Demanoid100 0 Опубликовано 8 ноября, 2018 Share Опубликовано 8 ноября, 2018 (изменено) помогите с шифровальщиком вымогателям Matrox.Setup64.exe.id-FA461AC8.[payransom@qq.com].AUDIT Изменено 8 ноября, 2018 пользователем Demanoid100 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 8 ноября, 2018 Share Опубликовано 8 ноября, 2018 Здравствуйте! Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
Demanoid100 0 Опубликовано 8 ноября, 2018 Автор Share Опубликовано 8 ноября, 2018 (изменено) вот файл @Sandor, CollectionLog-2018.11.08-16.10.zip Изменено 8 ноября, 2018 пользователем Demanoid100 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 8 ноября, 2018 Share Опубликовано 8 ноября, 2018 Архив неполный. Для выяснения причин: Выполните скрипт в AVZ из папки ...Autologger\AVZ\ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Ссылка на сообщение Поделиться на другие сайты
Demanoid100 0 Опубликовано 9 ноября, 2018 Автор Share Опубликовано 9 ноября, 2018 Архив неполный. Для выяснения причин: Выполните скрипт в AVZ из папки ...Autologger\AVZ\ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. @Sandor, вот Report.7z Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 9 ноября, 2018 Share Опубликовано 9 ноября, 2018 А теперь переделайте логи как положено, а не как вам захотелось. То есть не нажимая кнопок которые вас не просят нажимать и выполняя рекомендации Автологера. Ссылка на сообщение Поделиться на другие сайты
Demanoid100 0 Опубликовано 9 ноября, 2018 Автор Share Опубликовано 9 ноября, 2018 @regist, CollectionLog-2018.11.09-11.47.zip Ссылка на сообщение Поделиться на другие сайты
Demanoid100 0 Опубликовано 17 ноября, 2018 Автор Share Опубликовано 17 ноября, 2018 Добрый не подскажите как успехи и что по времени Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 ноября, 2018 Share Опубликовано 17 ноября, 2018 @Demanoid100, прошу прощения, упустил вашу тему. Но на этот раз опять "претензии": Логи сделаны в терминальной сессии, сделайте их из консоли. Предупрежу сразу, расшифровки скорее всего не будет. Следы и мусор почистим и, похоже, зловред все еще в активной фазе. Поможем удалить. Ссылка на сообщение Поделиться на другие сайты
Demanoid100 0 Опубликовано 18 ноября, 2018 Автор Share Опубликовано 18 ноября, 2018 @Demanoid100, прошу прощения, упустил вашу тему. Но на этот раз опять "претензии": Логи сделаны в терминальной сессии, сделайте их из консоли. Предупрежу сразу, расшифровки скорее всего не будет. Следы и мусор почистим и, похоже, зловред все еще в активной фазе. Поможем удалить. Все было согласно инструкции можно вашу помощь по запуску сборщика лога в консоли Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Из консоли - подразумевается на самом сервере, а не подключившись к нему через терминал (RDP). Ссылка на сообщение Поделиться на другие сайты
Demanoid100 0 Опубликовано 20 ноября, 2018 Автор Share Опубликовано 20 ноября, 2018 добрый день вот файл прямое подключение к компу CollectionLog-2018.11.20-12.45.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 20 ноября, 2018 Share Опубликовано 20 ноября, 2018 Через Панель управления - Удаление программ - удалите нежелательное ПО: IObit Unlocker Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\{ZNBWPH88-7173-JURA-WTNJ9EW3MHRM}\70RBSH175L9R.vbs', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\Administrator\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Windows\System32\Info.hta', ''); DeleteSchedulerTask('FZD1ISVDWVJVPL'); DeleteFile('C:\ProgramData\{ZNBWPH88-7173-JURA-WTNJ9EW3MHRM}\70RBSH175L9R.vbs', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Users\Administrator\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Windows\System32\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Administrator\AppData\Roaming\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти