Перейти к содержимому


Фотография
- - - - -

Вирус-шифровальшик crypted000007

.crypted000007

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 2

#1 OFF   Yafet

Yafet

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 10 Июль 2019 - 19:10

Доброго времени суток! 
На работе бухгалтер поймала на комп вирус-шифровальщик, открыв какое-то сообщение в почте. Зашифровало кучу файлов. Но есть один особенно важный. Можно ли расшифровать хотя бы его? Или хотя бы почистить комп от вируса?

Архив с логами прилагается. Заранее благодарен!

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 529

Награды

           

Отправлено 10 Июль 2019 - 19:35

Здравствуйте.

Расшифровки нет. Только чистка от вирусов.

Выполните скрипт в AVZ из папки Autologger
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\programdata\resources\svchost.exe');
 TerminateProcessByName('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 QuarantineFile('c:\programdata\services\csrss.exe','');
 QuarantineFile('c:\programdata\drivers\csrss.exe','');
 QuarantineFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE','');
 QuarantineFile('c:\programdata\resources\svchost.exe','');
 DeleteFile('c:\programdata\resources\svchost.exe','32');
 DeleteFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE','32');
 DeleteFile('c:\programdata\drivers\csrss.exe','32');
 DeleteFile('c:\programdata\services\csrss.exe','32');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MinerGateGui','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hh.exe','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MinerGateGui','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hh.exe','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.in...s.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   Yafet

Yafet

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 10 Июль 2019 - 19:58

Большое Вам спасибо!


  • 0





Темы с аналогичными тегами: .crypted000007

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных