tmnkun 0 Опубликовано 25 апреля, 2017 Share Опубликовано 25 апреля, 2017 (изменено) Добрый день. Текст README аналогичен посту из этой темы. Для инофрмации, так как понял что расшифровки нет. Зашифрованы файлы офисных форматов, архивы, файлы Autocada, картинки, расширение .CRYPTED000007. Вирус со слов пользователя попал при серфинге Интернета через IE11. Дополнительно могу предоставить репорты Kaspersky Rescure Disk, а также несколько зашифрованных файлов и этих же файлов до шифрации. CollectionLog-2017.04.25-10.12.zip Addition.txt FRST.txt Shortcut.txt Изменено 25 апреля, 2017 пользователем tmnkun Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 апреля, 2017 Share Опубликовано 25 апреля, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RebootWindows(false); end. Компьютер перезагрузится. Логи FRST переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора. Цитата Ссылка на сообщение Поделиться на другие сайты
tmnkun 0 Опубликовано 25 апреля, 2017 Автор Share Опубликовано 25 апреля, 2017 Логи FRST переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора. Переделал. Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 апреля, 2017 Share Опубликовано 25 апреля, 2017 Переделал.Нет Ran by posohina (ATTENTION: The user is not administrator) on W12TMN001 (25-04-2017 11:07:19) Цитата Ссылка на сообщение Поделиться на другие сайты
tmnkun 0 Опубликовано 25 апреля, 2017 Автор Share Опубликовано 25 апреля, 2017 Сори Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 апреля, 2017 Share Опубликовано 25 апреля, 2017 Включите Восстановление системы. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction ? <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION 2017-04-24 16:48 - 2017-04-24 16:48 - 06220854 _____ C:\Users\posohina.KOGALYM\AppData\Roaming\09E698B309E698B3.bmp 2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README9.txt 2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README8.txt 2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README7.txt 2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README6.txt 2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README5.txt 2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README4.txt 2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README3.txt 2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README2.txt 2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README10.txt 2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README1.txt 2017-04-24 16:13 - 2017-04-24 16:13 - 00000000 __SHD C:\Users\Все пользователи\System32 2017-04-24 16:13 - 2017-04-24 16:13 - 00000000 __SHD C:\ProgramData\System32 2017-04-24 15:17 - 2017-04-25 07:39 - 00000000 __SHD C:\Users\Все пользователи\Windows 2017-04-24 15:17 - 2017-04-25 07:39 - 00000000 __SHD C:\ProgramData\Windows Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
tmnkun 0 Опубликовано 25 апреля, 2017 Автор Share Опубликовано 25 апреля, 2017 Точку восстановления создал руками. Имеет смысл сохранить закриптованные файлы? Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 апреля, 2017 Share Опубликовано 25 апреля, 2017 Имеет смысл сохранить закриптованные файлы?Да, не исключено, что инструмент появится, но пока его нет. Сохраните также содержимое папки C:\FRST Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
tmnkun 0 Опубликовано 25 апреля, 2017 Автор Share Опубликовано 25 апреля, 2017 Прикрепил. SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 апреля, 2017 Share Опубликовано 25 апреля, 2017 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 4.0.0 (32-разрядная) v.4.0.0 Внимание! Скачать обновления Посмотрите настройку KES для защиты от шифрования. Прочтите и выполните Рекомендации после удаления вредоносного ПО 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
tmnkun 0 Опубликовано 25 апреля, 2017 Автор Share Опубликовано 25 апреля, 2017 Спасибо. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.