Un13 0 Опубликовано 18 января, 2017 Share Опубликовано 18 января, 2017 Добрый день! У нас следующая проблема, в какойто момент все фалы на ПК стали зашифрованными с расширением "no_more_ransom". Каких либо писем или файлов в интернете вроде не открывали. Писем на почту с вымоганием, не получали. Как так получилось, остается загадкой (( Подскажите пожалуйста, что можно сделать, для восстановления файлов ? Addition.txt CollectionLog-2017.01.18-13.34.zip FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 18 января, 2017 Share Опубликовано 18 января, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('AmmyyAdmin_1BD4'); StopService('4F96457F48EE9172'); QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{E26D24D1-5BB8-4A54-8941-CAF82C748DE3}.tmp', ''); QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{9B303034-985A-4749-B630-CE9EA1965F15}.tmp', ''); QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{A4474F53-9D39-4634-B2FB-4866B3806CE7}.tmp', ''); QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{F185358E-5788-4C3B-8D11-B9D2D6887483}.tmp', ''); QuarantineFile('C:\Windows\TEMP\693C0C0.sys', ''); QuarantineFile('C:\ProgramData\Windows\csrss.exe', ''); QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S4FRYBBD\nalogul4464.exe', ''); QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNDR46VH\NalogUL4472.exe', ''); QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A0ULHAM2\nalogul4462.exe', ''); QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CPH4J9XA\NalogUL4491.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "{685F9E01-C2E8-4B7E-8BC1-A8F5B4671ECB}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{8D97BCFA-7566-41F5-A3F6-D00F50FF5F0F}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{9CFCF4A3-6904-4B4E-9B29-0043F9BF17E6}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{C7ACB7C2-7AD4-49A5-A426-5ADDD196D01F}" /F', 0, 15000, true); DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{E26D24D1-5BB8-4A54-8941-CAF82C748DE3}.tmp', '32'); DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{9B303034-985A-4749-B630-CE9EA1965F15}.tmp', '32'); DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{A4474F53-9D39-4634-B2FB-4866B3806CE7}.tmp', '32'); DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{F185358E-5788-4C3B-8D11-B9D2D6887483}.tmp', '32'); DeleteFile('C:\Windows\TEMP\693C0C0.sys', '32'); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S4FRYBBD\nalogul4464.exe', '32'); DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNDR46VH\NalogUL4472.exe', '32'); DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A0ULHAM2\nalogul4462.exe', '32'); DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CPH4J9XA\NalogUL4491.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteService('4F96457F48EE9172'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
Un13 0 Опубликовано 18 января, 2017 Автор Share Опубликовано 18 января, 2017 (изменено) Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.Антивирус Касперского проверил файлы.Вредоносные программы не найдены в файлах:quarantine.zipМы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ KLAN-5671527536] CollectionLog-2017.01.18-15.10.zip Изменено 18 января, 2017 пользователем Un13 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 18 января, 2017 Share Опубликовано 18 января, 2017 Соберите и прикрепите свежие логи FRST. Цитата Ссылка на сообщение Поделиться на другие сайты
Un13 0 Опубликовано 18 января, 2017 Автор Share Опубликовано 18 января, 2017 Соберите и прикрепите свежие логи FRST. Кстати, само тело вируса. Снес KIS, установленный после данного ЧП. Addition.txt CollectionLog-2017.01.18-15.10.zip FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 18 января, 2017 Share Опубликовано 18 января, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: CHR HKU\S-1-5-21-1137010244-4147426479-2387351578-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR Extension: (Яндекс) - C:\Users\Бухгалтер\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkfblcbjfojmgagikhldeppgmgdpjkpl [2016-11-25] CHR Extension: (Яндекс) - C:\Users\Бухгалтер\AppData\Local\Google\Chrome\User Data\Default\Extensions\lgdnilodcpljomelbbnpgdogdbmclbni [2016-11-25] 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README9.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README8.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README7.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README6.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README5.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README4.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README3.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README2.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README10.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README1.txt 2017-01-16 09:25 - 2017-01-17 15:11 - 00000000 __SHD C:\Users\Все пользователи\Windows 2017-01-16 09:25 - 2017-01-17 15:11 - 00000000 __SHD C:\ProgramData\Windows Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Un13 0 Опубликовано 18 января, 2017 Автор Share Опубликовано 18 января, 2017 (изменено) Fixlog.txt Изменено 19 января, 2017 пользователем Un13 Цитата Ссылка на сообщение Поделиться на другие сайты
Un13 0 Опубликовано 19 января, 2017 Автор Share Опубликовано 19 января, 2017 Какие еще нужны действия с нашей стороны ? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 19 января, 2017 Share Опубликовано 19 января, 2017 При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Цитата Ссылка на сообщение Поделиться на другие сайты
Un13 0 Опубликовано 19 января, 2017 Автор Share Опубликовано 19 января, 2017 При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Лицензии есть, 8 лет с вами работаем. Сейчас попробую. Спасибо. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.