Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Добрый день, вирус попал на ноутбук и защифровал большое количество файлов, с помощью Autologger создал архив. подскажите,пожалуйста, дальнейшие действия

CollectionLog-2018.07.21-13.49.zip

Изменено пользователем cooperd
Опубликовано

Подскажите, пожалуйста мне сперва использовать Kaspersky Rescue Disk, он просто в исо формате, его нужно установить и сделать проверку,?а потом уже делать скрипт в avz и отчет в adwcleaner? 

Опубликовано

Да, сначало KRD, если незнаете как с ним работать, то пробуйте использовать KVRT.

После этого приложите новые логи автологгера, и не выполняйте предыдущие инструкции по AVZ.

P.S. я удалил скрипты AVZ, так как они будут не актуально после проверки утилитой KVRT.

  • Согласен 1
Опубликовано

KRD нужно записать как образ (а не как файл) на оптический диск, загрузиться с него и выполнить лечение от файлового вируса

  • Спасибо (+1) 1
  • Согласен 1
Опубликовано

KRD нужно записать как образ (а не как файл) на оптический диск, загрузиться с него и выполнить лечение от файлового вируса

Подскажите, пожалуйста, записал на диск, проверил весь ноутбук, нашло 1792 обьекта,  что мне выбрать, лечить или все в карантин? а только потом сделать отчет  автологгера? вирус подписан как virus32.win32.Neshta.a

Опубликовано

Все лечить, и только после успешного лечения собирать новые логи Autologger

  • Спасибо (+1) 1
  • Согласен 1
Опубликовано

HiJackThis (из каталога autologger)профиксить

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^AdwCleaner.lnk [backup] => C:\Program Files (x86)\AdwCleaner\Adwcleaner.exe (2018/03/01) (file missing)
O9 - Button: HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086} - (no name) - (no file)
O9 - Tools menu item: HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086} - Send by Bluetooth to - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 StopService('werlsfks');
 StopService('USER1-ПК');
 StopService('SRepairDrv');
 StopService('softaal');
 StopService('TSSKX64');
 StopService('tsnethlpx64');
 StopService('TsDefenseBt');
 StopService('QMUdisk');
 StopService('WindowsDefender');
 StopService('TrkWk');
 StopService('spoolsrvrs');
 StopService('HSystem');
 DeleteService('werlsfks');
 DeleteService('USER1-ПК');
 DeleteService('SRepairDrv');
 DeleteService('softaal');
 DeleteService('TSSKX64');
 DeleteService('tsnethlpx64');
 DeleteService('QMUdisk');
 DeleteService('TrkWk');
 DeleteService('HSystem');
 DeleteService('TsDefenseBt');
 DeleteService('spoolsrvrs');
 TerminateProcessByName('c:\programdata\microsoft\drm\smss.exe');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
 QuarantineFile('c:\programdata\microsoft\drm\smss.exe','');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\System\settings.exe','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.2.17058.221','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.2.17058.221\UninstallTips.exe','');
 QuarantineFile('C:\Users\aspnet\AppData\Local\Temp\OmagarableQuest.exe','');
 QuarantineFile('C:\ProgramData\BOT.exe','');
 QuarantineFile('C:\Users\aspnet\AppData\Local\Temp\MonoCecil\Fazathron.exe','');
 QuarantineFile('C:\Windows\system32\drivers\tsskx64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsDefenseBT64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\softaal64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys','');
 QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe','');
 QuarantineFile('C:\Users\User1\AppData\Roaming\Microsoft\Access\nssm.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','');
 QuarantineFile('C:\Program Files (x86)\Defsoft\MWc32L.exe','');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','32');
 DeleteFile('c:\programdata\microsoft\drm\smss.exe','32');
 DeleteFile('C:\Program Files (x86)\Defsoft\MWc32L.exe','64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','64');
 DeleteFile('C:\Windows\Font\taskhost.exe','64');
 DeleteFile('C:\Users\User1\AppData\Roaming\Microsoft\Access\nssm.exe','64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys','64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\softaal64.sys','64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsDefenseBT64.sys','64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys','64');
 DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','64');
 DeleteFile('C:\ProgramData\BOT.exe','64');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Root\BOT" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemSecurity\CheckUpdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{8115B481-327A-428F-BF63-FD847B2D8D3F}" /F', 0, 15000, true);
 DeleteFile('C:\Users\aspnet\AppData\Local\Temp\OmagarableQuest.exe','64');
 ExecuteFile('schtasks.exe', '/delete /TN "AzureSDKService" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.2.17058.221','64');
 DeleteFile('C:\Users\aspnet\AppData\Local\Temp\MonoCecil\Fazathron.exe','64');
 ExecuteFile('schtasks.exe', '/delete /TN "Adobe Reader" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\settings.exe','64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.


- Подготовьте лог AdwCleaner и приложите его в теме.
 

Опубликовано

Сообщение от модератора thyrex
Убрал простыню-цитату

 

Не получается следующее,не могу закинуть архив пишет 
Ошибка загрузки. Данный файл уже был загружен
в программе ClearLNK  не пойму где взять файл Лог

quarantine.zip

Опубликовано

@cooperd, пожалуйста, используйте форму быстрого ответа внизу, а не цитируйте полностью сообщение.

 

в программе ClearLNK  не пойму где взять файл Лог

Инструкция.

 

Подготовьте лог AdwCleaner и приложите его в теме

Это также ждем.
  • Спасибо (+1) 1
  • Согласен 1
Опубликовано

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Опубликовано

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • virus96rus
      Автор virus96rus
      # AdwCleaner v5.001 - Logfile created 18/08/2015 at 11:30:38
      # Updated 17/08/2015 by Xplode
      # Database : 2015-08-16.2 [server]
      # Operating system : Windows 7 Home Basic Service Pack 1 (x64)
      # Username : Дарья - ДАРЬЯ-HP
      # Running from : C:\Users\Дарья\Desktop\adwcleaner_5.001.exe
      # Option : Scan
       
      ***** [ Services ] *****
       
      Service Found : PanService
       
      ***** [ Folders ] *****
       
      Folder Found : C:\Program Files (x86)\Mail.Ru
      Folder Found : C:\Program Files (x86)\rightsurf
      Folder Found : C:\Program Files (x86)\PANDORA.TV
       
      ***** [ Files ] *****
       
      File Found : C:\Program Files (x86)\Mozilla Firefox\searchplugins\mailru.xml
       
      ***** [ Shortcuts ] *****
       
       
      ***** [ Scheduled tasks ] *****
       
      Task Found : Digital Sites
       
      ***** [ Registry ] *****
       
      Key Found : HKLM\SOFTWARE\Classes\AmiBs.Installer
      Key Found : HKLM\SOFTWARE\Classes\AmiBs.Installer.1
      Key Found : HKLM\SOFTWARE\Classes\Updater.AmiUpd
      Key Found : HKLM\SOFTWARE\Classes\Updater.AmiUpd.1
      Key Found : HKLM\SOFTWARE\Classes\ITVA
      Key Found : HKCU\Software\Classes\ITVA
      Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\browser.exe
      Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\cncgohepihcekklokhbhiblhfcmipbdh
      Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\gehngeifmelphpllncobkmimphfkckne
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9}
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{88BE1AA9-6740-461C-9E3E-F35EB8FA741C}
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{A6FEED89-3BCD-4D19-9DC2-3E613A80A2A4}
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80}
      Key Found : HKLM\SOFTWARE\Classes\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}
      Key Found : HKLM\SOFTWARE\Classes\Interface\{D54C859C-6066-4F31-8FE0-2AAEDCAE67D7}
      Key Found : HKLM\SOFTWARE\Classes\TypeLib\{1C1356DA-1E98-4810-A9F6-18D89BD1C0C0}
      Key Found : HKLM\SOFTWARE\Classes\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476}
      Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{88BE1AA9-6740-461C-9E3E-F35EB8FA741C}
      Key Found : [x64] HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}
      Key Found : [x64] HKLM\SOFTWARE\Classes\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}
      Key Found : [x64] HKLM\SOFTWARE\Classes\Interface\{D54C859C-6066-4F31-8FE0-2AAEDCAE67D7}
      Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
      Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{D43B3890-80C7-4010-A95D-1E77B5924DC3}
      Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
      Key Found : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
      Key Found : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{D43B3890-80C7-4010-A95D-1E77B5924DC3}
      Key Found : HKCU\Software\APN DTX
      Key Found : HKCU\Software\APN PIP
      Key Found : HKCU\Software\Conduit
      Key Found : HKCU\Software\dsiteproducts
      Key Found : HKCU\Software\IM
      Key Found : HKCU\Software\InstallCore
      Key Found : HKCU\Software\RightSurf
      Key Found : HKCU\Software\Softonic
      Key Found : HKCU\Software\systweak
      Key Found : HKCU\Software\zona
      Key Found : HKCU\Software\AppDataLow\Software\Conduit
      Key Found : HKLM\SOFTWARE\PIP
      Key Found : HKLM\SOFTWARE\RightSurf
      Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Codec Pack Packages
      Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Digital Sites
      Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96}
      Key Found : [x64] HKCU\Software\APN DTX
      Key Found : [x64] HKCU\Software\APN PIP
      Key Found : [x64] HKCU\Software\Conduit
      Key Found : [x64] HKCU\Software\dsiteproducts
      Key Found : [x64] HKCU\Software\IM
      Key Found : [x64] HKCU\Software\InstallCore
      Key Found : [x64] HKCU\Software\RightSurf
      Key Found : [x64] HKCU\Software\Softonic
      Key Found : [x64] HKCU\Software\systweak
      Key Found : [x64] HKCU\Software\zona
      Key Found : [x64] HKLM\SOFTWARE\DivX\Install\Setup\WizardLayout\ConduitToolbar
      Key Found : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RightSurf
      Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}
      Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}
      Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}
      Key Found : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}
       
      ***** [ Web browsers ] *****
       
       
      *************************
       
      C:\AdwCleaner[s1].txt - [4819 bytes] - [18/08/2015 11:30:40]
       
      ########## EOF - C:\AdwCleaner[s1].txt - [4881 bytes] ##########
    • g_valentin
      Автор g_valentin
      Добрый день! 
      Возникла такая проблема, каким то образом злоумышленник проник на сервер. И создал архивы всех папок находящихся в корне диска. И оставили файл с именем "ЧТО_НУЖНО_СДЕЛАТЬ.txt" 
      в файле текст: 
        Цитата: 
      Внимание! 
      Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самых криптостойких алгоритмов. Восстановить файлы можно только зная уникальный для Вашего пк пароль. Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода. Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии. Напишите нам письмо на адрес tormail624573@gmail.com (Вам ответят в течение 24 часов), чтобы узнать как получить пароль для возможности восстановления данных. Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер. Среднее время ответа специалиста 12-24 часа. К письму обязательно прикрепите уникальный для Вашего компьютера код (расположен внизу этого текстового файла). Письма с угрозами будут игнорироваться! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы! 



      ============================================================­======== 
      УНИКАЛЬНЫЙ КОД sdf7sdyf7ygLnQ2sdfh3kVs7q003PQEZvoSwd 
      ============================================================­======== Для примера прикрепляю созданный злоумышленником архив.
      Inetpub.rar
    • Наран
      Автор Наран
      Добрый день! Помогите пожалуйста мне в аналогичной ситуации, при клике на нужную мне ссылку осуществляет какое то перенаправление и открывается страница со всякими рекламами.Спасу нет от этой беды. антивирус Касперский(лицензия) но якобы комп чист.Заранее Вам Благодарен
    • Кристиан Бангеев
      Автор Кристиан Бангеев
      У меня такая же проблема. Лог выкладываю.
       

       
      Сообщение от модератора Mark D. Pearlstone Логи нужно выкладывать в теме, а не файловом архиве.
    • ogice
      Автор ogice
      Переименовались все файлы мп3, док, жпег и т.д.
       
      Логи делал с пользователя с правами администратора. Файлы переименованные у одного из пользователей. Но доступ к папке пользователя есть под админом, не должно ни как повлиять по-идее
       
      Спасибо
       
       
      CollectionLog-2015.07.16-14.00.zip
×
×
  • Создать...