Перейти к содержанию

Зашифровались все файлы после открытия почты *.no_more_ransom.


Рекомендуемые сообщения

Зашифровались все файлы после открытия почты *.no_more_ransom.

 

Прошел вот эту процедуру http://prntscr.com/dllhyf


На момент зарожения антивирус касперского был установлен но почему то был выключен, был установлен internet security. Пользователь сам что то намудрил, я его удалил и поставил kaspersky endpoint security 2010 как на всех компьютерах.

 

Прикрепляю реадми и 3 фала для примера

 

 


Прочитал что еще нужно прикрепить лицензию на каспера, но у нас ключ на 38 компьютеров, не нашел как его можно прикрепить

FRST.txt

Addition.txt

на отправку.rar

Изменено пользователем Алексей Ганин
Ссылка на комментарий
Поделиться на другие сайты

Автоматический сбощик логов

Да после того как на этом компьютере сработал этот вирус, я снял жесткий диск и проверил его на вирусы на другом компьютере, он их нашел и удалил 9 киких то объектов

CollectionLog-2016.12.20-12.24.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
2016-12-19 16:11 - 2016-12-19 16:11 - 06220854 _____ C:\Users\пк\AppData\Roaming\DF4040DBDF4040DB.bmp
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README9.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README8.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README7.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README6.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README5.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README4.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README3.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README2.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README10.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README1.txt
2016-12-19 16:10 - 2016-12-19 16:10 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-12-19 16:10 - 2016-12-19 16:10 - 00000000 __SHD C:\ProgramData\System32
2016-12-19 15:00 - 2016-12-19 18:36 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-19 15:00 - 2016-12-19 18:36 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • 3 weeks later...

@serxan91, hello,

 

Please, do not post in someone's topoc. Create your own (based on rules of this thread).

Download Autologger, extract it to Desktop and run.

At the end of it work you'll get a zip file named CollectionLog-yyyy.mm.dd-hh.mm.zip, where yyyy.mm.dd-hh.mm - date and time. For example: CollectionLog-2016.07.14-21.04.zip

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Sorry for that.I dont know this issue.Thanks for help.I understand that I must create new topic.                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • igorX
      От igorX
      Ноут зашифровали.
      KRD прочистил, отчет в файле Kasper.
      Логи прилагаю.
      Помогите почистить до конца.
       
      PS: От WannaCry еще дешифровальщик не появился?
      CollectionLog-2017.07.03-17.49.zip
      kasper.txt
    • KоnsтантиH
      От KоnsтантиH
      Доброго дня, помогите пожалуйста расшифровать документы.
      Они у нас в единственном экземпляре.
      Пришло письмо якобы от сбербанка, а нам в ближайший месяц как раз менять зарплатные карты надо, открыли ссылку и вот тут началось самое интересное,
      комп затупил на 2 минуты, после чего все хорошо открывалось еще минут 15, потом все файлы стали вида: "НАБОРСИМВОЛОВ.no_more_ransom"
      Документы очень важны, что нам дальше делать чтобы не потерять их ? 
      CollectionLog-2017.06.21-11.40.zip
    • terentev7
      От terentev7
      Добрый день. В середине прошлой недели на компьютер проник вирус, который зашифровал все документы на компьютере. Файлы получили новые названия, оканчивающиеся на ".no_more_ransom". Можно ли как-то восстановить документы?
       
      Требования злоумышленников и логи в прикреплённых файлах. Пример зашифрованного фала не прикрепился.
      README10.txt
      CollectionLog-2017.05.02-09.31.zip
    • bnw
      От bnw
      Здравствуйте!
       
      Открыли письмо в почте от сбербанка, в итоге все файл зашифрованы с расширением *.no_more_ransom, на рабочем столе файл readme следующего содержания:
       
      Вирусы почистила с помощью Kasperky Rescue Disk 10.
      Как быть с зашифрованными файлами? 
      CollectionLog-2017.04.23-14.33.zip
    • alexsmag
      От alexsmag
      Здравствуйте. Поймали вирус,файлы зашифрованы с расширением *.no_more_ransom. Была произведена проверка Dr. Web CureIt,KRT, Malwarebytes. Спасибо!
      CollectionLog-2017.04.12-16.34.zip
×
×
  • Создать...