• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Лечение компьютерных вирусов id-608832C7.[[email protected]].arrow

Статус
В этой теме нельзя размещать новые ответы.

qqhelp

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
Gotovo
 

Вложения

  • CollectionLog-2018.06.04-16.36.zip
    61.2 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,106
Баллы
643
Работаем с утилитой FRST64

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    Folder: C:\Program Files\MPK
    Folder: C:\Windows\Font
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Если окажется большим, упакуйте архиватором.


Подробнее читайте в этом руководстве.
 

qqhelp

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
winrar stavil, on nerabotaet, do restarta ... a kogda reboot ?
A.. wrar zarabotal,,,
 

Вложения

  • Fixlog.txt
    17 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,106
Баллы
643
Папку
удалите вручную.

Проверьте эти файлы на virustotal
Код:
C:\Windows\Font\javacp.exe
C:\Windows\Font\config.json
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

qqhelp

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
papku mpk ne vidno daje esli vkl skrut papki, otkrul ee 4erez stroku i udalil vnutri, cmd toje ne vidit !
1528121084316.png

exe shniki browser toje ne vidit, pri vkl otobrajenii vsego sys
[automerge]1528121268[/automerge]
paint mertv, arrow ) languages toje dead
[automerge]1528121344[/automerge]
Мне кажется что папка фонт это фейк, я таковой не встречал, имеется обычно Fonts, тоже грохнуть? ее видно.
[automerge]1528121701[/automerge]
1528121678707.png

4erez total vidna levaya papka HAV v korne
MPK udalil 4erez total
[automerge]1528122717[/automerge]
Удалять?
[automerge]1528122760[/automerge]
Screenshot
 

Вложения

  • IMG_20180604_172308.jpg
    IMG_20180604_172308.jpg
    28.6 KB · Просмотры: 22
Последнее редактирование:

qqhelp

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
В папке HAV было несколько екзешников в зашифрованом виде, удалил, а вот папка windows\font содержит два файла config.json , javacp.exe с атрибутами только чтение, и невозможностью удаления - файлы используются. Так же их через браузер невозможно забросить в вирустотал, не видны.
PS. Скриншоты в такой миниформат конвертирует сайт при вставке через контрл+в.
 
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,106
Баллы
643
Соберите свежие логи FRST.txt и Addition.txt
 

qqhelp

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
ready
 

Вложения

  • Addition.txt
    22.4 KB · Просмотры: 1
  • FRST.txt
    51.8 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,106
Баллы
643
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    2018-06-04 17:16 - 2018-06-04 17:16 - 000000068 _____ C:\Windows\Font.rar
    2018-06-04 18:00 - 2018-03-22 09:23 - 000000000 ____D C:\Windows\Font
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Подробнее читайте в этом руководстве.
 
Последнее редактирование:

qqhelp

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
est . o, papka font propala, v4era rukami ne udalyalas.
 

Вложения

  • Fixlog.txt
    720 байт · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,106
Баллы
643
Завершаем:
1. Malwarebytes' Anti-Malware можно деинсталлировать.

2. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится!

Остальные утилиты лечения и папки можно просто удалить.

3. Рекомендации после удаления вредоносного ПО
 

qqhelp

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
srazu zapustil reboot i ewe raz mw, nashel chtoto novoe
 

Вложения

  • mw2.txt
    3 KB · Просмотры: 4

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,106
Баллы
643
Соберите Автологером свежий CollectionLog.
 

qqhelp

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
est. ewe avz log podozritelen. net? proboval na virustotal werwr... faile zagruzit, net prav, daje pod adminom.
 

Вложения

  • CollectionLog-2018.06.06-09.49.zip
    61.6 KB · Просмотры: 1
  • avz_log.txt
    4.8 KB · Просмотры: 0
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,106
Баллы
643
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
end.

Пожалуйста, перезагрузите компьютер вручную.

Скрипт закроет уязвимости в IE. Больше ничего плохого.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу