У файлов изменилось расширение на id-********.[goodjob24@foxmail.com].myjob

[Владимир Котов 0]

При входе на компьютер запустилась программа. После чего, все файлы изменили расширение на id-********.[goodjob24@foxmail.com].myjob

CollectionLog-2018.11.27-16.33.zip

[regist 618]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-4CADFF1E.[goodjob24@foxmail.com].myjob', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-4CADFF1E.[goodjob24@foxmail.com].myjob', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-4CADFF1E.[goodjob24@foxmail.com].myjob', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-4CADFF1E.[goodjob24@foxmail.com].myjob', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Пользователь\AppData\Roaming\Info.hta', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

при наличие лицензии на Eset создайте запрос на рассшифровку в их тех. поддержку

[Владимир Котов 0]

Файл quarantine.zip из папки AVZ [KLAN-9191580330]

Присланные вами файлы и ссылки были проверены в автоматическом режиме

 

В антивирусных базах информация по присланным вами файлам отсутствует:

desktop.ini.id-4CADFF1E.[goodjob24@foxmail.com].myjob

desktop.ini.id-4CADFF1E.[goodjob24@foxmail.com]_0.myjob

 

В антивирусных базах информация по присланным вами ссылкам отсутствует:

https://forum.kasperskyclub.ru/index.php?showtopic=61145

 

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2018.11.28-14.01.zip

Изменено 28 ноября, 2018 пользователем regist
убрал излишнее форматирование

[regist 618]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

[Владимир Котов 0]

Отчеты сканирования.

Addition.txt

FRST.txt

[regist 618]

"Пофиксите" в HijackThis:

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - User Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

 

сделайте свежие логи Автологером.

[Владимир Котов 0]

Логи после фикса.

CollectionLog-2018.11.29-09.15.zip

[regist 618]

 

 

при наличие лицензии на Eset создайте запрос на рассшифровку в их тех. поддержку

+

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.