zaragoza Опубликовано 19 ноября, 2017 Share Опубликовано 19 ноября, 2017 Здравствуйте, после открытия письма на почте, поймали шифровальщика. Новая папка.rar CollectionLog-2017.11.19-16.31.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 19 ноября, 2017 Share Опубликовано 19 ноября, 2017 Это GlobeImposter2 и расшифровки нет. Только зачистка следов мусора. Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; ExecuteFile('schtasks.exe', '/delete /TN "At1.job" /F', 0, 15000, true); DeleteService('xiilo'); DeleteService('wyjyto'); DeleteService('uzxiu'); DeleteService('usylithmy'); DeleteService('srgmutsnf'); DeleteService('qvgccusd'); DeleteService('pruzkwsk'); DeleteService('nmnftv'); DeleteService('mualyrr'); DeleteService('lqinim'); DeleteService('ioyjwqh'); DeleteService('ikeqplcpb'); DeleteService('gbrwwtr'); DeleteService('ehjubjpfz'); DeleteService('bsipomvi'); DeleteService('agffkg'); DeleteFile('C:\WINDOWS\system32\01.tmp','32'); DeleteFile('C:\WINDOWS\system32\05.tmp','32'); DeleteFile('C:\WINDOWS\system32\03.tmp','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку с пункта IAT/EAT. Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти