Александр Семенов 0 Опубликовано 23 апреля, 2018 Share Опубликовано 23 апреля, 2018 Добрый день. Зашифрованы все файлы. После переписки прислали один расшифрованный. Новая папка.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 700 Опубликовано 23 апреля, 2018 Share Опубликовано 23 апреля, 2018 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Семенов 0 Опубликовано 23 апреля, 2018 Автор Share Опубликовано 23 апреля, 2018 Доброго времени суток! Поймали вирус, он зашифровал все данные. Злоумышленники согласились расшифровать 1 файл, прикладываю его и зашифрованный. Сообщение от модератора Mark D. Pearlstone Темы объединены CollectionLog-2018.04.23-17.52.zip Новая папка.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 23 апреля, 2018 Share Опубликовано 23 апреля, 2018 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); QuarantineFile('C:\Windows\winstart.bat',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteFile('C:\Users\Кадры\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe','32'); DeleteFile('C:\Users\Кадры\AppData\Roaming\ForceUpdateVOF\ml.py','32'); DeleteFile('C:\Users\Кадры\AppData\Roaming\SafeWeb\python\pythonw.exe','32'); DeleteFile('C:\Users\Кадры\AppData\Roaming\SafeWeb\ml.py','32'); DeleteFile('C:\Users\Кадры\AppData\Roaming\vofer\python\pythonw.exe','32'); DeleteFile('C:\Users\Кадры\AppData\Roaming\vofer\ml.py','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ForceUpdateVOF','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SafeWeb','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vofer','command'); DeleteFile('C:\Windows\winstart.bat','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su. 1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Пофиксите следующие строчки в HiJackThis (Используйте версию из папки Автологгера). O4 - MSConfig\startupfolder: C:^Users^Кадры^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ForceUpdateVOF.lnk [backup] => C:\Users\Кадры\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe "C:\Users\Кадры\AppData\Roaming\ForceUpdateVOF\ml.py" --APPNAME="ForceUpdateVOF" (2017/01/17) (file missing) O4 - MSConfig\startupfolder: C:^Users^Кадры^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SafeWeb.lnk [backup] => C:\Users\Кадры\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\Кадры\AppData\Roaming\SafeWeb\ml.py" --APPNAME="SafeWeb" (2017/01/17) (file missing) O4 - MSConfig\startupfolder: C:^Users^Кадры^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^VOF.lnk [backup] => C:\Users\Кадры\AppData\Roaming\VOF\python\pythonw.exe "C:\Users\Кадры\AppData\Roaming\VOF\ml.py" --APPNAME="VOF" (2017/01/17) (file missing) O4 - MSConfig\startupfolder: C:^Users^Кадры^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^vofer.lnk [backup] => C:\Users\Кадры\AppData\Roaming\vofer\python\pythonw.exe "C:\Users\Кадры\AppData\Roaming\vofer\ml.py" --APPNAME="vofer" (2017/01/17) (file missing) O4 - MSConfig\startupreg: Client Server Runtime Subsystem [command] = C:\ProgramData\Windows\csrss.exe (HKCU) (2018/04/18) O4 - MSConfig\startupreg: SafeWeb [command] = C:\Users\Кадры\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\Кадры\AppData\Roaming\SafeWeb\ml.py" --APPNAME="SafeWeb" (file missing) (HKCU) (2017/01/17) O4 - MSConfig\startupreg: vofer [command] = C:\Users\Кадры\AppData\Roaming\vofer\python\pythonw.exe "C:\Users\Кадры\AppData\Roaming\vofer\ml.py" --APPNAME="vofer" (file missing) (HKCU) (2017/01/17) Сделайте новые логи Автологгером. Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Семенов 0 Опубликовано 24 апреля, 2018 Автор Share Опубликовано 24 апреля, 2018 Все сделал по инструкции вот новые Log CollectionLog-2018.04.24-08.37.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 24 апреля, 2018 Share Опубликовано 24 апреля, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Семенов 0 Опубликовано 25 апреля, 2018 Автор Share Опубликовано 25 апреля, 2018 сделано FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Семенов 0 Опубликовано 25 апреля, 2018 Автор Share Опубликовано 25 апреля, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Все сделал как Вы сказали, файлы выше Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 25 апреля, 2018 Share Опубликовано 25 апреля, 2018 Отвечу завтра после работы. Сегодня не получается. Устал после работы и учебы. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 26 апреля, 2018 Share Опубликовано 26 апреля, 2018 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 2018-04-18 12:50 - 2018-04-18 12:50 - 006220854 _____ C:\Users\Кадры\AppData\Roaming\89C50EDA89C50EDA.bmp 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README9.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README8.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README7.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README6.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README5.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README4.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README3.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README2.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README10.txt 2018-04-18 10:26 - 2018-04-24 08:00 - 000000000 __SHD C:\Users\Все пользователи\Windows 2018-04-18 10:26 - 2018-04-24 08:00 - 000000000 __SHD C:\ProgramData\Windows 2017-08-21 13:47 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\Кадры\AppData\Local\Temp\3de4-eab5-dfcf-9c25.exe 2017-08-21 07:47 - 2017-08-21 07:47 - 001022208 _____ () C:\Users\Кадры\AppData\Local\Temp\7ff2-5d4c-479b-7009.exe 2017-05-23 07:54 - 2018-01-16 12:00 - 055341560 _____ (Mail.Ru) C:\Users\Кадры\AppData\Local\Temp\amigo_setup.exe 2017-07-07 07:40 - 2017-07-03 18:44 - 004087000 _____ (Mail.Ru) C:\Users\Кадры\AppData\Local\Temp\mrutmp.exe Task: {5D4FC271-6B74-4F92-9B22-1281E1873215} - \{2BC76388-5E62-B44A-D41B-478D8AA64DC3} -> No File <==== ATTENTION Task: {6A840B66-4716-492E-84B3-CEF8E8511B98} - \{0D040547-7909-0B7A-0D11-0A050D091108} -> No File <==== ATTENTION zip:C:\ProgramData\Kaspersky Lab\AVP17.0.0\SysWHist Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! На рабочем столе будет создан архив Дата_время.zip, прикрепите его к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Семенов 0 Опубликовано 27 апреля, 2018 Автор Share Опубликовано 27 апреля, 2018 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 2018-04-18 12:50 - 2018-04-18 12:50 - 006220854 _____ C:\Users\Кадры\AppData\Roaming\89C50EDA89C50EDA.bmp 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README9.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README8.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README7.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README6.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README5.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README4.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README3.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README2.txt 2018-04-18 12:50 - 2018-04-18 12:50 - 000004150 _____ C:\Users\Кадры\Desktop\README10.txt 2018-04-18 10:26 - 2018-04-24 08:00 - 000000000 __SHD C:\Users\Все пользователи\Windows 2018-04-18 10:26 - 2018-04-24 08:00 - 000000000 __SHD C:\ProgramData\Windows 2017-08-21 13:47 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\Кадры\AppData\Local\Temp\3de4-eab5-dfcf-9c25.exe 2017-08-21 07:47 - 2017-08-21 07:47 - 001022208 _____ () C:\Users\Кадры\AppData\Local\Temp\7ff2-5d4c-479b-7009.exe 2017-05-23 07:54 - 2018-01-16 12:00 - 055341560 _____ (Mail.Ru) C:\Users\Кадры\AppData\Local\Temp\amigo_setup.exe 2017-07-07 07:40 - 2017-07-03 18:44 - 004087000 _____ (Mail.Ru) C:\Users\Кадры\AppData\Local\Temp\mrutmp.exe Task: {5D4FC271-6B74-4F92-9B22-1281E1873215} - \{2BC76388-5E62-B44A-D41B-478D8AA64DC3} -> No File <==== ATTENTION Task: {6A840B66-4716-492E-84B3-CEF8E8511B98} - \{0D040547-7909-0B7A-0D11-0A050D091108} -> No File <==== ATTENTION zip:C:\ProgramData\Kaspersky Lab\AVP17.0.0\SysWHist Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! На рабочем столе будет создан архив Дата_время.zip, прикрепите его к сообщению. Размер архива 14 Мб, здесь не получилось прикрепить, я отправил Вам на почту mike1@avp.su с темой письма С форума Касперского Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 27 апреля, 2018 Share Опубликовано 27 апреля, 2018 Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! ? Зашифрованы все файлы. На момент заражения KAV2017 был включен? Включен ли был компонент Мониторинг активности? Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Семенов 0 Опубликовано 3 мая, 2018 Автор Share Опубликовано 3 мая, 2018 Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! ? Зашифрованы все файлы. На момент заражения KAV2017 был включен? Включен ли был компонент Мониторинг активности? Файлы зашифрованы все, но они расшифровали один в качестве доказательства,что можно это сделать за н-ую сумму. Касперский был включен, мониторинг думаю тоже Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 3 мая, 2018 Share Опубликовано 3 мая, 2018 Файлы зашифрованы все, но они расшифровали один в качестве доказательства,что можно это сделать за н-ую сумму. Создайте запрос на расшифровку https://forum.kasperskyclub.ru/index.php?showtopic=48525. Дополнительно к запросу приложите содержимое папки C:\ProgramData\Kaspersky Lab\AVP17.0.0\SysWHist (упакуйте в архив содержимое папки), укажите точное или приблизительное время шифрования файлов. Приложите к запросу архив quarantine.zip из папки AVZ. В запросе укажите ссылку на данную тему. Процитируйте ответ техподдержки. Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Семенов 0 Опубликовано 8 мая, 2018 Автор Share Опубликовано 8 мая, 2018 (изменено) Файлы зашифрованы все, но они расшифровали один в качестве доказательства,что можно это сделать за н-ую сумму. Создайте запрос на расшифровку https://forum.kasperskyclub.ru/index.php?showtopic=48525. Дополнительно к запросу приложите содержимое папки C:\ProgramData\Kaspersky Lab\AVP17.0.0\SysWHist (упакуйте в архив содержимое папки), укажите точное или приблизительное время шифрования файлов. Приложите к запросу архив quarantine.zip из папки AVZ. В запросе укажите ссылку на данную тему. Процитируйте ответ техподдержки. они спрашивают пароль на архив quarantine. Пришлите его, пожалуйста, на почту [скрыто] Изменено 8 мая, 2018 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.