\Desktop\README8.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\Public\Desktop\README7.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\Public\Desktop\README6.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\Public\Desktop\README5.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\Public\Desktop\README4.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\Public\Desktop\README3.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\Public\Desktop\README2.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\Public\Desktop\README10.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\Public\Desktop\README1.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\NikitinaTA\Desktop\README9.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\NikitinaTA\Desktop\README8.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\NikitinaTA\Desktop\README7.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\NikitinaTA\Desktop\README6.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\NikitinaTA\Desktop\README5.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\NikitinaTA\Desktop\README4.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\NikitinaTA\Desktop\README3.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\NikitinaTA\Desktop\README2.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\NikitinaTA\Desktop\README10.txt 2016-10-12 08:32 - 2016-10-12 08:32 - 00004178 _____ C:\Users\NikitinaTA\Desktop\README1.txt 2016-10-11 16:36 - 2016-10-11 16:36 - 00004178 _____ C:\README9.txt 2016-10-11 16:36 - 2016-10-11 16:36 - 00004178 _____ C:\README8.txt 2016-10-11 16:36 - 2016-10-11 16:36 - 00004178 _____ C:\README7.txt 2016-10-11 16:36 - 2016-10-11 16:36 - 00004178 _____ C:\README6.txt 2016-10-11 16:36 - 2016-10-11 16:36 - 00004178 _____ C:\README5.txt 2016-10-11 16:36 - 2016-10-11 16:36 - 00004178 _____ C:\README4.txt 2016-10-11 16:36 - 2016-10-11 16:36 - 00004178 _____ C:\README3.txt 2016-10-11 16:36 - 2016-10-11 16:36 - 00004178 _____ C:\README2.txt 2016-10-11 16:36 - 2016-10-11 16:36 - 00004178 _____ C:\README10.txt 2016-10-11 16:36 - 2016-10-11 16:36 - 00004178 _____ C:\README1.txt 2016-10-11 16:35 - 2016-10-12 17:03 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-10-11 16:35 - 2016-10-12 17:03 - 00000000 __SHD C:\ProgramData\Windows C:\Users\Голуб\AppData\Local\Temp\lite_installer.exe C:\Users\Голуб\AppData\Local\Temp\Uninstall.exe C:\Users\Голуб\AppData\Local\Temp\ya_downloader.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Виктор Дземян 0 Опубликовано 13 октября, 2016 Автор Share Опубликовано 13 октября, 2016 лог работы фикса Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 13 октября, 2016 Share Опубликовано 13 октября, 2016 Могу предоставить личную, действующую, лицензиюМожете для создания запроса на расшифровку. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти