Денис Иванец Опубликовано 27 декабря, 2016 Share Опубликовано 27 декабря, 2016 (изменено) День добрый.# 3 В учреждение было получено письмо с красивым названием Счет.На радостях от увиденного его открыли на трех разных компьютерах.Картина классическая красивые красные надписи на раб.столе.файлы все грустно зашифрованы.Формат no_more_ransom CollectionLog-2016.12.10-09.47.zip Изменено 27 декабря, 2016 пользователем Денис Иванец Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 27 декабря, 2016 Share Опубликовано 27 декабря, 2016 Здравствуйте,HiJackThis (из каталога автологгера) профиксить O4 - HKLM\..\Run: [Client Server Runtime Subsystem] "C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe" AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe',''); TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)Повторите заново логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти