• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Папки Skypee в корне диска уже на другом компьютере

Razey

Активный пользователь
Сообщения
661
Реакции
31
Баллы
418
Здравствуйте!

Ещё один комп, заражённый trojan.autohit.12866 (по терминологии drweb).

Логи во вложении, просьба вылечить.

Запускал DrwebLiveUSB - но пришлось прервать сканирование и удаление сего товарища не было проведено полностью (название зловред взято из лога drweb'a)
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,481
Реакции
2,015
Баллы
643
Здравствуйте!

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
661
Реакции
31
Баллы
418
Здравствуйте!

Выполнено.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,481
Реакции
2,015
Баллы
643
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2019-01-28 07:55 - 2019-01-30 16:55 - 000000000 _RSHD C:\Skypee
    Folder: C:\Google
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
661
Реакции
31
Баллы
418
Выполнено. Лог во вложении.

Сам вручную удалил папку google в корне диска с: и папку skypee в корне диска d:

А далее будем смотреть, не появятся ли эти папки снова.
 

Вложения

  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
19,044
Реакции
13,190
Баллы
2,203
Тогда отпишитесь (если все хорошо) и я закрою тему.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,481
Реакции
2,015
Баллы
643
далее будем смотреть
Только прежде:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Razey

Активный пользователь
Сообщения
661
Реакции
31
Баллы
418
Здравствуйте!

Благодарю всех - симптомов заражения больше не видно - можно закрывать тему.

Рекомендации после лечения выполню, только немногим позже...
 
  • Like
Реакции: akok
Сверху Снизу