Перейти к содержанию
Конкурс на лучшую идею по развитию продукта Kaspersky для Android и/или iOS

Проблема с вирусом шифровальщиком AES256

Arturko
 Share

Рекомендуемые сообщения

Arturko Новичок

Arturko

Опубликовано
Опубликовано
Принесли ноутбук с этой проблемой, я обезвредил вирус, но нужно восстановить файлы которые он зашифровал :( 

Спасибо за помощь!

CollectionLog-2014.10.15-09.13.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

удалите папки

C:\Documents and Settings\User\Application Data\Mail.RU NewGamesT
2014-09-30 06:55:00 ----D---- C:\Documents and Settings\User\Application Data\tor
2014-09-30 06:54:53 ----D---- C:\Documents and Settings\User\Application Data\Microsoft DB
2014-09-29 20:53:22 ----D---- C:\Documents and Settings\User\Application Data\GemWare
2014-09-29 20:51:24 ----D---- C:\Documents and Settings\User\Application Data\Tor Project
2014-09-29 20:51:09 ----D---- C:\Documents and Settings\User\Application Data\ICL
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Program Files\Opera\launcher.exe.bat','');
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','');
 QuarantineFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','');
 DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Program Files\Opera\launcher.exe.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1
 
Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
>> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы
 
Сделайте новые логи по правилам.
 

Приложите лог FixerBro

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647404

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


но я не имею активационного ключа от продуктов Касперского 

попробуйте создать Kaspersky Account

https://my.kaspersky.com/?logonSessionData=MyAccount&returnUrl=ru

Ссылка на комментарий
Поделиться на другие сайты
Arturko Новичок

Arturko

Опубликовано
  • Автор
Опубликовано

Ето прислали мне с Лаборатории Касперского

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 

chrome.exe.bat,

iexplore.exe.bat,

launcher.exe.bat

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

сделал лог AutoLogger

и

FixerBro

 

CollectionLog-2014.10.15-14.38.zip

FixerBro_20141015.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Сергей194
      Вирус шифровальщик, нет доступа к базе 1с
      От Сергей194
      Здравствуйте. Поймали шифровальщик, база 1с недоступна. работа предприятия заблокирована. Выручайте!
      Desktop.rar
    • Dmitryplss
      Вирус шифровальщик заменил расширения на Elpaco-team
      От Dmitryplss
      Добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С, в локальной сети так же зашифрованные файлы
      File.rar Addition.txt FRST.txt
    • DenSyaoLin
      Вирус шифровальщик заменил расширения на Elpaco-team
      От DenSyaoLin
      добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С нет доступа к бэкапам и точкам восстановления. читал темы, и понимаю что дешифратора от этой гадости еще нет, хотелось бы надеяться на чудо и может вдруг что то получится. спасибо заранее
      по тому что уже сделал, выполнил проверку касперским, что то он нашел, удалил, а вот что нашел не подскажу, оставлял проверку на ночь.
      необходимые файлы прикладываю
      Addition.txt Files.rar FRST.txt
    • Sqwerno
      Проблема с пк связанная с поражением вирусом
      От Sqwerno
      Добрый день. Сразу скажу, что логи и действия из статьи я выполнить чисто физически не могу, так как банально не могу войти в систему. Причины приведу ниже.
      Мой ноутбук, купленный с маркетплейса у каких то китайских производителей со сразу скачанной виндой потерпел "крушение " - я скачал вирус. На следующий день после скачивания программы я включаю ноутбук, жду пока загрузится система, и тут - он просто не загружается. Вечно загружает и все. Не стал унывать, зашел в среду восстановления и откатил через точку восстановления - благо она там была. Ждал около 4 часов, на что компьютер выдал ошибку - восстановление завершено безуспешно. После перезагрузки пк меня таки запустило в систему, на рабочем столе была ошибка того, что восстановления прошло с ошибкой. После минуты пребывания в ней вылез BSOD с ошибкой CRITICAL PROCESS DIED. Теперь так с каждой перезагрузкой. Пытался зайти в безопасный режим через горячую клавишу f8 и другие различные вариации - запускает обычную систему. Через среду восстановления - также. В командую строку также не могу зайти. Кроме сноса винды и восстановления через USB способов решения не вижу, но пока такой возможности нет, поэтому пишу это сообщение. Надеюсь, что вы сможете решить данную проблему!
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов
×
×
  • Создать...