masterovoi 0 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 Вчера после получения почты перестал работать почтовый ящик MTS пока выясняли проблему рабочие время закончилось с утра файлы зашифрованы " Bomber" Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 Добрый день. Нужны логи https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Цитата Ссылка на сообщение Поделиться на другие сайты
masterovoi 0 Опубликовано 19 июня, 2018 Автор Share Опубликовано 19 июня, 2018 Прикладываю Ящик все таки заблокировали была рассылка 700 писем . Из стандартного Отлука Прогнали KVRT обнаружил 15 вирусов frst.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 Сборщик логов не смог запуститься? Цитата Ссылка на сообщение Поделиться на другие сайты
masterovoi 0 Опубликовано 19 июня, 2018 Автор Share Опубликовано 19 июня, 2018 Файл с логами Все запустилось CollectionLog-2018.06.19-18.30.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\System32\config\systemprofile\AppData\Roaming\osk.exe',''); DeleteFile('C:\Windows\System32\config\systemprofile\AppData\Roaming\osk.exe','32'); DeleteFile('C:\Windows\System32\config\systemprofile\AppData\Roaming\osk.exe','64'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','OYTfqa'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','OYTfqa'); BC_Activate; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_ImportALL; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - HKU\.DEFAULT\..\RunOnce: [OYTfqa] = C:\Windows\System32\config\systemprofile\AppData\Roaming\osk.exe (file missing) R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.hao123.com/?tn=95972258_hao_pg Подготовьте свежий лог FRST, посмотрим, что осталось доудалить. Цитата Ссылка на сообщение Поделиться на другие сайты
masterovoi 0 Опубликовано 19 июня, 2018 Автор Share Опубликовано 19 июня, 2018 [KLAN-8253253293] Thank you for contacting Kaspersky LabThe files have been scanned in automatic mode.Malicious code has been detected in the following files:osk.exe - Trojan.Win32.Yakes.wpokWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.This is an automatically generated message. Please do not reply to it.Anti-Virus Lab, Kaspersky Lab HQ"39A/3 Leningradskoe Shosse, Moscow, 125212, RussiaTel./Fax: + 7 (495) 797 8700 Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 https://www.kaspersky.ru/blog/yikes-phishing-campaign/10642/- для ознакомления Подготовьте свежий лог FRST, посмотрим, что осталось доудалить. Ждем Цитата Ссылка на сообщение Поделиться на другие сайты
masterovoi 0 Опубликовано 19 июня, 2018 Автор Share Опубликовано 19 июня, 2018 Свежий FRST.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 (изменено) Пользовательские политики сами настраивали? Порты сами открывали? Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: VirusTotal: C:\Users\admin\AppData\Local\Temp\017555~1.EXE;C:\pcn6\IAsuJkh.exe;C:\pcn6\IClient.exe HKU\S-1-5-21-4118632620-1047723075-1302474939-1000\...\MountPoints2: {3d5be3d9-0ac6-11e7-b9e7-fcaa1407c752} - E:\AutoRun.exe HKU\S-1-5-21-4118632620-1047723075-1302474939-1000\...\MountPoints2: {3d5be40f-0ac6-11e7-b9e7-fcaa1407c752} - E:\AutoRun.exe HKU\S-1-5-21-4118632620-1047723075-1302474939-1000\...\MountPoints2: {3d5be41f-0ac6-11e7-b9e7-fcaa1407c752} - E:\AutoRun.exe HKU\S-1-5-21-4118632620-1047723075-1302474939-1000\...\MountPoints2: {70600312-0add-11e7-9d1d-fcaa1407c752} - E:\AutoRun.exe HKU\S-1-5-21-4118632620-1047723075-1302474939-1000\...\MountPoints2: {7060033a-0add-11e7-9d1d-fcaa1407c752} - E:\AutoRun.exe HKU\S-1-5-21-4118632620-1047723075-1302474939-1000\...\MountPoints2: {ba9d0538-8d0b-11e6-a668-fcaa1407c752} - D:\LEDEME.exe S2 PiowP; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 PiowP; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 SoAtilaf; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 SoAtilaf; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S3 0175551473862306mcinstcleanup; C:\Users\admin\AppData\Local\Temp\017555~1.EXE -cleanup -nolog [X] <==== ATTENTION 2018-06-19 09:20 - 2018-06-19 09:20 - 000002446 _____ C:\Users\admin\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT 2018-06-19 09:19 - 2018-06-19 09:19 - 000002446 _____ C:\Users\admin\Documents\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT 2018-06-19 09:16 - 2018-06-19 09:16 - 000002446 _____ C:\Users\admin\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT 2018-06-19 09:16 - 2018-06-19 09:16 - 000002446 _____ C:\Users\admin\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Изменено 19 июня, 2018 пользователем akoK темпы не чистим Цитата Ссылка на сообщение Поделиться на другие сайты
masterovoi 0 Опубликовано 19 июня, 2018 Автор Share Опубликовано 19 июня, 2018 Прикрепил Раньше на компе стояла программа слежения от компании РИТМ и судя по файлу pcn6 это от пультовой программы . Что делать дальше ? Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 Раньше на компе стояла программа слежения от компании РИТМ и судя по файлу pcn6 это от пультовой программы Файлы проверялись на wirustotal, я их не удалял. Хотя судя по логу их (файлов) не существует, проверьте, пожалуйста, если их нет, до деинсталируем Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
masterovoi 0 Опубликовано 19 июня, 2018 Автор Share Опубликовано 19 июня, 2018 Угроз полно А очистку производить этой программой ? AdwCleanerS00.txt Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 (изменено) Угроз полно Это рекламное ПО - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите. Уберу и мусор Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: MSCONFIG\startupreg: QQPCTray => "C:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\QQPCTray.exe" /regrun MSCONFIG\startupreg: apphide => C:\Program Files (x86)\badu\uc.exe MSCONFIG\startupreg: pcmgr => C:\Program Files (x86)\badu\Uninst.exe MSCONFIG\startupreg: svchost0 => C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Скачайте Malwarebytes' Anti-Malware. Установите. На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию". На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки. Самостоятельно ничего не удаляйте!!! Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве. по поводу зашифрованных файлов https://safezone.cc/threads/vosstanovlenie-dannyx-iz-tenevyx-kopij.28533/(смотрите второй пост) Изменено 19 июня, 2018 пользователем akoK Цитата Ссылка на сообщение Поделиться на другие сайты
masterovoi 0 Опубликовано 19 июня, 2018 Автор Share Опубликовано 19 июня, 2018 Файл после очистки идем дальше. скрипт выполнил Просканировал Да а по поводу зашифрованных данных кнопка на файлах есть предыдущая версия а когда кликаешь пишет что версий не обнаруженно AdwCleanerC01.txt Fixlog.txt skan.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.