Перейти к содержанию

[РЕШЕНО] Вирус шифровальщик


Рекомендуемые сообщения

Был скачан и запущен файл [ссылка] из яндекс почты и через некоторое время файлы зашифровались

Изменено пользователем Sandor
Убрал ссылку
Ссылка на сообщение
Поделиться на другие сайты

Прикрепите файл с логами к следующему сообщению, используя кнопку Расширенная форма

Ссылка на сообщение
Поделиться на другие сайты

Это Shade, расшифровки нет. Будет только удаление активного вредоноса и чистка мусора.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Добрый день! А расширение crypted007?Просто тоже словили вчера на рабочий компьютер( Спрашиваю чтоб по сто тем не создавать. У Вас  есть информация, когда появится утилита для расшифровки или этого не произойдёт совсем??

 

Сообщение от модератора
В этом разделе действуют определенные правила, поэтому не пишите в чужой теме, а создайте свою (если нужно).
Изменено пользователем Sandor
Уведомление
Ссылка на сообщение
Поделиться на другие сайты

 

Добрый день! А расширение crypted007?Просто тоже словили вчера на рабочий компьютер( Спрашиваю чтоб по сто тем не создавать. У Вас  есть информация, когда появится утилита для расшифровки или этого не произойдёт совсем??

Это Shade, расшифровки нет. Будет только удаление активного вредоноса и чистка мусора.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Расширение .crypted000007 Ну да

Это Shade, расшифровки нет. Будет только удаление активного вредоноса и чистка мусора.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

Получается ничего не сделать? Можно переустанавливать систему? Все фалы в никуда?

Ссылка на сообщение
Поделиться на другие сайты

Не цитируйте полностью предыдущее сообщение, используйте форму быстрого ответа внизу.

 

для старого Shade была ведь утилита

Ключевое слово "старого".

 

Жду логи.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Auslogics BoostSpeed Premium 7 - рекомендую удалить.

 

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-2301322411-1287110291-1113894879-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
    2019-06-04 13:39 - 2019-06-04 13:39 - 006220854 _____ C:\Users\pashkova\AppData\Roaming\3B7E33703B7E3370.bmp
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README9.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README8.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README7.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README6.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README5.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README4.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README3.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README2.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README10.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README1.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README9.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README8.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README7.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README6.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README5.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README4.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README3.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README2.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README10.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README1.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README9.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README8.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README7.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README6.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README5.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README4.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README3.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README2.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README10.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README1.txt
    2019-06-04 11:25 - 2019-06-06 10:36 - 000000000 __SHD C:\ProgramData\Windows
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Auslogics BoostSpeed Premium 7 - рекомендую удалить.

 

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-2301322411-1287110291-1113894879-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
    2019-06-04 13:39 - 2019-06-04 13:39 - 006220854 _____ C:\Users\pashkova\AppData\Roaming\3B7E33703B7E3370.bmp
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README9.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README8.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README7.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README6.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README5.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README4.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README3.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README2.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README10.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README1.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README9.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README8.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README7.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README6.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README5.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README4.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README3.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README2.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README10.txt
    2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README1.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README9.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README8.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README7.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README6.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README5.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README4.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README3.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README2.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README10.txt
    2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README1.txt
    2019-06-04 11:25 - 2019-06-06 10:36 - 000000000 __SHD C:\ProgramData\Windows
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Достаточно было один раз выполнить скрипт.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...