Антон1311 0 Опубликовано 10 октября, 2014 Share Опубликовано 10 октября, 2014 AES256 зашифровал все файлы музыку,фото,документы вообще все ,что имеет какаю-либо ценность.Проблема возникла сама собой...даже и не понял откуда это все взялось. В текстовом документе пишет: "Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления. Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл. Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты. TOR: https://www.torproject.org/ | Видео инструкция: url_1: http://y6kpyefykdvswxps.onion:4567/pay.html url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html HashKey: 00a13c5071159b44f51942fab60b4b21 ID: 16805" CollectionLog-2014.10.10-23.09.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 10 октября, 2014 Share Опубликовано 10 октября, 2014 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Антнон\appdata\roaming\mail.ru newgamest\api.dll',''); QuarantineFile('C:\Users\Антнон\AppData\Roaming\runWIN\Update.exe',''); QuarantineFile('C:\Users\Антнон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); QuarantineFile('C:\Users\Антнон\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe',''); QuarantineFile('C:\Program Files (x86)\AdvanceElite\bin\utilAdvanceElite.exe',''); QuarantineFile('C:\Program Files (x86)\AdvanceElite\updateAdvanceElite.exe',''); DeleteService('Util AdvanceElite'); DeleteService('Update AdvanceElite'); SetServiceStart('MobogenieService', 4); DeleteService('MobogenieService'); QuarantineFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys',''); TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogenieservice.exe'); QuarantineFile('c:\program files (x86)\mobogenie3\mobogenieservice.exe',''); DeleteFile('c:\program files (x86)\mobogenie3\mobogenieservice.exe','32'); DeleteFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys','32'); DeleteFile('C:\Program Files (x86)\AdvanceElite\updateAdvanceElite.exe','32'); DeleteFile('C:\Program Files (x86)\AdvanceElite\bin\utilAdvanceElite.exe','32'); DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32'); DeleteFile('C:\Users\Антнон\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32'); DeleteFile('C:\Users\Антнон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); DeleteFile('C:\Users\Антнон\AppData\Roaming\runWIN\Update.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt'); DeleteFile('C:\Users\Антнон\appdata\roaming\mail.ru newgamest\api.dll','32'); DeleteFileMask('C:\Users\Антнон\AppData\Roaming\runWIN', '*', true); DeleteDirectory('C:\Users\Антнон\AppData\Roaming\runWIN'); DeleteFileMask('C:\Users\Антнон\AppData\Roaming\Mail.RU NewGamesT', '*', true); DeleteDirectory('C:\Users\Антнон\AppData\Roaming\Mail.RU NewGamesT'); DeleteFileMask('C:\Users\Антнон\AppData\Roaming\Microsoft DB', '*', true); DeleteDirectory('C:\Users\Антнон\AppData\Roaming\Microsoft DB'); DeleteFileMask('C:\Users\Антнон\AppData\Roaming\GemWare', '*', true); DeleteDirectory('C:\Users\Антнон\AppData\Roaming\GemWare'); DeleteFileMask('C:\Users\Антнон\AppData\Roaming\Browsers', '*', true); DeleteDirectory('C:\Users\Антнон\AppData\Roaming\Browsers'); DeleteFileMask('C:\Users\Антнон\AppData\Roaming\ICL', '*', true); DeleteDirectory('C:\Users\Антнон\AppData\Roaming\ICL'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Сделайте лог полного сканирования МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
Антон1311 0 Опубликовано 11 октября, 2014 Автор Share Опубликовано 11 октября, 2014 При попытке выполнить скрипт " ошибка begin expected в позиции 1:2" Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 11 октября, 2014 Share Опубликовано 11 октября, 2014 Целиком скрипт скопировали? Цитата Ссылка на сообщение Поделиться на другие сайты
Антон1311 0 Опубликовано 11 октября, 2014 Автор Share Опубликовано 11 октября, 2014 Целиком скрипт скопировали? да Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 11 октября, 2014 Share Опубликовано 11 октября, 2014 Сомнительно. Скрипт без ошибок Цитата Ссылка на сообщение Поделиться на другие сайты
Антон1311 0 Опубликовано 11 октября, 2014 Автор Share Опубликовано 11 октября, 2014 Сомнительно. Скрипт без ошибок Выскакивают ошибки в позиции 1:19 , 1:3 и т.д. Делаю вроде все верно Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 11 октября, 2014 Share Опубликовано 11 октября, 2014 Еще раз для непонятливых - скрипт без ошибок. Копировать из окошка код не умеете? Начиная с begin и заканчивая end. Цитата Ссылка на сообщение Поделиться на другие сайты
Антон1311 0 Опубликовано 12 октября, 2014 Автор Share Опубликовано 12 октября, 2014 После изменения исходного кода все получилось. Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинетаhttps://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.quarantine.zipЭтот файл повреждён.С уважением, Лаборатория Касперского KLAN-2050617787 Новые логи делать по исправленному скрипту? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 12 октября, 2014 Share Опубликовано 12 октября, 2014 Делайте новые логи Автологгером и лог MBAM. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 12 октября, 2014 Share Опубликовано 12 октября, 2014 После изменения исходного кода все получилось. Что ж Вы там такого наизменяли, если карантин оказался поврежден??? Что-то да должно было попасть Цитата Ссылка на сообщение Поделиться на другие сайты
Антон1311 0 Опубликовано 12 октября, 2014 Автор Share Опубликовано 12 октября, 2014 это все? Документ сохраняется.Дальше все сделал ,как сказали! CollectionLog-2014.10.12-22.29.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 12 октября, 2014 Share Опубликовано 12 октября, 2014 А лог MBAM? Цитата Ссылка на сообщение Поделиться на другие сайты
Антон1311 0 Опубликовано 14 октября, 2014 Автор Share Опубликовано 14 октября, 2014 думаю это чем нибудь поможет i'm sorry...не тот файл. Щас отсканирую и скину 7.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Антон1311 0 Опубликовано 15 октября, 2014 Автор Share Опубликовано 15 октября, 2014 вот верный log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.