Bandos Опубликовано 12 апреля, 2016 Опубликовано 12 апреля, 2016 (изменено) Привет знатокам. У бухгалтера появилась проблема. Клятвенно заявляет, что ничего не качала, на сайты пошлые не ходила. На рабочем столе чёрный экран и красная надпись гласит: "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах Readme.txt, которые можно найти на любом из дисков". всё сделано было как описано в топике http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] ничего пока не удалял, комп от локальной сети отключил. текст в readme Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: не записал на электронный адрес Kudryavtsev.Panfil@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае их изменения расшифровка станет невозможной ни при каких условиях. Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!), воспользуйтесь резервным адресом. Его можно узнать двумя способами: 1) Скачайте и установите Tor Browser по ссылке: https://www.torproje...ad-easy.html.en В адресной строке Tor Browser-а введите адрес: http://cryptorzimsbfbkx.onion/ и нажмите Enter. Загрузится страница с резервными email-адресами. 2) В любом браузере перейдите по одному из адресов: http://cryptorzimsbfbkx.onion.to/ http://cryptorzimsbfbkx.onion.cab/ CollectionLog-2016.04.12-14.23.zip Изменено 12 апреля, 2016 пользователем Bandos
Sandor Опубликовано 12 апреля, 2016 Опубликовано 12 апреля, 2016 Здравствуйте! ничего не качала, на сайты пошлые не ходилаДостаточно было запустить вложение из письма. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\Татьяна\appdata\local\icqcsoft\33a06e03.exe'); TerminateProcessByName('c:\programdata\windows\csrss.exe'); TerminateProcessByName('c:\programdata\drivers\csrss.exe'); QuarantineFile('C:\Users\Татьяна\AppData\Local\Icqcsoft\kgsrolxm.dll',''); QuarantineFile('C:\Users\Татьяна\AppData\Local\Oqmics\ldsgajjp.dll',''); QuarantineFile('c:\users\Татьяна\appdata\local\icqcsoft\33a06e03.exe',''); QuarantineFile('c:\programdata\windows\csrss.exe', ''); QuarantineFile('c:\programdata\drivers\csrss.exe', ''); QuarantineFileF('C:\Users\Татьяна\AppData\Local\Icqcsoft', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('C:\Users\Татьяна\AppData\Local\Oqmics', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('c:\users\Татьяна\appdata\local\icqcsoft\33a06e03.exe','32'); DeleteFile('C:\Users\Татьяна\AppData\Local\Oqmics\ldsgajjp.dll','32'); DeleteFile('C:\Users\Татьяна\AppData\Local\Icqcsoft\kgsrolxm.dll','32'); DeleteFile('c:\programdata\windows\csrss.exe', '32'); DeleteFile('c:\programdata\drivers\csrss.exe', '32'); DeleteFileMask('C:\Users\Татьяна\AppData\Local\Icqcsoft', '*', true); DeleteFileMask('C:\Users\Татьяна\AppData\Local\Oqmics', '*', true); DeleteDirectory('C:\Users\Татьяна\AppData\Local\Icqcsoft'); DeleteDirectory('C:\Users\Татьяна\AppData\Local\Oqmics'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Icqcsoft'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Oqmics'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YXDPack'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Bandos Опубликовано 12 апреля, 2016 Автор Опубликовано 12 апреля, 2016 повторные логи CollectionLog-2016.04.12-15.24.zip
Sandor Опубликовано 12 апреля, 2016 Опубликовано 12 апреля, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Bandos Опубликовано 12 апреля, 2016 Автор Опубликовано 12 апреля, 2016 есть Addition.txt FRST.txt Shortcut.txt
Sandor Опубликовано 12 апреля, 2016 Опубликовано 12 апреля, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: 2016-04-12 11:32 - 2016-04-12 11:33 - 00000000 ____D C:\Users\Татьяна\AppData\Local\Icqcsoft 2016-04-12 11:32 - 2016-04-12 11:32 - 00000000 ____D C:\Users\Татьяна\AppData\Local\Oqmics 2016-04-12 11:31 - 2016-04-12 11:31 - 03932214 _____ C:\Users\Татьяна\AppData\Roaming\FFAF6F80FFAF6F80.bmp 2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README9.txt 2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README8.txt 2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README7.txt 2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README6.txt 2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README5.txt 2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README4.txt 2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README3.txt 2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README2.txt 2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README10.txt 2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README1.txt 2016-04-12 11:10 - 2016-04-12 15:12 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-04-12 11:10 - 2016-04-12 15:12 - 00000000 __SHD C:\ProgramData\Windows C:\Users\Татьяна\AppData\Local\Temp\33A06E03.exe C:\Users\Татьяна\AppData\Local\Temp\6632AA71.exe C:\Users\Татьяна\AppData\Local\Temp\Setup.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти