Перейти к содержанию

Все файлы стали *.cry

Kolya123
 Share

Рекомендуемые сообщения

Mark D. Pearlstone Мудрец

Mark D. Pearlstone

Опубликовано
Опубликовано

Порядок оформления запроса о помощи http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

выполните правила

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

вероятнее всего, восстановить файлы не получится без оплаты.

Куда выложить зашифрованый файл?

можете сюда прикрепить.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

smarterpower

 settings manager

 

удалите через Установку программ

 

 

Выполните скрипт в AVZ







begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\suptab\windowssupportdll32.dll','');
QuarantineFile('C:\Program Files\suptab\search~2.dll','');
QuarantineFile('C:\Program Files\suptab\search~1.dll','');
QuarantineFile('C:\Program Files\suptab\dpinterface32.dll','');
QuarantineFile('C:\Users\Коля\appdata\roaming\update~1\update~1\update~1.exe','');
QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
QuarantineFile('C:\Users\EE57~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
QuarantineFile('C:\Program Files\SupTab\SupTab.dll','');
QuarantineFile('c:\program files\settings manager\smdmf\x64\sysapcrt.dll','');
QuarantineFile('C:\sitenav\uppl.exe','');
QuarantineFile('C:\sitenav\newpl.exe','');
QuarantineFile('C:\Users\Коля\AppData\Roaming\system app\loader.exe','');
QuarantineFile('C:\Users\Коля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemAutorun.exe','');
QuarantineFile('C:\Users\EE57~1\AppData\Local\Linkey\IEEXTE~1\iedll.dll','');
QuarantineFile('C:\Program Files\Settings Manager\smdmf\sysapcrt.dll','');
SetServiceStart('{5eeb83d0-96ea-4249-942c-beead6847053}w', 4);
DeleteService('{5eeb83d0-96ea-4249-942c-beead6847053}w');
QuarantineFile('C:\Program Files\Settings Manager\smdmf\smdmfmgrc2.cfg','');
SetServiceStart('F06DEFF2-5B9C-490D-910F-35D3A9119622', 4);
DeleteService('F06DEFF2-5B9C-490D-910F-35D3A9119622');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
QuarantineFile('C:\Program Files\SmarterPower\bin\utilSmarterPower.exe','');
QuarantineFile('C:\Program Files\SmarterPower\updateSmarterPower.exe','');
QuarantineFile('C:\Program Files\Settings Manager\smdmf\SmdmFService.exe','');
SetServiceStart('Util SmarterPower', 4);
DeleteService('Util SmarterPower');
SetServiceStart('Update SmarterPower', 4);
DeleteService('Update SmarterPower');
SetServiceStart('SmdmFService', 4);
DeleteService('SmdmFService');
SetServiceStart('IePluginServices', 4);
DeleteService('IePluginServices');
QuarantineFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}w.sys','');
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');
TerminateProcessByName('c:\sitenav\newpl.exe');
QuarantineFile('c:\sitenav\newpl.exe','');
TerminateProcessByName('c:\program files\suptab\loader32.exe');
QuarantineFile('c:\program files\suptab\loader32.exe','');
TerminateProcessByName('c:\program files\suptab\hpui.exe');
QuarantineFile('c:\program files\suptab\hpui.exe','');
DeleteFile('c:\program files\suptab\hpui.exe','32');
DeleteFile('c:\program files\suptab\loader32.exe','32');
DeleteFile('c:\sitenav\newpl.exe','32');
DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}w.sys','32');
DeleteFile('C:\Program Files\Settings Manager\smdmf\SmdmFService.exe','32');
DeleteFile('C:\Program Files\SmarterPower\updateSmarterPower.exe','32');
DeleteFile('C:\Program Files\SmarterPower\bin\utilSmarterPower.exe','32');
DeleteFile('C:\Program Files\Settings Manager\smdmf\smdmfmgrc2.cfg','32');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
DeleteFile('C:\Program Files\Settings Manager\smdmf\sysapcrt.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
DeleteFile('C:\Users\EE57~1\AppData\Local\Linkey\IEEXTE~1\iedll.dll','32');
DeleteFile('C:\Users\Коля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemAutorun.exe','32');
DeleteFile('C:\Users\Коля\AppData\Roaming\minecrafting.url','32');
DeleteFile('C:\Users\Коля\AppData\Roaming\system app\loader.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderLocker');
DeleteFile('C:\sitenav\newpl.exe','32');
DeleteFile('C:\sitenav\uppl.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','newpl');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','plgi');
DeleteFile('c:\program files\settings manager\smdmf\x64\sysapcrt.dll','32');
DeleteFile('C:\Program Files\SupTab\SupTab.dll','32');
DeleteFile('C:\Users\EE57~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','32');
DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','32');
DeleteFile('C:\Users\Коля\appdata\roaming\update~1\update~1\update~1.exe','32');
DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32');
DeleteFile('C:\Program Files\suptab\search~1.dll','32');
DeleteFile('C:\Program Files\suptab\search~2.dll','32');
DeleteFile('C:\Program Files\suptab\windowssupportdll32.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Выполните скрипт в AVZ









begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог полного сканирования МВАМ

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Dimonovic
      [РЕШЕНО] стали приходить уведомления от касперского что на пк вирус, но при полной проверке показывает что ничего нету
      От Dimonovic
      стали приходить уведомления от касперского что на пк вирус, но при полной проверке показывает что ничего нету
      CollectionLog-2024.11.30-21.42.zip
    • Alex2088
      помогите расшифровать файлы
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • KZMZ
      [РЕШЕНО] на сервере 2008 х32 сама по себе стала включатся учетка гость
      От KZMZ
      на мой документах стоят не понятный файл который не удаляется
      вот логи с AVZ5 и FRST
      Addition.txt avz_log.txt FRST.txt
    • Magerattor J.
      [РЕШЕНО] Стала сильно загружаться система, возможно подхватил майнер
      От Magerattor J.
      Сегодня после загрузки программы сама открывалась командная строка и пк стал сильно зависать. В диспетчере задач, при открытии, на секунду видна загрузка процессора под 80% и выше, после чего она спадает, но если долго бездействовать, то нагрузка вновь возрастет до 50+ процентов. С помощью доктора веба проверял, ничего не нашел, однако в самом диспетчере подозрительно много одних и тех же служб svhost waxp и др. Уже пытался откатить до последнего сохраненного образа, что не дало результата, ибо майнер снова открыл командную строку. Пытался переустановить виндовс, с последующими мучениями на драйвера с интернетом(судя по тому, что загрузка цп все еще идет при открытии диспетчера под 80%, то это не помогло). в безопасном режиме при открытии диспетчера никакой нагрузки в 80% не наблюдается.  

      CollectionLog-2024.09.29-21.18.zip
    • skyinfire
      Куча файлов, даже фильмов, переименована в *.Bpant
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...