1976vas Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Можно мне по теме сказать, чтобы новую ветку не заводить? Вирус такой поймали по почте, расширение gz. Вирус определился как Trojan-Ransom.Win32.Purgen.fw. Логи прилагаю. Сообщение от модератора thyrex Вынесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=56409 CollectionLog-2017.07.14-11.18.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\programdata\microsoft\macromed\flash player\c7a77d2c-36e3-4f00-b579-2a30e248c01f', '*', true, '', 0 ,0); QuarantineFileF('c:\users\user\appdata\local\microsoft\extensions', '*', true, '', 0 ,0); QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\C7A77D2C-36E3-4F00-B579-2A30E248C01F\FFD09021-1D3A-4D87-8235-5D5CFBC901D8.exe', ''); QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe', ''); QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\AC7A77D2C-36E3-4F00-B579-2A30E248C01F" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\C7A77D2C-36E3-4F00-B579-2A30E248C01F" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\extsetup" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SafeBrowser" /F', 0, 15000, true); DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\C7A77D2C-36E3-4F00-B579-2A30E248C01F\FFD09021-1D3A-4D87-8235-5D5CFBC901D8.exe', '32'); DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe', '32'); DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '32'); DeleteFileMask('c:\users\user\appdata\local\microsoft\extensions', '*', true); DeleteFileMask('c:\programdata\krb updater utility', '*', true); DeleteDirectory('c:\programdata\krb updater utility'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','C7A77D2C-36E3-4F00-B579-2A30E248C01F'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Ссылка на комментарий Поделиться на другие сайты More sharing options...
1976vas Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 KLAN-6525193573 Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:extsetup.logleФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. CollectionLog-2017.07.14-14.29.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
1976vas Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 Сделано. AdwCleanerS0.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
1976vas Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 Сделано. Addition.txt FRST.txt Shortcut.txt AdwCleanerC0.txt AdwCleanerS1.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: 2017-07-13 16:21 - 2017-07-13 16:21 - 00004385 _____ C:\Program Files\how_to_back_files.html 2017-07-13 16:06 - 2017-07-13 16:06 - 00004385 _____ C:\Users\Public\how_to_back_files.html 2017-07-13 16:06 - 2017-07-13 16:06 - 00004385 _____ C:\Users\Public\Downloads\how_to_back_files.html 2017-07-13 16:06 - 2017-07-13 16:06 - 00004385 _____ C:\Users\Public\Documents\how_to_back_files.html 2017-07-13 16:06 - 2017-07-13 16:06 - 00004385 _____ C:\Users\Public\Desktop\how_to_back_files.html 2017-07-13 16:06 - 2017-07-13 16:06 - 00004385 _____ C:\Users\Default\how_to_back_files.html 2017-07-13 16:06 - 2017-07-13 16:06 - 00004385 _____ C:\Users\Default\Desktop\how_to_back_files.html 2017-07-13 16:06 - 2017-07-13 16:06 - 00004385 _____ C:\Users\Default User\Desktop\how_to_back_files.html 2017-07-13 16:06 - 2017-07-13 16:06 - 00004385 _____ C:\Program Files (x86)\how_to_back_files.html 2017-07-13 15:53 - 2017-07-13 15:53 - 00004385 _____ C:\Users\User\AppData\Local\how_to_back_files.html 2017-07-13 15:51 - 2017-07-13 15:51 - 00004385 _____ C:\Users\User\AppData\Roaming\how_to_back_files.html 2017-07-13 15:51 - 2017-07-13 15:51 - 00004385 _____ C:\Users\User\AppData\how_to_back_files.html 2017-07-13 15:49 - 2017-07-13 15:49 - 00004385 _____ C:\Users\User\Desktop\how_to_back_files.html 2017-07-13 15:47 - 2017-07-13 15:47 - 00004385 _____ C:\Users\User\Documents\how_to_back_files.html 2017-07-13 15:44 - 2017-07-13 15:44 - 00004385 _____ C:\Users\User\Downloads\how_to_back_files.html 2017-07-13 15:43 - 2017-07-13 15:43 - 00004385 _____ C:\Users\User\how_to_back_files.html 2017-07-13 15:41 - 2017-07-13 15:41 - 00004385 _____ C:\Users\Инженер\AppData\Local\how_to_back_files.html 2017-07-13 15:41 - 2017-07-13 15:41 - 00004385 _____ C:\Users\Гость\how_to_back_files.html 2017-07-13 15:41 - 2017-07-13 15:41 - 00004385 _____ C:\Users\Гость\Downloads\how_to_back_files.html 2017-07-13 15:41 - 2017-07-13 15:41 - 00004385 _____ C:\Users\Гость\Documents\how_to_back_files.html 2017-07-13 15:41 - 2017-07-13 15:41 - 00004385 _____ C:\Users\Гость\Desktop\how_to_back_files.html 2017-07-13 15:41 - 2017-07-13 15:41 - 00004385 _____ C:\Users\Гость\AppData\Local\how_to_back_files.html 2017-07-13 15:41 - 2017-07-13 15:41 - 00004385 _____ C:\Users\Все пользователи\how_to_back_files.html 2017-07-13 15:41 - 2017-07-13 15:41 - 00004385 _____ C:\ProgramData\how_to_back_files.html 2017-07-13 15:40 - 2017-07-13 15:40 - 00004385 _____ C:\Users\Инженер\how_to_back_files.html 2017-07-13 15:40 - 2017-07-13 15:40 - 00004385 _____ C:\Users\Инженер\Downloads\how_to_back_files.html 2017-07-13 15:40 - 2017-07-13 15:40 - 00004385 _____ C:\Users\Инженер\Documents\how_to_back_files.html 2017-07-13 15:40 - 2017-07-13 15:40 - 00004385 _____ C:\Users\Инженер\Desktop\how_to_back_files.html 2017-07-13 15:40 - 2017-07-13 15:40 - 00004385 _____ C:\Users\how_to_back_files.html Folder: C:\FkClnt1 AlternateDataStreams: C:\Windows\explorer.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\adsmsext.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\audiodg.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\AudioEng.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\AUDIOKSE.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\AudioSes.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\audiosrv.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\blackbox.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\chajei.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\cintlgnt.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\cryptsp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\cryptui.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\davclnt.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\diagtrack.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\drmmgrtn.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\drmv2clt.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\dxmasf.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\EncDump.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\evr.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\IMJP10.IME:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\IMJP10K.DLL:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\imkr80.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\input.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\mf.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\mferror.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\mfplat.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\mfpmp.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\mfps.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\msctf.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\msdxm.ocx:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\msnetobj.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\msscp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\MSVidCtl.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\pcadm.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcaevts.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcalua.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcasvc.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcawrk.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\phon.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pintlgnt.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\poqexec.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\qdvd.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\qintlgnt.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\quick.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\rrinstaller.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\scavengeui.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\spwmp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\tintlgnt.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\UIAnimation.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\UtcResources.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\WebClnt.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\wmdrmsdk.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\wmp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\wmploc.DLL:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\WSManHTTPConfig.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\WSManMigrationPlugin.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\WsmAuto.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\wsmplpxy.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\wsmprovhost.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\WsmRes.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\WsmSvc.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\WsmWmiPl.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\adsmsext.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\AudioEng.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\AUDIOKSE.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\AudioSes.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\blackbox.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\chajei.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\cintlgnt.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\cryptsp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\cryptui.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\davclnt.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\drmmgrtn.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\drmv2clt.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\dxmasf.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\evr.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\explorer.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\IMJP10.IME:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\IMJP10K.DLL:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\imkr80.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\input.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\mf.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\mferror.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\mfplat.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\mfpmp.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\mfps.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\msctf.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\msdxm.ocx:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\msnetobj.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\msscp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\MSVidCtl.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\olepro32.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\phon.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\pintlgnt.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\poqexec.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\qdvd.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\qintlgnt.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\quick.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\rrinstaller.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\spwmp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\tintlgnt.ime:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\UIAnimation.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\WebClnt.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\wmdrmsdk.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\wmp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\wmploc.DLL:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\WSManHTTPConfig.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\WSManMigrationPlugin.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\WsmAuto.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\wsmplpxy.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\wsmprovhost.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\WsmRes.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\WsmSvc.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\WsmWmiPl.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\Drivers\bowser.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\dfsc.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\mrxdav.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\PEAuth.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\tcpipreg.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\usbccgp.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\usbd.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\usbehci.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\usbhub.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\usbohci.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\usbport.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\usbuhci.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\VBoxDrv.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\VBoxNetAdp.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\VBoxUSBMon.sys:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\06_Конструктор_форм.doc.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\13-10-2016_13-17-22 (1).zip.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\13-10-2016_13-17-22.zip.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\AA_v3 (1).exe.l0rrb6y.partial:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\AA_v3 (2).exe.mh6h3yq.partial:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\AA_v3 (3).exe.nhg0xh4.partial:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\AA_v3.exe.cx1xcoq.partial:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\albom_tff_otchetnosti_grbs_4_11.doc.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\Chris_Rea_-_Saksofon_i_gitara_(ringon.ru).mp3.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\clear-spool.cmd.au1crypt:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\clear-spool.cmd.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\dotNetFx40_Full_setup (1).exe.au1crypt:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\dotNetFx40_Full_setup (1).exe.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\dotNetFx40_Full_setup.exe.au1crypt:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\dotNetFx40_Full_setup.exe.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\DriverMagician.exe.au1crypt:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\DriverMagician.exe.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\EOD_GRBC_KU.zip.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\IE10-Windows6.1-x64-ru-ru.exe.au1crypt:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\IE10-Windows6.1-x64-ru-ru.exe.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\IE9-WindowsVista-x64-rus.exe.au1crypt:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\IE9-WindowsVista-x64-rus.exe.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\install_svod_smart (1).zip.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\install_svod_smart.zip.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\instrukciya_po_ohrane_truda_na_kopirovalno-mnozhitelnoy_tehnike1.doc.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\manual_svod_smart(web).doc.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\manual_svod_smart.zip.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\NDP40-KB2600211-x86-x64.exe.au1crypt:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\NDP40-KB2600211-x86-x64.exe.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\PfmyVBXRJE.doc.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\Prikaz_86n.doc.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\red_alert_3-ussr.mp3.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\revosetup.exe.au1crypt:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\revosetup.exe.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\Svedeniya_o_dohodah_ob_imushchestve_i_obyazatelstvah_imushchestvennogo_haraktera_za_2015_god_direktorov.doc.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\Svod_smart.zip.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\vcr35r.iso.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\victoria.zip.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\VirtualBox-4.1.4-74291-Win.exe.au1crypt:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\VirtualBox-4.1.4-74291-Win.exe.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\XnView-win-full.exe.au1crypt:$CmdTcID [64] AlternateDataStreams: C:\Users\User\Downloads\XnView-win-full.exe.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\zasedanie_postoyanno_deystvuyushchey_komissii_ot_27.01.2016.docx.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\Рисунок (22).jpg.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\Рисунок (38).jpg.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Downloads\руководителям-срочно.odt.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Documents\nak_1_14_dlya_sayta.pdf.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Documents\nak_2_13_int_nov.pdf.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Documents\Vestnik NAC2_11_2014.pdf.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Documents\Vestnik NAK 2012 6.pdf.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Documents\Vestnik NAK 2012 7.pdf.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Documents\Vestnik_ NAK_ 2011_ 2.pdf.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Documents\vestnik_nak_112_-_2015.pdf.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Documents\vestnik_NAK_2010_1.pdf.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Documents\Vestnik_NAK_2010_2.pdf.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Documents\Vestnik_NAK_2011_3.pdf.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Documents\vestnik_nak_2013_8.pdf.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Documents\vestnik_nak_2013_9_0.pdf.au1crypt:$CmdZnID [26] AlternateDataStreams: C:\Users\User\Documents\vestnik_nak_2014_1_10.pdf.au1crypt:$CmdZnID [26] Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
1976vas Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 Сделано. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Вымогатель GlobeImposter 2.0, расшифровки пока нет. В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
1976vas Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 (( SecurityCheck.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 ------------------------------- [ Windows ] ------------------------------- Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Учетная запись гостя включена. Пароль не установлен. ------------------------------- [ HotFix ] -------------------------------- HotFix KB3192391 Внимание! Скачать обновления HotFix KB3197867 Внимание! Скачать обновления HotFix KB3205394 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4019263 Внимание! Скачать обновления HotFix KB4022722 Внимание! Скачать обновления --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows -------------------------------- [ Java ] --------------------------------- Java 6 Update 17 v.6.0.170 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe). ---------------------------- [ UnwantedApps ] ----------------------------- Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. Appset Updater 1.1.166.0 v.1.1.166.0 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Элементы Яндекса 8.9 для Internet Explorer v.8.9.1.5099 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Прочтите и выполните Рекомендации после удаления вредоносного ПО Ссылка на комментарий Поделиться на другие сайты More sharing options...
1976vas Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 Спасибо. Теперь только ждать дешифровки? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Да, предварительно исправив вышеуказанное. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти