Focusnik 1 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Добрый день. Дабы не плодить темы, тоже попрошу помощи тут. Шифровальщик тот же, что и у ТС. Загрузил ОС с флешки и вычистил с помощью KVRT. Бекапы пока не распаковываю, т.к. хочется, убедиться, что нигде не осталось этой гадости. Кстати заметил, что перестали работать msc файлы. Т.е. через mmc открыть к примеру планировщик заданий можно, а запустив файл taskschd.msc - нет. CollectionLog-2017.03.14-12.17.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Здравствуйте! На момент заражения была ли включена эта настройка? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\ob_lien\AppData\Roaming\xaYHf.exe', ''); DeleteFile('C:\Users\ob_lien\AppData\Roaming\xaYHf.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run',''); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Ссылка на сообщение Поделиться на другие сайты
Focusnik 1 Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 (изменено) Настройка не работала, т.к. бюрократия... в общем лицензию не могут продлить с ноября месяца, потому что решили проводить это через закупки. Файла 'C:\Users\ob_lien\AppData\Roaming\xaYHf.exe' нет, прибит KVRT, в реестре ссылку на него я нашел и удалил вручную. Изменено 14 марта, 2017 пользователем Focusnik Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Все-таки выполните скрипт и сделайте повторный лог. Ссылка на сообщение Поделиться на другие сайты
Focusnik 1 Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 Антивирус остановил (хотя там по многим сервисам стоял статус сбой), пересоздал логи. CollectionLog-2017.03.14-13.25.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Focusnik 1 Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 Готово. Addition.txt FRST.txt Shortcut.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicyScripts: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION FF Extension: (\u0421\u043E\u0432\u0435\u0442\u043D\u0438\u043A\u0020\u042F\u043D\u0434\u0435\u043A\u0441\u002E\u041C\u0430\u0440\u043A\u0435\u0442\u0430) - C:\Users\ob_lien\AppData\Roaming\Mozilla\Firefox\Profiles\jf2igfoc.default\Extensions\sovetnik@metabar.ru.xpi [2017-02-22] Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Focusnik 1 Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 Сделал. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 перестали работать msc файлыЭто еще актуально? Ссылка на сообщение Поделиться на другие сайты
Focusnik 1 Опубликовано 14 марта, 2017 Автор Share Опубликовано 14 марта, 2017 Нет. Исправил через "Сопоставление типов файлов или протоколов конкретным программам". Спасибо. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 14 марта, 2017 Share Опубликовано 14 марта, 2017 С расшифровкой помочь не сможем. Прочтите и выполните Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
Мария Бухгалтер 0 Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 Здравствуйте.. помогите пожалуйста. Сегодня на почту пришло письмо якобы от поставщика "Акт-сверки" открыла и все файлы за шифровались. Впереди у файлов пишется ISHTAR. Что можно сделать? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 @Мария Бухгалтер, здравствуйте! Не пишите в чужой теме, создайте свою. С расшифровкой помочь не сможем. Сможем проверить в порядке ли система. Если это Вам необходимо, в новой теме выполните Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти