Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Имею аналогичную проблему с шифровальщиком

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 9

#1 OFF   pilot59

pilot59

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 08 Май 2019 - 13:25

Добрый день. Имею аналогичную проблему.
Во вложении Образцы, frst и CollectionLog
Помогите пожалуйста.

[mod='thyrex']Перенесено из темы https://forum.kasper...showtopic=62749[/mod]

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 477

Награды

           

Отправлено 08 Май 2019 - 14:35

Выполните скрипт в AVZ из папки Autologger
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\winhlp64.exe','');
 DeleteFile('C:\Windows\winhlp64.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.in...s.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   pilot59

pilot59

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 08 Май 2019 - 16:03

Результат загрузки Файл сохранён как 190508_125326_quarantine_5cd2d14650c25.zip Размер файла 2437486 MD5 74973842bf24848a690a6b22ba9d2f95 Файл закачан, спасибо!

autologger

Прикрепленные файлы


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 477

Награды

           

Отправлено 08 Май 2019 - 16:29

Эти настройки в групповых политиках

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\DRM <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION

сами делали?

C:\Users\prjcastle\Desktop\Desktop_Locker.exe - эта программа Вам известна?

Новые логи Farbar сделайте.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   pilot59

pilot59

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 08 Май 2019 - 16:51

Нет, настройки эти вроде не трогал. В таком виде вижу их в первые.
Desktop_Locker - мне не известен. Видимо через этого пользователя (prjcastle) всё и пришло из-за ненадежного пароля.

Логи Farbar прилагаю.

Уточню. У меня не стоит задача навести порядок и всё вылечить. Мне нужно расшифровать несколько файлов.   ~800мб - SQL База. Дальше я могу всё переустановить заново на чистый диск.
 

Прикрепленные файлы

  • Прикрепленный файл  frst2.zip   33,53К   скачиваний 1

  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 477

Награды

           

Отправлено 08 Май 2019 - 17:32

Т.е. система все равно будет переустанавливаться и чистка мусора не нужна?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   pilot59

pilot59

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 08 Май 2019 - 17:37

Да, чистка мусора не нужна. Нужно только спасти базу SQL. 


  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 477

Награды

           

Отправлено 08 Май 2019 - 18:20

Проверьте ЛС
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   pilot59

pilot59

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 09 Май 2019 - 09:20


ВСЁ расшифровано без ошибок. Данные целы. Ошибок 0.
Огромное спасибо. 

  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 477

Награды

           

Отправлено 18 Май 2019 - 02:39

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".


  • 1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных