Focusnik Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Добрый день. Дабы не плодить темы, тоже попрошу помощи тут. Шифровальщик тот же, что и у ТС. Загрузил ОС с флешки и вычистил с помощью KVRT. Бекапы пока не распаковываю, т.к. хочется, убедиться, что нигде не осталось этой гадости. Кстати заметил, что перестали работать msc файлы. Т.е. через mmc открыть к примеру планировщик заданий можно, а запустив файл taskschd.msc - нет. CollectionLog-2017.03.14-12.17.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Здравствуйте! На момент заражения была ли включена эта настройка? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\ob_lien\AppData\Roaming\xaYHf.exe', ''); DeleteFile('C:\Users\ob_lien\AppData\Roaming\xaYHf.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run',''); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Focusnik Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 (изменено) Настройка не работала, т.к. бюрократия... в общем лицензию не могут продлить с ноября месяца, потому что решили проводить это через закупки. Файла 'C:\Users\ob_lien\AppData\Roaming\xaYHf.exe' нет, прибит KVRT, в реестре ссылку на него я нашел и удалил вручную. Изменено 14 марта, 2017 пользователем Focusnik Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Все-таки выполните скрипт и сделайте повторный лог. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Focusnik Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 Антивирус остановил (хотя там по многим сервисам стоял статус сбой), пересоздал логи. CollectionLog-2017.03.14-13.25.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Focusnik Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 Готово. Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicyScripts: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION FF Extension: (\u0421\u043E\u0432\u0435\u0442\u043D\u0438\u043A\u0020\u042F\u043D\u0434\u0435\u043A\u0441\u002E\u041C\u0430\u0440\u043A\u0435\u0442\u0430) - C:\Users\ob_lien\AppData\Roaming\Mozilla\Firefox\Profiles\jf2igfoc.default\Extensions\sovetnik@metabar.ru.xpi [2017-02-22] Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Focusnik Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 Сделал. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 перестали работать msc файлыЭто еще актуально? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Focusnik Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 Нет. Исправил через "Сопоставление типов файлов или протоколов конкретным программам". Спасибо. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 С расшифровкой помочь не сможем. Прочтите и выполните Рекомендации после удаления вредоносного ПО Ссылка на комментарий Поделиться на другие сайты More sharing options...
Мария Бухгалтер Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 Здравствуйте.. помогите пожалуйста. Сегодня на почту пришло письмо якобы от поставщика "Акт-сверки" открыла и все файлы за шифровались. Впереди у файлов пишется ISHTAR. Что можно сделать? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 @Мария Бухгалтер, здравствуйте! Не пишите в чужой теме, создайте свою. С расшифровкой помочь не сможем. Сможем проверить в порядке ли система. Если это Вам необходимо, в новой теме выполните Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти