Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Случайно запустил из почты скрипт

Viktor3954135
 Поделиться

Рекомендуемые сообщения

Viktor3954135

Viktor3954135

Опубликовано
Опубликовано (изменено)

Пришло письмо якобы Сбербанк выставил счет, пытался открыть только потом дошло что это скрипт...

Что он мог натворить и как избавиться???
 
AVZ зависает при начале прямого чтения много багов...
 
Помогите исправить....
 
прикрепил логи AVZ и тот скрипт что приехал...
 
 
Заранее спасибо...

Изменено пользователем kmscom
удалены вложения, не удовлетворяющие правилам раздела Уничтожение вирусов
  • Ответов 39
  • Создана
  • Последний ответ

Топ авторов темы

  • Viktor3954135

    19

  • regist

    19

  • Sandor

    1

  • kmscom

    1

Топ авторов темы

Популярные посты

regist
regist

1) что сделали? Где логи по указанным правилам? 2) Раз вы онлайн, то отредактируйте первый пост и уберите из него вложение по скриптом, пока никто ещё не заразился и не пошифровал себе файлы. У вас,

Viktor3954135

Viktor3954135

Опубликовано
  • Автор
Опубликовано

Здравствуйте.

Во первых вам в соседнюю тему, но наверное модераторы перенесут, можете новую не создавать.

а во вторых переделайте логи по правилам https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Сделал как просили...

Вот логи

CollectionLog-2017.04.06-10.52.zip

regist

regist

Опубликовано
Опубликовано

 

 


Сделал как просили...

1) что сделали? Где логи по указанным правилам?

2) Раз вы онлайн, то отредактируйте первый пост и уберите из него вложение по скриптом, пока никто ещё не заразился и не пошифровал себе файлы.

У вас, кстати, файлы пошифровало или не успело?

  • Согласен 1
Viktor3954135

Viktor3954135

Опубликовано
  • Автор
Опубликовано

​архив с загрузчиком из сообщения удалите.

удалил...

 

Сделал как просили...

1) что сделали? Где логи по указанным правилам?

2) Раз вы онлайн, то отредактируйте первый пост и уберите из него вложение по скриптом, пока никто ещё не заразился и не пошифровал себе файлы.

У вас, кстати, файлы пошифровало или не успело?

 

логи чуть выше в предыдущ сообщении, файл удалил

логи

 

Сделал как просили...

1) что сделали? Где логи по указанным правилам?

2) Раз вы онлайн, то отредактируйте первый пост и уберите из него вложение по скриптом, пока никто ещё не заразился и не пошифровал себе файлы.

У вас, кстати, файлы пошифровало или не успело?

 

Файлы вроде целы, а лог я что неправильно сделал???

CollectionLog-2017.04.06-10.52.zip

regist

regist

Опубликовано
Опубликовано

 

 


файлы пошифровало или не успело?
Не ответили.

 

И подождите пока тему перенесут, потом или я, или коллеги вам ответят.

Viktor3954135

Viktor3954135

Опубликовано
  • Автор
Опубликовано

 

файлы пошифровало или не успело?

Не ответили.

 

И подождите пока тему перенесут, потом или я, или коллеги вам ответят.

 

файлы вроде целы комп работает, при загрузке хрома, хром говорит что от меня какието запросы множественные и просит подвердить что я не робот, В AVZ много багов и разрешено то чего лучше закрыть, раньше вроде скрипт давали на поправку...

 

 

файлы пошифровало или не успело?

Не ответили.

 

И подождите пока тему перенесут, потом или я, или коллеги вам ответят.

 

файлы вроде целы комп работает, при загрузке хрома, хром говорит что от меня какието запросы множественные и просит подвердить что я не робот, В AVZ много багов и разрешено то чего лучше закрыть, раньше вроде скрипт давали на поправку...

 

А куда тему перенесут, где искать потом??? И вот еще AVZ при проверке диска С зависает при начале прямого сканирования не доделывая проверку...???

regist

regist

Опубликовано
Опубликовано

@Viktor3954135,

 

 

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2) McAfee Security Scan Plus - деинсталируйте.

 

3) Malwarebytes - раз уже установлен, то лог полного сканирования покажите.

Sandor

Sandor

Опубликовано
Опубликовано

(разрешен запуск того-то того-то) можно скрипт для приведения в порядок?

Пока делайте пункты 2 и 3.
regist

regist

Опубликовано
Опубликовано

 

 


Malwarebytes пробная версия, срок закончился, пока нет возможности преобрести лицензию...
перейдите на вкладку Мой кабинет и там деактивируйте Премиум лицензию, после этого перейдёт на бесплатный режим.

 

 


а вот вот позакрывать баги из AVZ (разрешен запуск того-то того-то)
Это не баги, а нормальное состояние системы.

 

 


(разрешен запуск того-то того-то) можно скрипт для приведения в порядок???
Что именно из того вас беспокоит?

 

 

+

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Viktor3954135

Viktor3954135

Опубликовано
  • Автор
Опубликовано

Беспокоит...
 

9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
 

 

 
 

AdwCleanerS16.txt

regist

regist

Опубликовано
Опубликовано

1) Для отключения автозапуска выполните скрипт AVZ

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.

2) C:\AdwCleaner\AdwCleaner[C0].txt - этот лог покажите.

 

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Viktor3954135

Viktor3954135

Опубликовано
  • Автор
Опубликовано

1) Для отключения автозапуска выполните скрипт AVZ

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.

2) C:\AdwCleaner\AdwCleaner[C0].txt - этот лог покажите.

 

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Уезжал по делам счас все будет...

Вот вроде то

 

но С0 старый...??? 

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

regist

regist

Опубликовано
Опубликовано (изменено)

1)

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

 

 

2) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {28ff2afa-a983-11e6-81ab-806e6f6e6963} - R:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {3a7e7464-d320-11e6-9480-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {5b62bd92-a98a-11e6-a394-d43d7e95c65d} - T:\SISetup.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {5b62bdaa-a98a-11e6-a394-d43d7e95c65d} - Q:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {8105262c-dbe4-11e6-bb9f-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {8f1d7dc3-f2f5-11e6-8ba7-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {8f580e81-d35b-11e6-9480-001e101f1ed9} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {b25c4983-1161-11e7-9440-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {ce102096-aa08-11e6-b7fe-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {ce1020d9-aa08-11e6-b7fe-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {ea407dcc-d265-11e6-a68c-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {ede04b07-d57a-11e6-8d62-d43d7e95c65d} - M:\AutoRun.exe
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-1710131963-2152578087-2280759506-1000 -> No Name - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} -  No File
CHR HKLM\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

3) Удалите остатки McAfee с помощью файла MCPR.exe, дважды нажав левой кнопкой мыши на файл.
После того, как процесс удаления продуктов McAfee будет завершен (этот процесс займет примерно около минуты), появится окно McAfee Cleanup с сообщением (на английском языке): Reboot required to remove all files. Would you like to reboot now? (в переводе на русский язык:"Для удаления всех файлов, компьютер необходимо перезагрузить. Сделать это сейчас?").
Нажмите на кнопку Да, чтобы перезагрузить компьютер сейчас и завершить процесс удаления продуктов McAfee.

Изменено пользователем regist

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Анжелика Марчук
      Зашифровало файлы MS-DOS расширение
      Автор Анжелика Марчук
      Здравствуйте,такая проблема качал архив и после его открытия вирус заразил ноутбук,понял это не сразу через пару дней.
      Вирус зашифровал все личные файлы в расширение MS-DOS .com.
      Вот могу дополнить почту,мжет это поможет решить проблему decryptallfiles3@india.com, Все кто что то знает или слышал про этот вирус отзовитесь пожалуйста,может кому то удалось решить проблему,за ранее буду благодарен.
      0yhWP6pqJIhli7tyyvf3.decryptallfiles3@india.rar
    • Егор45
      Шифровальщик RROD
      Автор Егор45
      Здравствуйте. Сегодня ночью подломили сервак, Windows server 2003 R2 x64. Стоял Kaspesky Small Office 3, утром когда зашёл на сервер Каспер был убит напрочь, хотя был под паролем и писал бэкапы на соседний винт (понимаю не комильфо, но другого варианта нет). Всё файлы типа: *.mxl.RROD, *.docx.RROD. В текстовике следующее сообщение:
       
                             Место для Вашей рекламы --------------------------------------------------------------------------------     Вся Ваша информация (документы, базы данных, бэкапы)     на этом компьютере была зашифрована.     Для расшифровки обратитесь по нижеуказанным контактам.     Ни в коем случае не изменяйте файлы!     И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.     Каждый дешифратор - уникален, чужой - просто испортит Ваши файлы.     Благодоря нам - вы можете усилить свою безопасность     и предотвратить подобные ситуации! -------------------------------------------------------------------------------- e-mail: rr0d@riseup.net ----------------------------------- Ваш код для разблокировки: 7566513  --------------------------------------------------------------- Внимание! В первом письме не прикрепляйте файлы для дешифровки. Все инструкции вы получите в ответном письме. ---------------------------------------------------------------    В предыдущей теме читал (https://forum.kasperskyclub.ru/index.php?showtopic=51068), что скинули дешифратор, можно ли попросить у вас его, вдруг мой???
    • iWILLiWILL
      Шифровальщик CryptoLocker
      Автор iWILLiWILL
      Скорее всего это ссылка.
       
      может быть это.
       
      Не уверен, тк вирус запустился только после следующего включения.
       
      jpg файлы не прикрепились, "пожалуйста сообщите об этом администрации форума"
      KL_syscure.zip
      Учитель-веры-Урок-2-ред.docx
    • rsamig
      Вирус зашифровал все документы .acrypt
      Автор rsamig
      KVRT и cureIt ничего не обнаружили. 
      CollectionLog-2016.12.12-10.32.zip
    • krivanov
      Шифратор vnature@india.com
      Автор krivanov
      Доброго времени суток.
      Споймали вот такой шифровщик.
       
       
      Во вложении пример, логи, и зашифрованый файл (1 из пары.) второй добавлю в след. посте, превышен размер в 5 мб. 
       
       
      http://dropmefiles.com/1sU8y (залил второй файл из пары сюда)
      CollectionLog-2016.12.08-13.45.zip
      example.rar
      s08oZQhxJjGWKDUHJNn3TaXG.vnature@india.rar
×
×
  • Создать...