Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

зашифровали важные файлы

ramazanhv7
 Поделиться

Рекомендуемые сообщения

ramazanhv7

ramazanhv7

Опубликовано
Опубликовано (изменено)

Секретарь нахрапом открыла почту с вирусом, в итоге почти все файлы зашифровались (музыка, фотографии и вся папка загрузки не пострадала). Во вложении письмо от мошенников, сам вирусный файл, зараженные файлы и файлы протоколов. Пробовали сделать восстановление системы (была включена), но в системе пошел полный сбой... Помогите если сможете, заранее спасибо.

CollectionLog-2016.10.25-15.13.zip

chto_s_faylami_1txt___0___messg.txt

Изменено пользователем mike 1
карантин в теме
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Айтбаева Зарина\Desktop\9824.exe', '');
 DeleteFile('C:\Users\Айтбаева Зарина\Desktop\9824.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aeebbdcefec');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

ramazanhv7

ramazanhv7

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Айтбаева Зарина\Desktop\9824.exe', '');
 DeleteFile('C:\Users\Айтбаева Зарина\Desktop\9824.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aeebbdcefec');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

KLAN-5241067932

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

quarantine (вкл. антивирус, забыл).zip,

quarantine(выкл. антивирус).zip

 

Вредоносный код в файлах не обнаружен.

KLAN-5241067932

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

quarantine (вкл. антивирус, забыл).zip,

quarantine(выкл. антивирус).zip

 

Вредоносный код в файлах не обнаружен.

Sandor

Sandor

Опубликовано
Опубликовано

Для повторной диагностики запустите снова Autologger

Ждем.
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyUsers\S-1-5-21-2207932260-1500493157-1403866482-1001\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2016-10-20 09:28 - 2016-10-20 09:28 - 00001371 _____ C:\Users\Айтбаева Зарина\Desktop\chto_s_faylami_1txt___9___messg.txt
2016-10-20 09:28 - 2016-10-20 09:28 - 00001371 _____ C:\Users\Айтбаева Зарина\Desktop\chto_s_faylami_1txt___4___messg.txt
2016-10-20 09:28 - 2016-10-20 09:28 - 00001371 _____ C:\Users\Айтбаева Зарина\Desktop\chto_s_faylami_1txt___0___messg.txt
Task: {30F65F05-88F8-4611-98ED-A03BD5F02927} - System32\Tasks\MailRuUpdater => C:\Users\Айтбаева Зарина\AppData\Local\Mail.Ru\MailRuUpdater.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...