Перейти к содержанию

Рекомендуемые сообщения

MPK кейлоггер сами себе ставили?

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe','');
 StopService('WindowsDefender');
 DeleteService('WindowsDefender');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','32');
ExecuteSysClean;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером.

Ссылка на комментарий
Поделиться на другие сайты

MPK кейлоггер сами себе ставили?

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe','');
 StopService('WindowsDefender');
 DeleteService('WindowsDefender');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','32');
ExecuteSysClean;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером.

 

CollectionLog-2016.12.12-14.19.zip

Ссылка на комментарий
Поделиться на другие сайты

Вопросы принципиально не замечаем?

По поводу кейлоггер не могу ответить, досталось по наследству

Ссылка на комментарий
Поделиться на другие сайты

Мда, не сервер, а проходной двор какой-то. Аж два локера поработали на сервере.

В MBAM удалите все, кроме:
 

Файл: 571
HackTool.Agent, C:\PROGRAM FILES (X86)\ACUNETIX\WEB VULNERABILITY SCANNER 8\KEYGEN_8X.EXE, Проигнорировано пользователем, [551], [1570],1.0.709
RiskWare.RemoteAdmin, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\APPDATA\ROAMING\WINDOWS\CONTROL\RFUSCLIENT.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
RiskWare.RemoteAdmin, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\APPDATA\ROAMING\WINDOWS\CONTROL\RUTSERV.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
Trojan.MalPack, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\+\AAAA.EXE, Проигнорировано пользователем, [74], [350427],1.0.709
Trojan.Stealer.ORM, C:\BUILD\SVCHOST.EXE, Проигнорировано пользователем, [8146], [76167],1.0.709
Trojan.Agent.RC, C:\BUILD\BUILD.EXE, Проигнорировано пользователем, [3776], [276646],1.0.709
RiskWare.RemoteAdmin, C:\PROGRAM FILES\ASRF\HOST\RUTSERV.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Ссылка на комментарий
Поделиться на другие сайты

 

Мда, не сервер, а проходной двор какой-то. Аж два локера поработали на сервере.

 

В MBAM удалите все, кроме:

 

Файл: 571
HackTool.Agent, C:\PROGRAM FILES (X86)\ACUNETIX\WEB VULNERABILITY SCANNER 8\KEYGEN_8X.EXE, Проигнорировано пользователем, [551], [1570],1.0.709
RiskWare.RemoteAdmin, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\APPDATA\ROAMING\WINDOWS\CONTROL\RFUSCLIENT.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
RiskWare.RemoteAdmin, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\APPDATA\ROAMING\WINDOWS\CONTROL\RUTSERV.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
Trojan.MalPack, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\+\AAAA.EXE, Проигнорировано пользователем, [74], [350427],1.0.709
Trojan.Stealer.ORM, C:\BUILD\SVCHOST.EXE, Проигнорировано пользователем, [8146], [76167],1.0.709
Trojan.Agent.RC, C:\BUILD\BUILD.EXE, Проигнорировано пользователем, [3776], [276646],1.0.709
RiskWare.RemoteAdmin, C:\PROGRAM FILES\ASRF\HOST\RUTSERV.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

mbam-log2.txt

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    GroupPolicy\User: Restriction <======= ATTENTION
    GroupPolicyUsers\S-1-5-21-3113940813-3145945764-1477822219-1007\User: Restriction <======= ATTENTION
    FirewallRules: [{1EB0EDED-2013-4A2E-898D-C830B7DD82C8}] => C:\Users\admin\AppData\Local\Temp\FWUpgrader.exe
    FirewallRules: [{1234ECEF-4938-4009-BC37-3BECED3FEFF2}] => C:\Users\admin\AppData\Local\Temp\FWUpgrader.exe
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    GroupPolicy\User: Restriction <======= ATTENTION
    GroupPolicyUsers\S-1-5-21-3113940813-3145945764-1477822219-1007\User: Restriction <======= ATTENTION
    FirewallRules: [{1EB0EDED-2013-4A2E-898D-C830B7DD82C8}] => C:\Users\admin\AppData\Local\Temp\FWUpgrader.exe
    FirewallRules: [{1234ECEF-4938-4009-BC37-3BECED3FEFF2}] => C:\Users\admin\AppData\Local\Temp\FWUpgrader.exe
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • 08Sergey
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Александр_vgau
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
    • vmax
      Автор vmax
      Шифровальщик зашифровал все файлы, даже архивы, помогите, не знаю что делать. В архиве две заражённые картинки.
      1.jpg.id[3493C0DF-3274].[xlll@imap.cc].zip
    • Беляш
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...