Александр Клочко 0 Опубликовано 23 мая, 2017 Share Опубликовано 23 мая, 2017 Прошелся по компьютеру с помощью Rescue Disk Выдало следующее Проверка объектов: завершено меньше минуты назад (событий: 10, объектов: 320259, время: 01:02:58) 22.05.17 11:35 Задача завершена 22.05.17 10:37 Удалено: Trojan-Ransom.Win32.Purgen.cy C:/Users/User/AppData/Roaming/Microsoft/Windows/Templates/614030.exe 22.05.17 10:37 Удалено: Trojan-Ransom.Win32.Purgen.cy C:/Users/User/AppData/Roaming/Microsoft/Windows/Templates/22010.exe 22.05.17 10:37 Обнаружено: Trojan-Ransom.Win32.Purgen.cy C:/Users/User/AppData/Roaming/Microsoft/Windows/Templates/614030.exe 22.05.17 10:37 Обнаружено: Trojan-Ransom.Win32.Purgen.cy C:/Users/User/AppData/Roaming/Microsoft/Windows/Templates/22010.exe 22.05.17 10:37 Удалено: Trojan-Ransom.Win32.Purgen.cy C:/Users/User/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/X9H76EMG/404[2] 22.05.17 10:37 Удалено: Trojan-Ransom.Win32.Zerber.depu C:/Users/User/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/FTM10QWF/2[1].gif 22.05.17 10:36 Обнаружено: Trojan-Ransom.Win32.Purgen.cy C:/Users/User/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/X9H76EMG/404[2] 22.05.17 10:36 Обнаружено: Trojan-Ransom.Win32.Zerber.depu C:/Users/User/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/FTM10QWF/2[1].gif 22.05.17 10:32 Задача запущена Но остались зашифрованные файлы с расширением .crypt пробовал утилитами с сайта Касперского, результат 0 Утилита RannohDecryptor Говорит: Размер зашифрованного файла не совпадает с оригиналом. Оно так и есть, шифрованный больше... CollectionLog-2017.05.23-11.57.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 474 Опубликовано 23 мая, 2017 Share Опубликовано 23 мая, 2017 Выполните скрипт в AVZ begin RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','20128'); DeleteFile('C:\Windows\system32\Tasks\a3bmqqpgo','64'); DeleteFile('C:\Users\User\AppData\Local\Temp\uhgfxtpkx.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Клочко 0 Опубликовано 24 мая, 2017 Автор Share Опубликовано 24 мая, 2017 (изменено) Выполните скрипт в AVZ begin RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','20128'); DeleteFile('C:\Windows\system32\Tasks\a3bmqqpgo','64'); DeleteFile('C:\Users\User\AppData\Local\Temp\uhgfxtpkx.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger Прошелся скриптом и сформировал лог. К тому же эта зараза зашифровала ВСЕ что нашла, не тронула документы только на рабочем столе, может прав не хватило... CollectionLog-2017.05.24-11.40.zip Изменено 24 мая, 2017 пользователем Александр Клочко Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 474 Опубликовано 24 мая, 2017 Share Опубликовано 24 мая, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Клочко 0 Опубликовано 25 мая, 2017 Автор Share Опубликовано 25 мая, 2017 Проверил комп утилитой, отчеты прилагаются. Farbar.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 474 Опубликовано 25 мая, 2017 Share Опубликовано 25 мая, 2017 Сообщение, оставленное вымогателем для связи, сохранилось? 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM\...\Policies\Explorer\Run: [20128] => C:\PROGRA~3\LOCALS~1\Temp\ccjtfskr.scr ShellIconOverlayIdentifiers: [OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} => C:\Program Files (x86)\Norton 360\Engine64\21.6.0.32\buShell.dll -> No File ShellIconOverlayIdentifiers: [OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} => C:\Program Files (x86)\Norton 360\Engine64\21.6.0.32\buShell.dll -> No File ShellIconOverlayIdentifiers: [OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} => C:\Program Files (x86)\Norton 360\Engine64\21.6.0.32\buShell.dll -> No File Toolbar: HKLM - Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton 360\Engine64\21.6.0.32\coIEPlg.dll No File Toolbar: HKLM-x32 - Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\coIEPlg.dll No File CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [mkfokfffehpeedafpekjeddnmnjhmcmk] - C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\Exts\Chrome.crx <not found> CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [mkfokfffehpeedafpekjeddnmnjhmcmk] - C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\Exts\Chrome.crx <not found> Task: {9C6E27AF-C30F-45D1-8087-0BB8851F4C4D} - \a3bmqqpgo -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Клочко 0 Опубликовано 26 мая, 2017 Автор Share Опубликовано 26 мая, 2017 Прошел программой Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 474 Опубликовано 26 мая, 2017 Share Опубликовано 26 мая, 2017 Сообщение вымогателей для связи с ними случайно не сохранилось? Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Клочко 0 Опубликовано 29 мая, 2017 Автор Share Опубликовано 29 мая, 2017 Сообщение вымогателей для связи с ними случайно не сохранилось? Нет. К сожалению. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 474 Опубликовано 29 мая, 2017 Share Опубликовано 29 мая, 2017 В таком случае гадать, что это за шифровальщик, тоже не имеет смысла/ Файлы карантина KRD прислать можете? Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Клочко 0 Опубликовано 30 мая, 2017 Автор Share Опубликовано 30 мая, 2017 В таком случае гадать, что это за шифровальщик, тоже не имеет смысла/ Файлы карантина KRD прислать можете? А как папка называется? Там bases_rd data_rd qb report... папки. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 474 Опубликовано 30 мая, 2017 Share Опубликовано 30 мая, 2017 https://support.kaspersky.ru/4375 Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Клочко 0 Опубликовано 2 июня, 2017 Автор Share Опубликовано 2 июня, 2017 https://support.kaspersky.ru/4375 Решил папку целиком скопировать. report.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 474 Опубликовано 2 июня, 2017 Share Опубликовано 2 июня, 2017 Похоже ничего полезного там нет Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Клочко 0 Опубликовано 5 июня, 2017 Автор Share Опубликовано 5 июня, 2017 Похоже ничего полезного там нет И что делать? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.