balmaran Опубликовано 8 декабря, 2016 Share Опубликовано 8 декабря, 2016 Доброго времени суток. Пришло письмо на почту, открыли вложение. Итог: часть фото, музыки, архивов и прочего зашифровано с расширением .no_more_ransom. dr.web cureit ничего не нашел, а вот в защитнике Windows в карантине два Ransom:Win32/Troldesh.a CollectionLog-2016.12.09-00.39.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 9 декабря, 2016 Share Опубликовано 9 декабря, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\users\andsh\appdata\local\tiledatalayer\wecutil', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Users\andsh\AppData\Local\TileDataLayer\WECUTIL\wecutil.exe', ''); QuarantineFile('H:\autorun.inf', ''); ExecuteFile('schtasks.exe', '/delete /TN "andshelm" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Event Collector Command Line Utility" /F', 0, 15000, true); DeleteFile('C:\Users\andsh\AppData\Local\TileDataLayer\WECUTIL\wecutil.exe', '32'); DeleteFileMask('c:\users\andsh\appdata\local\tiledatalayer\wecutil', '*', true); DeleteDirectory('c:\users\andsh\appdata\local\tiledatalayer\wecutil'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','andshelm'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на комментарий Поделиться на другие сайты More sharing options...
balmaran Опубликовано 9 декабря, 2016 Автор Share Опубликовано 9 декабря, 2016 (изменено) KLAN-5470681987 Программа Riskware, которая может причинить вред вашему устройству, найдена в файлахwecutil.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.hypqВредоносные программы не найдены в файлах:autorun.inf CollectionLog-2016.12.09-15.23.zip Изменено 9 декабря, 2016 пользователем balmaran Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 9 декабря, 2016 Share Опубликовано 9 декабря, 2016 Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
balmaran Опубликовано 9 декабря, 2016 Автор Share Опубликовано 9 декабря, 2016 вот Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 9 декабря, 2016 Share Опубликовано 9 декабря, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction <======= ATTENTION CHR StartupUrls: Default -> "hxxp://www.searchya.com/?s=0&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzutDtDtD0A0EyCyCyCtD0EtDyCtBzztDtCtN0D0Tzu0CtBtByCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1403505101","hxxp://mail.ru/cnt/7993/","hxxp://www.yandex.ru/?clid=1930883","hxxp://searchou.com/?id=c447e959000000000000000000000000","hxxp://www.yandex.ru/","hxxp://www.google.com","hxxp://www.windowsxlive.net/","hxxp://www.sweet-page.com/?type=hp&ts=1396858777&from=cor&uid=WDCXWD1600AAJB-00J3A0_WD-WCAV3089465794657","hxxp://www.sweet-page.com/?type=hppp&ts=1396860300&from=cor&uid=WDCXWD1600AAJB-00J3A0_WD-WCAV3089465794657" 2016-12-08 13:45 - 2016-12-08 22:18 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-12-08 13:45 - 2016-12-08 22:18 - 00000000 __SHD C:\ProgramData\Windows C:\Users\andsh\AppData\Local\Temp\dt_DF71.tmp.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Пробуйте восстановить файлы средствами Windows. Ссылка на комментарий Поделиться на другие сайты More sharing options...
balmaran Опубликовано 9 декабря, 2016 Автор Share Опубликовано 9 декабря, 2016 вот Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 10 декабря, 2016 Share Опубликовано 10 декабря, 2016 Майнер, следы вымогателя и адвари удалены. С расшифровкой помочь не сможем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти