anton4ik Опубликовано 15 декабря, 2016 Share Опубликовано 15 декабря, 2016 Вчера, судя по всему подключившись по RDP, скопировали файл и запустили шифровальщик. Сегодня утром на рабочем столе был обнаружен запущенный файл vis.exe. Антивирус отключили, поковырялись с учетными записями... Файлы теперь имеют имена типа email-tatarian@india.com.ver-CL 1.3.1.0.id-@@@@@4684-E4C6.randomname-ZBCDEEFGGHIIIJKKLMNNNOPPQRRRST.UVV.xxy Есть файл шифровальщика. И вроде как один файл оригинала зашифрованного файла (определил по размеру, ко всем файлам добавилось ~30-32 кб) CollectionLog-2016.12.15-15.08.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 15 декабря, 2016 Share Опубликовано 15 декабря, 2016 Здравствуйте,AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('c:\users\user\desktop\vis.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
anton4ik Опубликовано 15 декабря, 2016 Автор Share Опубликовано 15 декабря, 2016 Вот отчеты Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.Антивирус Касперского проверил файлы.В файлах найдены вредоносные программыvis.exe - Trojan.Win32.Filecoder.bgМы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.KLAN-5523379205 Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 15 декабря, 2016 Share Опубликовано 15 декабря, 2016 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: 2016-12-15 10:32 - 2016-12-09 22:41 - 02244608 _____ C:\Users\User\Documents\vis.exe 2016-12-14 23:44 - 2016-12-09 22:41 - 02244608 _____ C:\Users\User\Desktop\vis.exe 2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\README.txt 2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\Downloads\README.txt 2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\Documents\README.txt 2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\Desktop\README.txt 2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\AppData\Roaming\README.txt 2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\AppData\README.txt 2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\AppData\LocalLow\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Public\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Public\Downloads\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\Downloads\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\Documents\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\Desktop\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\AppData\Roaming\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\AppData\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\AppData\Local\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\Downloads\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\Documents\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\Desktop\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\AppData\Roaming\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\AppData\README.txt 2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\AppData\Local\README.txt 2016-12-15 00:03 - 2016-12-15 00:03 - 0000360 _____ () C:\Users\User\AppData\Roaming\README.txt 2016-12-15 00:03 - 2016-12-15 00:03 - 0000360 _____ () C:\Users\User\AppData\Roaming\Microsoft\README.txt 2016-12-14 23:55 - 2016-12-15 00:03 - 0000360 _____ () C:\Users\User\AppData\Local\README.txt 2016-10-20 04:01 - 2016-10-20 04:01 - 0000000 ____H () C:\ProgramData\DP45977C.lfl 2016-12-14 23:55 - 2016-12-15 00:03 - 0000360 _____ () C:\ProgramData\README.txt Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти