Перейти к содержанию

Опять вирус. Зашифрованные все файлы.

Александр_Васильевич

Автор Александр_Васильевич
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\User\appdata\roaming\svchost.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','');
QuarantineFile('C:\Windows\system32\drivers\{c42edeec-c173-4c88-9a7f-6934088af032}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\storegidfilter.sys','');
DeleteService('{c42edeec-c173-4c88-9a7f-6934088af032}w64');
DeleteService('storegidfilter');
DeleteFile('C:\Windows\system32\drivers\storegidfilter.sys','32');
DeleteFile('C:\Windows\system32\drivers\{c42edeec-c173-4c88-9a7f-6934088af032}w64.sys','32');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','32');
DeleteFile('C:\Users\User\AppData\Local\Amigo\Application\amigo.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
DeleteFile('C:\Windows\system32\Tasks\appdistrib','64');
DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
DeleteFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','32');
DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','64');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64');
DeleteFile('C:\Users\User\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\User\appdata\roaming\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • m1ghtybtw
      не работает интернет из-за вируса
      Автор m1ghtybtw
      Приветствую, сегодня с момента включения пк не работает интернет, в дом.ру сказали, что проблема со стороны моего пк, запустил dr.web cureit и выдал вирус, после в планировщике задач нашёл этот файл в папке utorrent, на пк у меня qbittorrent, найти я папку с вирусным файлом не смог, в ласт активити идно, что этот вирус запустился сразу после включения пк.




      CollectionLog-2025.10.11-20.01.zip
    • serenka103
      [РЕШЕНО] Переименовались службы из за вирусов!
      Автор serenka103
      Здравствуйте! Возникла проблема, у меня из за вирусов не работает центр обновления Windows, также переименовались службы: wuauserv_bkp, BITS_bkp, dosvc.bkp UsoSvc.bkp и WasSMedicSvc_bkp. Что мне делать?
      CollectionLog-2025.10.10-12.31.zip
    • u66ivashka
      Файлы зашифрованы
      Автор u66ivashka
      В общем, вот что у меня на рабочем столе, файлов на нём нет, только эти два txt. Также на фото видно, что находится в дисках. К самим файлам я могу попасть через их расположение, они живые. Можно ли как нибудь все расшифровать? Антивирусом все почистил 



    • Akira
      Не получается удалить NET:MINERS.URL
      Автор Akira
      Здравствуйте! не получается удалить майнер NET:MINERS.URL. Dr.web так же не смог удалить
    • Vyatka
      [РЕШЕНО] Майнер и возможно руткит
      Автор Vyatka
      Добрый день. На ноутбуке заметил просадку фпс в играх.  Заметил нагрузку на процессор (спадает спустя секунду), вентиляторы вообще не крутились.
      Переустановил систему. После переустановки нагрузка на процессор осталась и вентиляторы начали крутить в отсечку.
      Также судя по всему в системе прописан скрытый администратор.
      После неудачных попыток вернуть контроль над ноутбуком, решил проверить рабочий пк (пишу с него). На рабочем пк обнаружилась та же проблема.
      Логи прикрепляю.
      CollectionLog-2025.10.03-15.40.zip
×
×
  • Создать...