Monax 0 Опубликовано 25 апреля, 2017 Share Опубликовано 25 апреля, 2017 Откуда прилетела гадость не знаю. Компьютер с утра работал нормально, потом оказался выключенным. Файлы кроме переименования содержали куски другого кода или (например в xls) текст послания, как в приложенном txt. Откатился на предыдущую точку восстановления системы. Почистил систему через утилиту AVZ. Все шифрованные файлы (расположенные в основном на рабочем столе и в с:\ я удалил). Вопрос 1: не поторопился я удалить файлы, может это и не Cerber был ? Вопрос 2: не осталась ли эта гадость где-нибудь на компе ? _DECRYPT_MY_FILES.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 25 апреля, 2017 Share Опубликовано 25 апреля, 2017 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Monax 0 Опубликовано 25 апреля, 2017 Автор Share Опубликовано 25 апреля, 2017 дык так и делаю как в порядке описано. комп утилита перезагружала, лог вкладываю к этому сообщению. прокси-сервер в настройках IE давно и не активирован галочкой. CollectionLog-2017.04.25-11.54.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 апреля, 2017 Share Опубликовано 25 апреля, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('c:\users\admin\appdata\roaming\newsi_1008\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\users\admin\appdata\roaming\newsi_1019\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Users\admin\AppData\Roaming\newSI_1008\s_inst.exe', ''); QuarantineFile('C:\Users\admin\AppData\Roaming\newSI_1019\s_inst.exe', ''); QuarantineFile('C:\Users\admin\AppData\Local\Temp\Updater.exe', ''); QuarantineFile('c:\task.vbs', ''); ExecuteFile('schtasks.exe', '/delete /TN "newSI_1008" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "newSI_1019" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "runTask" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "updateTask" /F', 0, 15000, true); DeleteFile('C:\Users\admin\AppData\Roaming\newSI_1008\s_inst.exe', '32'); DeleteFile('C:\Users\admin\AppData\Roaming\newSI_1019\s_inst.exe', '32'); DeleteFile('C:\Users\admin\AppData\Local\Temp\Updater.exe', '32'); DeleteFile('c:\task.vbs', '32'); DeleteFileMask('c:\users\admin\appdata\roaming\newsi_1008\', '*', true); DeleteFileMask('c:\users\admin\appdata\roaming\newsi_1019\', '*', true); DeleteDirectory('c:\users\admin\appdata\roaming\newsi_1008\'); DeleteDirectory('c:\users\admin\appdata\roaming\newsi_1019\'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(4); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
Monax 0 Опубликовано 26 апреля, 2017 Автор Share Опубликовано 26 апреля, 2017 quarantine.zip [KLAN-6160378137] Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный. Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем "infected" (без кавычек). Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер. лог повторной проверки CollectionLog-2017.04.26-13.18.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 26 апреля, 2017 Share Опубликовано 26 апреля, 2017 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Monax 0 Опубликовано 26 апреля, 2017 Автор Share Опубликовано 26 апреля, 2017 готово AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 26 апреля, 2017 Share Опубликовано 26 апреля, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Прокси Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Monax 0 Опубликовано 26 апреля, 2017 Автор Share Опубликовано 26 апреля, 2017 готово AdwCleanerC0.txt Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 26 апреля, 2017 Share Опубликовано 26 апреля, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File Toolbar: HKU\S-1-5-21-4239214577-3340519242-2663740227-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File S2 Update AdvanceElite; "C:\Program Files\AdvanceElite\updateAdvanceElite.exe" [X] Task: {A168DFF7-1366-45C4-9362-A4F46FCB58EA} - \Adobe Flash Player Updater -> No File <==== ATTENTION Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Файл C:\Users\admin\AppData\_DECRYPT_MY_FILES.txtвместе с парочкой небольших зашифрованных упакуйте и тоже прикрепите к следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Monax 0 Опубликовано 26 апреля, 2017 Автор Share Опубликовано 26 апреля, 2017 готово Fixlog.txt infected.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 26 апреля, 2017 Share Опубликовано 26 апреля, 2017 Попробуйте найти пару: зашифрованный и его не зашифрованный оригинал размером не менее 128 кб. Найдете, упакуйте и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Monax 0 Опубликовано 26 апреля, 2017 Автор Share Опубликовано 26 апреля, 2017 (изменено) Сообщение 1: нашел файлы и прикрепил архив Сообщение 2: Немного спустя комп выдал странное сообщение а-ля системное (что-то на английском про неисправимую системную ошибку, которая требует перезагрузки компа через минуту) и перезагрузился. Я не успел сохранить скриншот. infected_01.zip Изменено 26 апреля, 2017 пользователем Monax Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 26 апреля, 2017 Share Опубликовано 26 апреля, 2017 При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Цитата Ссылка на сообщение Поделиться на другие сайты
Monax 0 Опубликовано 26 апреля, 2017 Автор Share Опубликовано 26 апреля, 2017 если и есть где лицензия, то уже не найду ее. помощь в рамках форума больше не возможна? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.