Перейти к содержанию

Рекомендуемые сообщения

после открытия файла с расширением  *SCR присланного по почте, все документы быстро оказались зашифрованы  - в конце файлов .crypted000007

CollectionLog-2019.10.23-11.49.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Тип вымогателя Shade, расшифровки нет, увы.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 StopService('4F94148C408C3B18');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '');
 QuarantineFile('C:\WINDOWS\Temp\1A2274E418.sys', '');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32');
 DeleteFile('C:\WINDOWS\Temp\1A2274E418.sys', '32');
 DeleteService('4F94148C408C3B18');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

часть файлов с измененным названием и в конце crypted000007

но есть много других, название сохранено и расширение, но тип файла стоит crypted000078

их также нельзя расшифровать?


Здравствуйте!

Тип вымогателя Shade, расшифровки нет, увы.


 

файлы для проверки не нужны?

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

их также нельзя расшифровать?

К сожалению, нет.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README9.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README8.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README7.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README6.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README5.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README4.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README3.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README2.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README10.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README1.txt
    2019-10-22 15:03 - 2019-10-23 15:27 - 000000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
    2019-10-22 15:03 - 2019-10-23 00:30 - 001688576 _____ C:\Documents and Settings\User\Мои документы\Scan658.scr
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Если есть возможность, запрос сделайте. Но шансов практически нет.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...