Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Зашифрованное все видео

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 25

#1 OFF   s-vaciliev

s-vaciliev

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 07 Май 2019 - 15:54

зашифровщик зашифровал у нас все видео с расширением "no_more_ransom" это было примерно 3 года назад. Я их не стал удалять а жду что когда нибудь получится открыть. Прошу подскажите что можно сделать. AutoLogger я запускал положил во вложении. Видео находилось на D диске

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 927

Отправлено 07 Май 2019 - 16:18

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Auslogics BoostSpeed 5.1.0.0


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\8f00b2\1d8cd9.exe');
 QuarantineFile('C:\Users\EFIR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk', '');
 QuarantineFile('c:\windows\system32\8f00b2\1d8cd9.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 DeleteSchedulerTask('{A0986593-C9DA-40DF-8AE1-E06A72CC4236}');
 DeleteFile('C:\Users\EFIR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk');
 DeleteFile('c:\windows\system32\8f00b2\1d8cd9.exe', '32');
 DeleteFile('D:\autorun.inf', '');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1D8CD9', 'x32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#3 OFF   s-vaciliev

s-vaciliev

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 13 Май 2019 - 10:28

Выполняю скрипт выдает ошибку: Undeclared identifier DeleteSchedulerTask в позиции 10.21

Во вложении

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 927

Отправлено 13 Май 2019 - 10:39

AVZ запускайте из папки Автологера

D:\AutoLogger\AVZ\avz.exe

(о чём в инструкции и сказано).
  • 0
Изображение

#5 OFF   s-vaciliev

s-vaciliev

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 13 Май 2019 - 12:14

AVZ запускайте из папки Автологера

D:\AutoLogger\AVZ\avz.exe

(о чём в инструкции и сказано).

 

Попробовал не чего не изменилось та же ошибка


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 927

Отправлено 13 Май 2019 - 12:40

В скрипте ошибок нет, а вы что-то делаете неправильно.
AVZ не нужно специально скачивать. Утилита уже находится в распакованной папке Автологера.
  • 0
Изображение

#7 OFF   s-vaciliev

s-vaciliev

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 13 Май 2019 - 14:38

В скрипте ошибок нет, а вы что-то делаете неправильно.
AVZ не нужно специально скачивать. Утилита уже находится в распакованной папке Автологера.

Может это связано то что я скачал новый Автологер. Скачал новый потому что старый указывает базы обновились просим скачать новый и автоматически закрывается пришлось скачать свежий с https://www.comss.ru/page.php?id=1812


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 927

Отправлено 13 Май 2019 - 14:55

А по ссылке из правил этой ветки форума не пробовали качать? :)
  • 0
Изображение

#9 OFF   s-vaciliev

s-vaciliev

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 13 Май 2019 - 15:49

да все верно с форума все пошло нормально. Файл quarantine отправил по электронной почте на newvirus@kaspersky.com - Все верно! Я как понял как присвоят номер так скинуть заново сюда - Правильно я понял!


  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 927

Отправлено 13 Май 2019 - 16:23

Правильно. Номер и цитату из письма.
Повторить логи можете, не дожидаясь ответа.
  • 0
Изображение

#11 OFF   s-vaciliev

s-vaciliev

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 14 Май 2019 - 12:22

номер KLAN-10071964491, Цитата и CollectionLog во вложении

Прикрепленные файлы


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 927

Отправлено 14 Май 2019 - 12:28

Можно было и так процитировать:

В антивирусных базах информация по присланным вами файлам отсутствует:
ЎЎЎЎЎЎ.lnk

В следующих файлах обнаружен вредоносный код:
1d8cd9.exe - Worm.Win32.FlyStudio.cc
autorun.inf - Worm.Win32.AutoRun.rxx
bcqr00005.dat - Worm.Win32.AutoRun.rxx
bcqr00006.dat - Worm.Win32.AutoRun.rxx


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#13 OFF   s-vaciliev

s-vaciliev

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 14 Май 2019 - 15:50

Все сделал как просили во вложении

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   33,89К   скачиваний 1
  • Прикрепленный файл  FRST.txt   24,66К   скачиваний 1

  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 927

Отправлено 14 Май 2019 - 15:55

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#15 OFF   s-vaciliev

s-vaciliev

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 15 Май 2019 - 10:28

Fixlog во вложении

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   1,23К   скачиваний 1

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных