Александр Киров 0 Опубликовано 22 сентября, 2016 Share Опубликовано 22 сентября, 2016 (изменено) Добрый день! Нужно как то расшифровать файлы. Прошёлся Kaspersky Removal Virus Tool. Нашёл и удалил все гадости. А файлы остались зашифрованы. Сможете помочь? Программой Farbar Recovery Scan Tool выполнил сканирование. Результаты во вложении. В файле READMI1.txt содержится текст от злоумышленников и указан код. Пример нескольких шифрованных файлов также во вложении в zip архиве. p.s. добавил образ автозапуска из зашифрованной системы и результаты Autologger шифрованные файлы.zip Addition.txt FRST.txt README1.txt CollectionLog-2016.09.22-14.33.zip PC_2016-09-22_14-40-30.7z Изменено 22 сентября, 2016 пользователем Александр Киров Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 22 сентября, 2016 Share Опубликовано 22 сентября, 2016 Здравствуйте! Начните с логов по правилам: Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
Александр Киров 0 Опубликовано 22 сентября, 2016 Автор Share Опубликовано 22 сентября, 2016 Здравствуйте! Начните с логов по правилам: Порядок оформления запроса о помощи Готово. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 22 сентября, 2016 Share Опубликовано 22 сентября, 2016 На момент заражения в KES эта защита была включена? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', ''); QuarantineFile('J:\autorun.inf', ''); DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на сообщение Поделиться на другие сайты
Александр Киров 0 Опубликовано 27 сентября, 2016 Автор Share Опубликовано 27 сентября, 2016 (изменено) На момент заражения в KES эта защита была включена? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', ''); QuarantineFile('J:\autorun.inf', ''); DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. На момент заражения стоял другой антивирус. Скрипты выполнил. Файл quarantine.zip отправил на указанный адрес. Номер KLAN-5082915783. Логи сформировал повторно по правилам. Текст письма: Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected. С уважением, Лаборатория Касперского CollectionLog-2016.09.27-10.20.zip report2.log Изменено 27 сентября, 2016 пользователем Александр Киров Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 27 сентября, 2016 Share Опубликовано 27 сентября, 2016 Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти