Hendehog 0 Опубликовано 11 октября, 2018 Share Опубликовано 11 октября, 2018 (изменено) Здравствуйте. У нас в локальной сети поселился шифровальщик. Шифрует с расширением .combo Прочистил все компы cureit и KVRT , но они не нашли Dharma или Crysis. Как и сказали в предыдущей темы буду создавать отдельную тему по каждому ПК. На данном компе был выявлен Троян был в системной памяти! Утилитой KVRT если не ошибаюсь. Комп пролечен. Прошу сказать,пролечен ли он полностью,и этот ли комп является распространителем заразы combo? Проблема в том,что не обнаружено ни одного компа на котором бы локально были зашифрованы файлы,только по сети зашифрованы. Спасибо К компу постоянно доступа нету,отрывать часто сотрудника тоже не получится,поэтому собрал сразу как можно больше логов.MD5 карантина: A205C66DEC06BB6FAC2E8CA1C5717497Размер файла: 92277400 байтСсылка на результаты анализа:Результаты анализа карантинаТема для обсуждения результатов анализа: Результаты анализа карантинаРезультаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение. Addition.txt AdwCleanerS00.txt FRST.txt CollectionLog-2018.10.11-10.02.zip Изменено 11 октября, 2018 пользователем regist Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 11 октября, 2018 Share Опубликовано 11 октября, 2018 Здравствуйте, AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Екатерина\AppData\Local\nvfontcache\nvfontcache.exe',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\Microsoft\msi.exe',''); QuarantineFile('C:\Users\Екатерина\AppData\Local\FileSystemDriver\FileSystemDriver.exe',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\curl\curl.exe',''); DeleteSchedulerTask('curls'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\curl\curl.exe','32'); DeleteFile('C:\Users\Екатерина\AppData\Local\FileSystemDriver\FileSystemDriver.exe','32'); DeleteSchedulerTask('FileSystemDriver'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\Microsoft\msi.exe','32'); DeleteSchedulerTask('MSI'); DeleteSchedulerTask('nvfontcache'); DeleteFile('C:\Users\Екатерина\AppData\Local\nvfontcache\nvfontcache.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ загрузите этот архив через данную форму Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 11 октября, 2018 Автор Share Опубликовано 11 октября, 2018 Вообщем загрузил карантин первый раз,страница зависла,второй раз не получается Результат загрузки Ошибка загрузки. Данный файл уже был загружен md5 файла 9B0DC710A97E60CCD66E0209A14153BC AdwCleanerC01.txt AdwCleanerS01.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 11 октября, 2018 Share Опубликовано 11 октября, 2018 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти