Magnat18 0 Опубликовано 24 мая, 2017 Share Опубликовано 24 мая, 2017 Здравствйте! Помогите пожалуйста! Вирус зашифровал все важные файлы. Вирус пришел в письме с угрозой какого нарушения. Зранее благодар. report2.log CollectionLog-2017.05.24-19.55.zip report1.log README1.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 мая, 2017 Share Опубликовано 24 мая, 2017 Наверное того, кто запустил вирус прямо на сервере, нужно заставить восстанавливать все файлы вручную. Сразу скажу: расшифровки не будет. Выполните скрипт в AVZ begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe'); QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe',''); DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); BC_ImportAll; ExecuteSysClean; BC_Activate; end.Перезагрузку компьютера выполните вручную. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы. Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger Ссылка на сообщение Поделиться на другие сайты
Magnat18 0 Опубликовано 24 мая, 2017 Автор Share Опубликовано 24 мая, 2017 Наверное того, кто запустил вирус прямо на сервере, нужно заставить восстанавливать все файлы вручную. Сразу скажу: расшифровки не будет. Выполните скрипт в AVZ begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe'); QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe',''); DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); BC_ImportAll; ExecuteSysClean; BC_Activate; end.Перезагрузку компьютера выполните вручную. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы. Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger Не вижу где Прислать запрошенный карантин? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 мая, 2017 Share Опубликовано 24 мая, 2017 Опять не поправил шаблон... Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Ссылка на сообщение Поделиться на другие сайты
Magnat18 0 Опубликовано 24 мая, 2017 Автор Share Опубликовано 24 мая, 2017 KLAN-6294557546Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В следующих файлах обнаружен вредоносный код:csrss.exe - Trojan-Ransom.Win32.Shade.nezФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ Новые логи CollectionLog-2017.05.24-23.23.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 мая, 2017 Share Опубликовано 24 мая, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Magnat18 0 Опубликовано 24 мая, 2017 Автор Share Опубликовано 24 мая, 2017 Готово FRST.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 мая, 2017 Share Опубликовано 24 мая, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: 2017-05-24 19:29 - 2017-05-24 19:29 - 02986038 _____ C:\Documents and Settings\Администратор\Application Data\5C8136A15C8136A1.bmp 2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README9.txt 2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README8.txt 2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README7.txt 2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README6.txt 2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README5.txt 2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README4.txt 2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README3.txt 2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README2.txt 2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README10.txt 2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README1.txt 2017-05-24 15:17 - 2017-05-24 19:32 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32 2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README9.txt 2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README8.txt 2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README7.txt 2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README6.txt 2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README5.txt 2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README4.txt 2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README3.txt 2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README2.txt 2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README10.txt 2017-05-24 15:06 - 2017-05-24 22:28 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows 2014-07-01 16:25 - 2014-07-01 16:25 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR3.exe 2014-11-24 10:48 - 2014-11-24 10:48 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR4.exe 2014-12-08 17:43 - 2014-12-08 17:43 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR5.exe 2015-07-06 17:28 - 2015-07-06 17:29 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR6.exe 2015-11-27 17:51 - 2015-11-27 17:51 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR7.exe 2015-12-26 17:55 - 2015-12-26 17:56 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR8.exe 2016-11-02 10:14 - 2016-11-02 10:18 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR9.exe 2017-01-09 18:53 - 2017-01-09 18:53 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GURA.exe Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Перезагрузку компьютера выполните вручную. Ссылка на сообщение Поделиться на другие сайты
Magnat18 0 Опубликовано 25 мая, 2017 Автор Share Опубликовано 25 мая, 2017 Выполнено Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 25 мая, 2017 Share Опубликовано 25 мая, 2017 С расшифровкой помочь не сможем Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти