Александр Киров Опубликовано 22 сентября, 2016 Share Опубликовано 22 сентября, 2016 (изменено) Добрый день! Нужно как то расшифровать файлы. Прошёлся Kaspersky Removal Virus Tool. Нашёл и удалил все гадости. А файлы остались зашифрованы. Сможете помочь? Программой Farbar Recovery Scan Tool выполнил сканирование. Результаты во вложении. В файле READMI1.txt содержится текст от злоумышленников и указан код. Пример нескольких шифрованных файлов также во вложении в zip архиве. p.s. добавил образ автозапуска из зашифрованной системы и результаты Autologger шифрованные файлы.zip Addition.txt FRST.txt README1.txt CollectionLog-2016.09.22-14.33.zip PC_2016-09-22_14-40-30.7z Изменено 22 сентября, 2016 пользователем Александр Киров Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 22 сентября, 2016 Share Опубликовано 22 сентября, 2016 Здравствуйте! Начните с логов по правилам: Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Александр Киров Опубликовано 22 сентября, 2016 Автор Share Опубликовано 22 сентября, 2016 Здравствуйте! Начните с логов по правилам: Порядок оформления запроса о помощи Готово. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 22 сентября, 2016 Share Опубликовано 22 сентября, 2016 На момент заражения в KES эта защита была включена? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', ''); QuarantineFile('J:\autorun.inf', ''); DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Александр Киров Опубликовано 27 сентября, 2016 Автор Share Опубликовано 27 сентября, 2016 (изменено) На момент заражения в KES эта защита была включена? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', ''); QuarantineFile('J:\autorun.inf', ''); DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. На момент заражения стоял другой антивирус. Скрипты выполнил. Файл quarantine.zip отправил на указанный адрес. Номер KLAN-5082915783. Логи сформировал повторно по правилам. Текст письма: Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected. С уважением, Лаборатория Касперского CollectionLog-2016.09.27-10.20.zip report2.log Изменено 27 сентября, 2016 пользователем Александр Киров Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 сентября, 2016 Share Опубликовано 27 сентября, 2016 Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти