Hendehog 0 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 Здравствуйте. У нас в локальной сети поселился шифровальщик. Шифрует с расширением .combo Прочистил все компы cureit и KVRT , но они не нашли Dharma или Crysis. Как и сказали в предыдущей темы буду создавать отдельную тему по каждому ПК. На этом компе были выявлены разные вирусы. Комп пролечен. Прошу сказать,пролечен ли он полностью,и этот ли комп является распространителем заразы combo? Проблема в том,что не обнаружено ни одного компа на котором бы локально были зашифрованы файлы,только по сети зашифрованы. Спасибо CollectionLog-2018.10.10-10.05.zip Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 Здравствуйте,Сообщите, пожалуйста знаком ли Вам следующий файл? c:\windows\stkhpmon.exe HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) - Подготовьте лог AdwCleaner и приложите его в теме. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 10 октября, 2018 Автор Share Опубликовано 10 октября, 2018 c:\windows\stkhpmon.exe - неизвестный мне файл. AdwCleanerS00.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('c:\windows\stkhpmon.exe', ''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 10 октября, 2018 Автор Share Опубликовано 10 октября, 2018 Файл сохранён как 181010_055545_quarantine_5bbd946156610.zip Размер файла 596 MD5 061e2c909e2da524fd5367a263c0461a AdwCleanerC01.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 11 октября, 2018 Автор Share Опубликовано 11 октября, 2018 Прикрепил Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 11 октября, 2018 Share Опубликовано 11 октября, 2018 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: File: C:\Windows\stkhpmon.exe Zip: C:\Windows\stkhpmon.exe;C:\Users\Admin\AppData\Local\Temp\KB15B41A654D511BFE.exe File: C:\Windows\system32\AmbRunE.dll Toolbar: HKU\S-1-5-21-1459129975-4059760831-3796336173-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-1459129975-4059760831-3796336173-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin: @microsoft.com/GENUINE -> disabled [No File] CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx File: C:\Users\Admin\AppData\Local\Temp\utt82B.tmp.exe C:\Users\Admin\AppData\Local\Temp\utt82B.tmp.exe File: C:\Users\Admin\AppData\Local\Temp\KB15B41A654D511BFE.exe C:\Users\Admin\AppData\Local\Temp\KB15B41A654D511BFE.exe Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 11 октября, 2018 Автор Share Опубликовано 11 октября, 2018 Результат загрузки Файл сохранён как 181011_043653_11.10.2018_11.22.40_5bbed365071c6.zip Размер файла 1815221 MD5 7098b6bc03f9b2f61e6a5f545228cfa8 Файл закачан, спасибо! Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 11 октября, 2018 Share Опубликовано 11 октября, 2018 Отправил карантин в Вир. лаб ожидайте результат. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 11 октября, 2018 Автор Share Опубликовано 11 октября, 2018 Спасибо,буду ждать Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 11 октября, 2018 Share Опубликовано 11 октября, 2018 Получил ответ: В присланных Вами файлах не найдено ничего вредоносного. Сообщите, что с проблемой? Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 11 октября, 2018 Автор Share Опубликовано 11 октября, 2018 С компьютером все в порядке. Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 11 октября, 2018 Share Опубликовано 11 октября, 2018 В завершение:1. Пожалуйста, запустите adwcleaner.exe В меню Настройки - Удалить AdwCleaner - выберите Удалить. Подтвердите удаление, нажав кнопку: Да. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.Компьютер перезагрузится.Остальные утилиты лечения и папки можно просто удалить.2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 11 октября, 2018 Автор Share Опубликовано 11 октября, 2018 Приложил SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти