mosk18420 Опубликовано 27 декабря, 2017 Share Опубликовано 27 декабря, 2017 (изменено) Здравствуйте!В письме от знакомого был прикреплен файл, его открыли и офисные файлы зашифровались. Сканирование KVRT нашел и удалил Trojan.Win32.Agent.nevnwg, Trojan.Win32.Agent.nezeod, Trojan Win32.Miner.swwy, UDS.DangerousObject.Multi.Generic, но файлы остались закодированы.Помогите! Дополнительно просканировал Farbar Recovery Scan Tool CollectionLog-2017.12.27-08.52.zip FRST64.zip Изменено 27 декабря, 2017 пользователем mosk18420 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 декабря, 2017 Share Опубликовано 27 декабря, 2017 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: DriverPack Notifier Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE'); QuarantineFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE', ''); QuarantineFile('C:\PROGRA~3\SysWOW64\lpbTgK.cmd', ''); DeleteFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE', '32'); DeleteFile('C:\PROGRA~3\SysWOW64\lpbTgK.cmd', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mosk18420 Опубликовано 27 декабря, 2017 Автор Share Опубликовано 27 декабря, 2017 Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:lpbTgK.cmdФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. CollectionLog-2017.12.27-13.55.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 декабря, 2017 Share Опубликовано 27 декабря, 2017 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mosk18420 Опубликовано 27 декабря, 2017 Автор Share Опубликовано 27 декабря, 2017 сделал Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 декабря, 2017 Share Опубликовано 27 декабря, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: 2017-12-27 07:00 - 2017-12-27 07:43 - 000000000 __SHD C:\ProgramData\Csrss 2017-12-26 19:01 - 2017-12-26 19:01 - 006220854 _____ C:\Users\Бухгалтерия\AppData\Roaming\663091B5663091B5.bmp 2017-12-26 19:01 - 2017-12-26 19:01 - 000004154 _____ C:\Users\Бухгалтерия\Desktop\README9.txt 2017-12-26 19:01 - 2017-12-26 19:01 - 000004154 _____ C:\Users\Бухгалтерия\Desktop\README8.txt 2017-12-26 19:01 - 2017-12-26 19:01 - 000004154 _____ C:\Users\Бухгалтерия\Desktop\README7.txt 2017-12-26 19:01 - 2017-12-26 19:01 - 000004154 _____ C:\Users\Бухгалтерия\Desktop\README6.txt 2017-12-26 19:01 - 2017-12-26 19:01 - 000004154 _____ C:\Users\Бухгалтерия\Desktop\README5.txt 2017-12-26 19:01 - 2017-12-26 19:01 - 000004154 _____ C:\Users\Бухгалтерия\Desktop\README4.txt 2017-12-26 19:01 - 2017-12-26 19:01 - 000004154 _____ C:\Users\Бухгалтерия\Desktop\README3.txt 2017-12-26 19:01 - 2017-12-26 19:01 - 000004154 _____ C:\Users\Бухгалтерия\Desktop\README2.txt 2017-12-26 19:01 - 2017-12-26 19:01 - 000004154 _____ C:\Users\Бухгалтерия\Desktop\README10.txt 2017-12-26 19:01 - 2017-12-26 19:01 - 000004154 _____ C:\Users\Бухгалтерия\Desktop\README1.txt 2017-12-26 16:44 - 2017-12-27 07:51 - 000000000 __SHD C:\ProgramData\Windows Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mosk18420 Опубликовано 27 декабря, 2017 Автор Share Опубликовано 27 декабря, 2017 сделал Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 декабря, 2017 Share Опубликовано 27 декабря, 2017 Это была только очистка следов. Увы, расшифровки для этого типа вымогателя нет. Проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mosk18420 Опубликовано 27 декабря, 2017 Автор Share Опубликовано 27 декабря, 2017 я разочарован Ссылка на комментарий Поделиться на другие сайты More sharing options...
mosk18420 Опубликовано 28 декабря, 2017 Автор Share Опубликовано 28 декабря, 2017 у меня сохранился файл, который пришел по почте и зашифровал все. Вам его переслать? Он может помочь в решении проблемы? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 28 декабря, 2017 Share Опубликовано 28 декабря, 2017 Нет, не нужно, тип вымогателя известен - Shade. Инструментов для его расшифровки нет. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти