Simboss Опубликовано 12 октября, 2016 Share Опубликовано 12 октября, 2016 Доброго времени суток! Как и у большинства из почты получен шифровальщик Да Винчи (к сожалению письмо с ссылкой на вирус удалено). Проведено сканирование утилитой Farbar Recovery Scan Tool. Прикрепляю отчеты. В принципе нет необходимости расшифровать файлы, т.к. большинство удалено (есть бэкап на другом компьютере). Основная цель удалить шифровальщик, чтобы не шифровал новые добавляемые файлы, а также удалить зашифрованные (многие из них с длинным именем и не удаляются). Надеюсь на вашу помощь Shortcut.txt FRST.txt Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 12 октября, 2016 Share Опубликовано 12 октября, 2016 Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Simboss Опубликовано 12 октября, 2016 Автор Share Опубликовано 12 октября, 2016 Dr.Web Cureit не выявил ничего. Прикладываю отчет автологгера. CollectionLog-2016.10.13-05.17.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 13 октября, 2016 Share Опубликовано 13 октября, 2016 Здравствуйте! Два антивируса - перебор. 360 Total Security Kaspersky Total Security Оставьте один (не уточняю какой ) Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('4F95770A7E880CF4'); QuarantineFile('C:\Users\Экопроект\AppData\Local\Temp\C16E0D185.sys', ''); QuarantineFile('C:\Users\Экопроект\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2KFE07QC\vfp.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "{C6C8D9A3-D8D6-4AD8-8D98-0B9AA4333F12}" /F', 0, 15000, true); DeleteFile('C:\Users\Экопроект\AppData\Local\Temp\C16E0D185.sys', '32'); DeleteFile('C:\Users\Экопроект\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2KFE07QC\vfp.exe', '32'); DeleteService('4F95770A7E880CF4'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Simboss Опубликовано 13 октября, 2016 Автор Share Опубликовано 13 октября, 2016 Здравствуйте! Здравствуйте!Два антивируса - перебор. 360 Total SecurityKaspersky Total SecurityОставьте один (не уточняю какой ) У Касперского истек срок действия, а новую лицензию еще не купили. 360 Тотал Секьюрити был установлен вчера после появления кода Да Винчи. Конечно же приобретем новую лицензию, т.к. пользуемся уже несколько лет. Прикрепляю ответ. Номер KLAN 5163810682. Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. C16E0D185.sys,Check_Browsers_LNK.log,HiJackThis.log,info.txt,log.txt,avz_sysinfo.htm,avz_sysinfo.xmlПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 13 октября, 2016 Share Опубликовано 13 октября, 2016 Повторный лог туда отправлять не нужно было. Прикрепите его здесь, к следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Simboss Опубликовано 13 октября, 2016 Автор Share Опубликовано 13 октября, 2016 Направляю лог CollectionLog-2016.10.13-16.59.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 13 октября, 2016 Share Опубликовано 13 октября, 2016 Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Simboss Опубликовано 13 октября, 2016 Автор Share Опубликовано 13 октября, 2016 Сканирование утилитой Farbar Recovery Scan Tool я проводил и прикреплял отчеты в начальном сообщении темы. Еще раз осуществил сканирование. Прикрепляю новые отчеты. Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 13 октября, 2016 Share Опубликовано 13 октября, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" CreateRestorePoint: GroupPolicy\User: Restriction ? <======= ATTENTION BHO: No Name -> {B922D405-6D13-4A2B-AE89-08A030DA4402} -> No File BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-2886762122-642230030-2554666213-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-2886762122-642230030-2554666213-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File 2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README9.txt 2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README8.txt 2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README7.txt 2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README6.txt 2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README5.txt 2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README4.txt 2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README3.txt 2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README2.txt 2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README10.txt 2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README1.txt 2016-10-12 10:21 - 2016-10-12 10:21 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-10-12 10:21 - 2016-10-12 10:21 - 00000000 __SHD C:\ProgramData\Windows Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Simboss Опубликовано 13 октября, 2016 Автор Share Опубликовано 13 октября, 2016 Файл Fixlog Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 октября, 2016 Share Опубликовано 14 октября, 2016 При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти