RamilKo 0 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 Откуда взялся затрудняюсь сказать CollectionLog-2018.06.19-16.59.zip КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 ROM Server - ваше? - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\hpfeliki\mjajlclk.kbg', ''); QuarantineFile('C:\Users\Sa\AppData\Roaming\payload.exe', ''); QuarantineFile('C:\Users\vasilkova\AppData\Roaming\ANSII32\genid.exe', ''); QuarantineFile('C:\Users\vasilkova\AppData\Roaming\hqxomzv.dll', ''); QuarantineFile('C:\Users\vasilkova\AppData\Roaming\mcrserver.exe', ''); QuarantineFile('C:\Users\vasilkova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk', ''); QuarantineFile('C:\Users\vasilkova\AppData\Roaming\MSN32\genid.exe', ''); QuarantineFile('C:\Users\vasilkova\AppData\Roaming\SysplanNT\msimg32.dll', ''); QuarantineFile('C:\Windows\kmsem\kmservice.exe', ''); QuarantineFileF('C:\Users\vasilkova\AppData\Roaming\SysplanNT\', '*', true, '', 0, 0); DeleteFile('C:\Users\Sa\AppData\Roaming\payload.exe', '32'); DeleteFile('C:\Users\Sa\AppData\Roaming\payload.exe', '64'); DeleteFile('C:\Users\vasilkova\AppData\Roaming\hqxomzv.dll', '64'); DeleteFile('C:\Users\vasilkova\AppData\Roaming\mcrserver.exe', '32'); DeleteFile('C:\Users\vasilkova\AppData\Roaming\mcrserver.exe', '64'); DeleteFile('C:\Users\vasilkova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk'); DeleteFile('C:\Users\vasilkova\AppData\Roaming\SysplanNT\msimg32.dll', '32'); DeleteFile('C:\Users\vasilkova\AppData\Roaming\SysplanNT\msimg32.dll', '64'); DeleteFileMask('C:\Users\vasilkova\AppData\Roaming\SysplanNT\', '*', true); DeleteDirectory('C:\Users\vasilkova\AppData\Roaming\SysplanNT\'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2850089378-1942583201-4186908868-1324\Software\Microsoft\Windows\CurrentVersion\Run', 'Eokeudzacl'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2850089378-1942583201-4186908868-1324\Software\Microsoft\Windows\CurrentVersion\Run', 'System Bust'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2850089378-1942583201-4186908868-1324\Software\Microsoft\Windows\CurrentVersion\Run', 'update_w32.exe'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2850089378-1942583201-4186908868-1324\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Security Server'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Ссылка на сообщение Поделиться на другие сайты
RamilKo 0 Опубликовано 19 июня, 2018 Автор Share Опубликовано 19 июня, 2018 (изменено) KLAN-8253507389 Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В следующих файлах обнаружен вредоносный код: mjajlclk.kbg - Trojan-Banker.Win32.RTM.vi hqxomzv.dll - Trojan.Win32.Banpak.iu mcrserver.exe - HEUR:Trojan-Spy.Win32.Generic genid_0.exe - Backdoor.NSIS.RMS.b msimg32.dll - Trojan.Win32.Zapchast.ajvz В антивирусных базах информация по присланным вами файлам отсутствует: genid.exe Windows Update Manager.lnk В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству: kmservice.exe - not-a-virus:RiskTool.Win32.HackKMS.c Перечисленные файлы имеют безопасный формат и не могут быть вредоносными: image001.png Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ "Ленинградское шоссе 39A/3, Москва, 125212, Russia Телефон/Факс: + 7 (495) 797 8700 http://www.kaspersky.com https://www.securelist.com" -------------------------------------------------------------------------------- Sent: 6/19/2018 6:13:00 PM To: newvirus@kaspersky.com Subject: Файл quarantine.zip из папки AVZ Файл quarantine.zip из папки AVZ [Описание: Описание: Описание: Описание: Описание: Описание: cid:image001.png@01CFD27B.272E7480] https://virusinfo.info/virusdetector/report.php?md5=F03B0FC071EBE175F99CB8C6F976DC31 Изменено 19 июня, 2018 пользователем regist убрал адрес почты, пока спамерам не попался Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 ROM Server - ваше? не ответили. Ссылка на сообщение Поделиться на другие сайты
RamilKo 0 Опубликовано 20 июня, 2018 Автор Share Опубликовано 20 июня, 2018 Наше Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.Ждем. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти