qwerty228 Опубликовано 14 января, 2017 Опубликовано 14 января, 2017 (изменено) Здравствуйте. Буквально на днях словил шифровальщик (вероятно словил с этого сайта [удалено], сайт заражен, при попытке перейти по ссылка сайта, скачивается .zip архив с js файлом внутри). Зачем я его запустил - я не знаю). Антивирус среагировал и удалил файл. Далее в течение дня несколько раз срабатывал на тот же вирус. Была выполнена полная проверка Антивирусом Касперского, но ничего не нашлось. После перезагрузки На всех дисках создались несколько фалов ReadMe.txt с текстом о зашифровке файлов (README.txt), правда зашифрованных файлов я так и не нашел . Провекра Dr.Web CureIt! исправила только host . CollectionLog-2017.01.14-23.04.zip README.txt Изменено 14 января, 2017 пользователем thyrex подтверждено: ссылка на зверье
SQ Опубликовано 14 января, 2017 Опубликовано 14 января, 2017 Здравствуйте,- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. 1
qwerty228 Опубликовано 15 января, 2017 Автор Опубликовано 15 января, 2017 Сделано Addition.txt FRST.txt
SQ Опубликовано 15 января, 2017 Опубликовано 15 января, 2017 Сами прописывали прокси-сервер? FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> backup.ftp", "" FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> backup.ftp_port", 0 FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> backup.socks", "" FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> backup.socks_port", 0 FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> backup.ssl", "" FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> backup.ssl_port", 0 FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> ftp", "197.149.179.181" FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> ftp_port", 8888 FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> http", "197.149.179.181" FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> http_port", 8888 FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> share_proxy_settings", true FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> socks", "197.149.179.181" FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> socks_port", 8888 FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> ssl", "197.149.179.181" FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> ssl_port", 8888 FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> type", 0 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: ShellIconOverlayIdentifiers: [ YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} => C:\Users\AFYDOZ\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File ShellIconOverlayIdentifiers: [ YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} => C:\Users\AFYDOZ\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File ShellIconOverlayIdentifiers: [ YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} => C:\Users\AFYDOZ\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File ShellIconOverlayIdentifiers: [ YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} => C:\Users\AFYDOZ\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Toolbar: HKU\S-1-5-21-3763500095-487216388-3683037436-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File U0 aswVmm; no ImagePath 2017-01-11 20:38 - 2017-01-12 17:20 - 00000000 __SHD C:\Users\Все пользователи\Windows 2017-01-11 20:38 - 2017-01-12 17:20 - 00000000 __SHD C:\ProgramData\Windows 2016-06-07 21:20 - 2016-06-07 21:20 - 0000000 ____H () C:\ProgramData\DP45977C.lfl CustomCLSID: HKU\S-1-5-21-3763500095-487216388-3683037436-1000_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath AlternateDataStreams: C:\Users\AFYDOZ:Heroes & Generals [38] File: C:\Users\AFYDOZ\AppData\Local\Gaijin\Program Files (x86)\NetAgent\gjagent.exe Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. 1
qwerty228 Опубликовано 15 января, 2017 Автор Опубликовано 15 января, 2017 Прокси не прописывал Процедуру сделал Прокси не прописывал. Процедуру сделал Fixlog.txt
SQ Опубликовано 15 января, 2017 Опубликовано 15 января, 2017 Прокси не прописывалУберите тогда настройку в firefox Если есть лицензия на продукты ЛК пробуйте обратиться,https://forum.kasperskyclub.ru/index.php?showtopic=48525, но шансов мало что помогут. P.S. Не удаляйте каталог C:\FRST пока не решите вопрос с расшифровкой. 1
qwerty228 Опубликовано 15 января, 2017 Автор Опубликовано 15 января, 2017 Получается следов вируса больше нет?
SQ Опубликовано 15 января, 2017 Опубликовано 15 января, 2017 Получается следов вируса больше нет? Согласно ранее приложенным логам, нет вредоносного ПО. 1
qwerty228 Опубликовано 15 января, 2017 Автор Опубликовано 15 января, 2017 Получается следов вируса больше нет? Согласно ранее приложенным логам, нет вредоносного ПО. Большое спасибо за помощь
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти