Перейти к содержимому


Фотография
- - - - -

Словил шифровальщика файлов

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 4

#1 OFF   Artyom07

Artyom07

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 30 Ноябрь 2019 - 10:36

Здравствуйте! Словил шифровальщика 29.11.19, прикрепляю лог. Подскажите есть шансы на успех?

Прикрепленные файлы


  • 0

#2 OFF   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 972

Отправлено 30 Ноябрь 2019 - 13:28

Расширение файлов какое? Прикрепите записку с условиями.

 

 
Выполните скрипт в AVZ из папки Autologger (Файл - Выполнить скрипт):
 
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem','x32');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
 
Компьютер перезагрузится
 
После перезагрузки, выполните такой скрипт:
 
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
 
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Прикрепите к следующему сообщению свежий CollectionLog.

  • 0

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019


#3 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 796

Награды

           

Отправлено 30 Ноябрь 2019 - 13:32


Расширение файлов какое? Прикрепите записку с условиями
Не иначе как .crypted0007 и шансов никаких.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#4 OFF   Artyom07

Artyom07

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 30 Ноябрь 2019 - 14:56

Расширение .crypted000007


Скрипты выполнил, новый лог прикреплён.


Прикрепляю файлы сканирования с программы Farbar Recovery.

 

//Удалил карантин.

Прикрепленные файлы


Сообщение отредактировал akoK: 30 Ноябрь 2019 - 15:50

  • 0

#5 OFF   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 972

Отправлено 30 Ноябрь 2019 - 15:55

Расширение .crypted000007


Да, шансов в обозримом будущем на расшифровку нет. Где еще запросили помощь?
  • 0

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных