Evgeny_Frolov 0 Опубликовано 10 декабря, 2018 Share Опубликовано 10 декабря, 2018 Пользователь на виндовой машине из почты открыл вложение из электронной почты. Как результат - зашифрованные файлы вида email-biger@x-mail.pro.ver-CL 1.5.1.0.id-3365436957-966744531236442324916398.fname. Утилиты тел вирусов не обнаруживают. CollectionLog-2018.12.10-21.22.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 10 декабря, 2018 Share Опубликовано 10 декабря, 2018 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); QuarantineFile('C:\DOCUME~1\2739~1\LOCALS~1\Temp\LOSWACGILP.exe',''); DeleteFile('C:\DOCUME~1\2739~1\LOCALS~1\Temp\LOSWACGILP.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3365436957','x32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su. 1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). O4 - HKCU\..\Run: [3365436957] = C:\Documents and Settings\Депозит\Local Settings\Temp\LOSWACGILP.exe O4 - HKLM\..\Run: [2036353] = 2036353 (file missing) O4 - HKLM\..\Run: [3208938] = 3208938 (file missing) O4 - HKLM\..\Run: [3942140] = 3942140 (file missing) O4 - HKLM\..\Run: [487764] = 487764 (file missing) O4 - Startup other users: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\Chernikov\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\Lutchak\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\Lutchakur\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\lisihea\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\rama\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\README.txt Сделайте новые логи Автологгером. Цитата Ссылка на сообщение Поделиться на другие сайты
Evgeny_Frolov 0 Опубликовано 11 декабря, 2018 Автор Share Опубликовано 11 декабря, 2018 После выполнения первого скрипта в АВЗ и перезагрузки комп не завелся - "NTLDR is missing". Ждем доставки компа из отдела. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 Загрузчик повреждён или был зашифрован вместе с файлами, выполните команды fixboot и fixmbr. Цитата Ссылка на сообщение Поделиться на другие сайты
Evgeny_Frolov 0 Опубликовано 11 декабря, 2018 Автор Share Опубликовано 11 декабря, 2018 Загрузчик восстановили, станция доступна. Продолжать выполнение вышеописанных скриптов АВЗ? Файл карантина направил на почту. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 Продолжайте Цитата Ссылка на сообщение Поделиться на другие сайты
Evgeny_Frolov 0 Опубликовано 11 декабря, 2018 Автор Share Опубликовано 11 декабря, 2018 Логи собраны Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 И где же они? Цитата Ссылка на сообщение Поделиться на другие сайты
Evgeny_Frolov 0 Опубликовано 11 декабря, 2018 Автор Share Опубликовано 11 декабря, 2018 В HiJackThis нашел только эти строки. O4 - HKLM\..\Run: [2036353] = 2036353 (file missing)O4 - HKLM\..\Run: [3208938] = 3208938 (file missing)O4 - HKLM\..\Run: [3942140] = 3942140 (file missing)O4 - HKLM\..\Run: [487764] = 487764 (file missing) Не прикрепились почему-то CollectionLog-2018.12.11-14.47.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 Отвечу после основной работы. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Evgeny_Frolov 0 Опубликовано 11 декабря, 2018 Автор Share Опубликовано 11 декабря, 2018 Addition.txtFRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 Не вижу чтобы был установлен хоть какой-то антивирус в системе. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Folder: C:\istall Folder: C:\1.0.0.36n Folder: C:\1 Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Цитата Ссылка на сообщение Поделиться на другие сайты
Evgeny_Frolov 0 Опубликовано 11 декабря, 2018 Автор Share Опубликовано 11 декабря, 2018 Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 11 декабря, 2018 Share Опубликовано 11 декабря, 2018 Лицензия на наш антивирус имеется? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.