Перейти к содержанию

Диск D зашифрован *CRY

1Влад1
 Share

Рекомендуемые сообщения

1Влад1 Новичок

1Влад1

Опубликовано
Опубликовано

Привет всем, помогите решить проблему. Ко всем файлам добавилось расширение *CRY. На рабочем столе появился ярлык  "Ваш консультант". Как расшифровать файлы на диске D? Лог с AutoLogger прикреплен ниже.

CollectionLog-2014.09.17-21.50.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\ShopperPro\ShopperPro.exe','');
QuarantineFile('C:\Program Files\ShopperPro\updater.exe','');
QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js','');
QuarantineFile('C:\Users\Ксюша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemAutorun.exe','');
QuarantineFile('C:\Users\Ксюша\AppData\Roaming\system app\loader.exe','');
QuarantineFile('C:\Program Files\ShopperPro\JSDriver\1.37.0.202\jsdrv.sys','');
DeleteService('SPDRIVER_1.37.0.202');
DeleteFile('C:\Program Files\ShopperPro\JSDriver\1.37.0.202\jsdrv.sys','32');
DeleteFile('C:\Users\Ксюша\AppData\Roaming\system app\loader.exe','32');
DeleteFile('C:\Users\Ксюша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemAutorun.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderLocker');
DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32');
DeleteFile('C:\Program Files\ShopperPro\updater.exe','32');
DeleteFile('C:\Program Files\ShopperPro\ShopperPro.exe','32');
DeleteFile('C:\Windows\system32\Tasks\ShopperPro','32');
DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','32');
Delete-File('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_3537303635383538352d3437415a556c2a3223346c41','32');
DeleteFile('C:\Windows\system32\Tasks\SPDriver','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhome.vi-view.com/?type=hp&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dfd3c6aeb9cee669d1ddb6c8dd9ae3a7&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dfd3c6aeb9cee669d1ddb6c8dd9ae3a7&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?win=141&clid=2151455
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhome.vi-view.com/?type=hp&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://myhome.vi-view.com/?type=hp&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dfd3c6aeb9cee669d1ddb6c8dd9ae3a7&text=

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • madlab
      Зашифрованы диски
      От madlab
      На компьютере зашифрованы диски. В системе был установлен Kaspersky Small Office Security (сейчас он в системе не обнаруживается).
      При обращении к диску требуется ввести пароль.
      Системный диск не зашифрован. На нем встречаются файлы с расширением "ooo4ps".
      В архиве "UCPStorage.7z" есть зашифрованный (и, похоже, он же, но не зашифрованный) файл.
      Kaspersky Virus Removal Tool угроз не обнаружил.
      Есть ли возможность помочь?
      Спасибо.
      FRST.txt UCPStorage.7z
    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • rafikoff
      Что делать ? Зашифрованы/удалены все разделы двух дисков
      От rafikoff
      Здравствуйте , All
      Ко мне обратились знакомые моего друга.
      У них произошла большая неприятность с Windows. Был установлен лицензионный KIS.
      В последний день работы у них начал подтормаживать компьютер, и при последнем заходе - не принимал пароль от логина.
      Выключили - получили след ситуацию. Windows перестала загружаться.
      Загрузчик просит пароль. Вводишь любой пароль - пишет Missing operating system
      Загрузился с Win PE Strelec - Акронис и диспетчер задач пишет, что все разделы не отформатированы.
      GetDataBack написал файловая система не найдена.
      R-Studio тоже самое, но он видит файлы в куче без структуры.
      Что может быть причиной данной проблемы? 
      Что делать? для восстановления документов , часть находится на рабочем столе, часть на hdd.



    • Garand
      Зашифровали файли расширением oo4ps и диски Bitlocker
      От Garand
      Windows Server 2012 R2
      Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.
      в текстовом файле указана почта для восстановления:
      Write to email: a38261062@gmail.com
       
      Во вложении текстовый файл и несколько зашифрованных файлов
      FILES_ENCRYPTED.rar Desktop.rar
    • lonoa
      Не видит Жесткие диски
      От lonoa
      Здравствуйте, у меня есть загрузочный диск kaspersky rescue disk 10, на двух ноутбуках Asus x550c и Toshiba satellite l850d не видит жесткие диски только загрузочные сектора. (На других компьютерах с этой же болванки все работает.) В настройках биоса защиты жесткого диска не стоит все отключено. Помогите разобраться. С Уважением Александр
×
×
  • Создать...