Spasatel 0 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Добрый день, вчера словил данную гадость которая парализовала всю мою работу, очень прошу помочь избавиться от него, а так же узнать есть возможность восстановить зашифрованные файлы Сразу высылаю архив с отчетами программы Farbar Recovery Scan Tool CollectionLog-2017.03.14-10.42.zip frsn.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 (изменено) Здравствуйте! 1. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\admin\AppData\Roaming\BdkqG0V.exe', ''); QuarantineFile('C:\Users\admin\AppData\Roaming\BdkqG0V.tmp', ''); DeleteFile('C:\Users\admin\AppData\Roaming\BdkqG0V.exe', '32'); DeleteFile('C:\Users\admin\AppData\Roaming\BdkqG0V.tmp', '32'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) 2. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 3. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION 2017-03-14 09:50 - 2017-03-14 09:50 - 00003225 _____ C:\Users\admin\Desktop\ISHTAR.DATA 2017-03-14 09:50 - 2017-03-13 13:44 - 00001824 _____ C:\Users\admin\Desktop\README-ISHTAR.txt 2017-03-14 09:40 - 2017-03-14 09:50 - 00003225 _____ C:\ISHTAR.DATA 2017-03-13 13:44 - 2017-03-14 09:50 - 00003225 _____ C:\Users\admin\AppData\Roaming\ISHTAR.DATA 2017-03-13 13:44 - 2017-03-13 13:44 - 00001824 _____ C:\Users\admin\AppData\Roaming\README-ISHTAR.txt Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. + Ответьте, пожалуйста, во время сбора логов автологером ошибки не появлялись? Изменено 14 марта, 2017 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
Spasatel 0 Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 Ответ от Касперского В следующих файлах обнаружен вредоносный код:BdkqG0V.exe - HEUR:Trojan.Script.Generic Вот еще ClearLNK-14.03.2017_11-48.log Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 во время сбора логов автологером ошибки не появлялись?Не ответили. Дополнительно: Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Spasatel 0 Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 AdwCleaner Выдает ошибку: *sqlite3.dll is corrupted or has been replaced Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Удалите, скачайте заново и пробуйте запустить из другого места, например из корня диска C: Цитата Ссылка на сообщение Поделиться на другие сайты
Spasatel 0 Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 Неа, не помогает ,все равно выдает такую ошибку Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Ошибка появляется при запуске программы или при нажатии кнопки Сканировать? Цитата Ссылка на сообщение Поделиться на другие сайты
Spasatel 0 Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 При начале сканирования Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Пожалуйста, проделайте следущее: Запустите повторно AdwCleaner Выберите в меню Инструменты - Настройки В разделе Режим отметьте Отладка Нажмите ОК Повторите сканирование. Подождите, пока произойдет сбой. Отчет отладки (C:\AdwCleaner\AdwCleaner_Debug.log) прикрепите к следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Spasatel 0 Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 Пожалуйста AdwCleaner_Debug.log Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Зайдите еще раз в Настройки, Режим оставьте Обычный, а База данных отметьте Локально и нажмите Ок. Попробуйте произвести сканирование. Цитата Ссылка на сообщение Поделиться на другие сайты
Spasatel 0 Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 Нет не помогает, я посмотрел на диске С есть папка AdwCleaner, она не может чего нибудь блокировать? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Сделайте так: Запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Еще раз скачайте и пробуйте сканировать. Цитата Ссылка на сообщение Поделиться на другие сайты
Spasatel 0 Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 Отчет AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.