Геннадий Потапов 0 Опубликовано 7 июня, 2019 Share Опубликовано 7 июня, 2019 прилагаю файлы CollectionLog-2019.06.07-16.27.zip virus.rar Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 7 июня, 2019 Share Опубликовано 7 июня, 2019 Здравствуйте,HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O4 - HKCU\..\Run: [1484355211] = C:\Users\Администратор\AppData\Local\Temp\QYCFJNQSVZ.exe AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\QYCFJNQSVZ.exe',''); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1484355211','x32'); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\QYCFJNQSVZ.exe','32'); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\QYCFJNQSVZ.exe','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1484355211','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. После выполнения скрипта перезагрузите сервер вручную.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Геннадий Потапов 0 Опубликовано 7 июня, 2019 Автор Share Опубликовано 7 июня, 2019 при попытке загрузить карантин зип через форму Результат загрузки Ошибка загрузки. Данный файл уже был загружен FRST.txt Addition.txt quarantine.zip Ссылка на сообщение Поделиться на другие сайты
Геннадий Потапов 0 Опубликовано 7 июня, 2019 Автор Share Опубликовано 7 июня, 2019 ждать расшифровки ? Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 7 июня, 2019 Share Опубликовано 7 июня, 2019 ждать расшифровки ? К сожалению с расшифровкой помочь не сможем, у Вас новый вариант шифровальщика, на данный момент нет решения (у добровольцев форума). Пробуйте обратиться в тех. поддержку Kaspersky согласно следующей инструкции. https://forum.kasperskyclub.ru/index.php?showtopic=48525 Вам знакомо следующее: HKLM-x32\...\Run: [1018496] => 1018496 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: 2019-06-07 16:24 - 2019-06-07 16:24 - 000001282 _____ C:\Users\Все пользователи\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000001282 _____ C:\ProgramData\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\Downloads\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\Documents\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\AppData\Roaming\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\AppData\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\AppData\LocalLow\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\AppData\Local\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Public\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Public\Downloads\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Public\Documents\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Public\Desktop\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\Downloads\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\Documents\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\Desktop\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\AppData\Roaming\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\AppData\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\AppData\Local\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\Downloads\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\Documents\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\Desktop\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\AppData\Roaming\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\AppData\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\AppData\Local\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Program Files (x86)\README.txt 2019-06-07 16:23 - 2019-06-07 16:24 - 000000050 _____ C:\Users\README.txt 2019-06-07 16:23 - 2019-06-07 16:23 - 000000050 _____ C:\Program Files\README.txt 2019-06-07 16:23 - 2019-06-07 16:23 - 000000050 _____ C:\Program Files\Common Files\README.txt Folder: C:\ProgramData\Embarcadero 2019-06-07 16:23 - 2019-06-07 16:23 - 000000050 _____ () C:\Program Files\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ () C:\Program Files (x86)\README.txt 2019-06-07 16:23 - 2019-06-07 16:23 - 000000050 _____ () C:\Program Files\Common Files\README.txt 2019-06-07 16:23 - 2019-06-07 16:23 - 000000050 _____ () C:\Program Files (x86)\Common Files\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ () C:\Users\Администратор\AppData\Roaming\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\README.txt 2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ () C:\Users\Администратор\AppData\Local\README.txt End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что сервер возможно будет перезагружен. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти