Здравствуйте.
Поймали шифровальщика. Помогите прибить заразу пожалуйста.
Printable View
Здравствуйте.
Поймали шифровальщика. Помогите прибить заразу пожалуйста.
Уважаемый(ая) [B]evoname[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\ProgramData\{18e991-418520-7783-84b4bd22d66b}\hostdl.exe', '');
QuarantineFile('C:\ProgramData\njnmdfmi\kfcnhdfh.ego', '');
QuarantineFileF('c:\programdata\{18e991-418520-7783-84b4bd22d66b}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('C:\ProgramData\{f04233-6fb399-e617-1dcf6190c1a9}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\programdata\njnmdfmi', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
DeleteFile('C:\ProgramData\{18e991-418520-7783-84b4bd22d66b}\hostdl.exe', '');
DeleteFile('C:\ProgramData\njnmdfmi\kfcnhdfh.ego', '');
ExecuteFile('schtasks.exe', '/delete /TN "Windows Update" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WinInetDriver" /F', 0, 15000, true);
DeleteFileMask('c:\programdata\{18e991-418520-7783-84b4bd22d66b}', '*', true);
DeleteFileMask('c:\programdata\njnmdfmi', '*', true);
DeleteDirectory('c:\programdata\{18e991-418520-7783-84b4bd22d66b}');
DeleteDirectory('c:\programdata\njnmdfmi');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
end.[/code]Перезагрузите сервер.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог такой версией [URL="https://yadi.sk/d/7dgjMleO3E3E9b"]Autologger[/URL].
Доброго утра!
Карантин загружен. Лог приложен.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Пожалуйста.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]Folder: C:\ProgramData\{18e991-418520-7783-84b4bd22d66b}
Folder: C:\ProgramData\{f04233-6fb399-e617-1dcf6190c1a9}[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Здравствуйте!
Пожалуйста...
Примените такой fixlist.txt:[CODE]C:\ProgramData\{f04233-6fb399-e617-1dcf6190c1a9}[/CODE]Прикрепите Fixlog.txt - и всё на этом, дочистим шифровальщик.
Готово!
Удалите папку C:\FRST со всем содержимым.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению. В нём будут ссылки на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
Лога нет. Скрипт выдал "Часто используемые уязвимости не обнаружены".
Тогда - всё на этом.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]0[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]