Evgeny_Frolov 0 Опубликовано 10 декабря, 2018 Share Опубликовано 10 декабря, 2018 Пользователь на виндовой машине из почты открыл вложение из электронной почты. Как результат - зашифрованные файлы вида email-biger@x-mail.pro.ver-CL 1.5.1.0.id-3365436957-966744531236442324916398.fname. Утилиты тел вирусов не обнаруживают. CollectionLog-2018.12.10-21.22.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 10 декабря, 2018 Share Опубликовано 10 декабря, 2018 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); QuarantineFile('C:\DOCUME~1\2739~1\LOCALS~1\Temp\LOSWACGILP.exe',''); DeleteFile('C:\DOCUME~1\2739~1\LOCALS~1\Temp\LOSWACGILP.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3365436957','x32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su. 1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). O4 - HKCU\..\Run: [3365436957] = C:\Documents and Settings\Депозит\Local Settings\Temp\LOSWACGILP.exe O4 - HKLM\..\Run: [2036353] = 2036353 (file missing) O4 - HKLM\..\Run: [3208938] = 3208938 (file missing) O4 - HKLM\..\Run: [3942140] = 3942140 (file missing) O4 - HKLM\..\Run: [487764] = 487764 (file missing) O4 - Startup other users: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\Chernikov\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\Lutchak\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\Lutchakur\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\lisihea\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\rama\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\README.txt Сделайте новые логи Автологгером. Ссылка на сообщение Поделиться на другие сайты
Evgeny_Frolov 0 Опубликовано 11 декабря, 2018 Автор Share Опубликовано 11 декабря, 2018 После выполнения первого скрипта в АВЗ и перезагрузки комп не завелся - "NTLDR is missing". Ждем доставки компа из отдела. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 Загрузчик повреждён или был зашифрован вместе с файлами, выполните команды fixboot и fixmbr. Ссылка на сообщение Поделиться на другие сайты
Evgeny_Frolov 0 Опубликовано 11 декабря, 2018 Автор Share Опубликовано 11 декабря, 2018 Загрузчик восстановили, станция доступна. Продолжать выполнение вышеописанных скриптов АВЗ? Файл карантина направил на почту. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 Продолжайте Ссылка на сообщение Поделиться на другие сайты
Evgeny_Frolov 0 Опубликовано 11 декабря, 2018 Автор Share Опубликовано 11 декабря, 2018 Логи собраны Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 И где же они? Ссылка на сообщение Поделиться на другие сайты
Evgeny_Frolov 0 Опубликовано 11 декабря, 2018 Автор Share Опубликовано 11 декабря, 2018 В HiJackThis нашел только эти строки. O4 - HKLM\..\Run: [2036353] = 2036353 (file missing)O4 - HKLM\..\Run: [3208938] = 3208938 (file missing)O4 - HKLM\..\Run: [3942140] = 3942140 (file missing)O4 - HKLM\..\Run: [487764] = 487764 (file missing) Не прикрепились почему-то CollectionLog-2018.12.11-14.47.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 Отвечу после основной работы. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Evgeny_Frolov 0 Опубликовано 11 декабря, 2018 Автор Share Опубликовано 11 декабря, 2018 Addition.txtFRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 Не вижу чтобы был установлен хоть какой-то антивирус в системе. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Folder: C:\istall Folder: C:\1.0.0.36n Folder: C:\1 Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Ссылка на сообщение Поделиться на другие сайты
Evgeny_Frolov 0 Опубликовано 11 декабря, 2018 Автор Share Опубликовано 11 декабря, 2018 Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 Лицензия на наш антивирус имеется? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти