Un13 Опубликовано 18 января, 2017 Опубликовано 18 января, 2017 Добрый день! У нас следующая проблема, в какойто момент все фалы на ПК стали зашифрованными с расширением "no_more_ransom". Каких либо писем или файлов в интернете вроде не открывали. Писем на почту с вымоганием, не получали. Как так получилось, остается загадкой (( Подскажите пожалуйста, что можно сделать, для восстановления файлов ? Addition.txt CollectionLog-2017.01.18-13.34.zip FRST.txt Shortcut.txt
Sandor Опубликовано 18 января, 2017 Опубликовано 18 января, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('AmmyyAdmin_1BD4'); StopService('4F96457F48EE9172'); QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{E26D24D1-5BB8-4A54-8941-CAF82C748DE3}.tmp', ''); QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{9B303034-985A-4749-B630-CE9EA1965F15}.tmp', ''); QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{A4474F53-9D39-4634-B2FB-4866B3806CE7}.tmp', ''); QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{F185358E-5788-4C3B-8D11-B9D2D6887483}.tmp', ''); QuarantineFile('C:\Windows\TEMP\693C0C0.sys', ''); QuarantineFile('C:\ProgramData\Windows\csrss.exe', ''); QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S4FRYBBD\nalogul4464.exe', ''); QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNDR46VH\NalogUL4472.exe', ''); QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A0ULHAM2\nalogul4462.exe', ''); QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CPH4J9XA\NalogUL4491.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "{685F9E01-C2E8-4B7E-8BC1-A8F5B4671ECB}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{8D97BCFA-7566-41F5-A3F6-D00F50FF5F0F}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{9CFCF4A3-6904-4B4E-9B29-0043F9BF17E6}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{C7ACB7C2-7AD4-49A5-A426-5ADDD196D01F}" /F', 0, 15000, true); DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{E26D24D1-5BB8-4A54-8941-CAF82C748DE3}.tmp', '32'); DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{9B303034-985A-4749-B630-CE9EA1965F15}.tmp', '32'); DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{A4474F53-9D39-4634-B2FB-4866B3806CE7}.tmp', '32'); DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{F185358E-5788-4C3B-8D11-B9D2D6887483}.tmp', '32'); DeleteFile('C:\Windows\TEMP\693C0C0.sys', '32'); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S4FRYBBD\nalogul4464.exe', '32'); DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNDR46VH\NalogUL4472.exe', '32'); DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A0ULHAM2\nalogul4462.exe', '32'); DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CPH4J9XA\NalogUL4491.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteService('4F96457F48EE9172'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Un13 Опубликовано 18 января, 2017 Автор Опубликовано 18 января, 2017 (изменено) Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.Антивирус Касперского проверил файлы.Вредоносные программы не найдены в файлах:quarantine.zipМы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ KLAN-5671527536] CollectionLog-2017.01.18-15.10.zip Изменено 18 января, 2017 пользователем Un13
Sandor Опубликовано 18 января, 2017 Опубликовано 18 января, 2017 Соберите и прикрепите свежие логи FRST.
Un13 Опубликовано 18 января, 2017 Автор Опубликовано 18 января, 2017 Соберите и прикрепите свежие логи FRST. Кстати, само тело вируса. Снес KIS, установленный после данного ЧП. Addition.txt CollectionLog-2017.01.18-15.10.zip FRST.txt Shortcut.txt
Sandor Опубликовано 18 января, 2017 Опубликовано 18 января, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: CHR HKU\S-1-5-21-1137010244-4147426479-2387351578-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR Extension: (Яндекс) - C:\Users\Бухгалтер\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkfblcbjfojmgagikhldeppgmgdpjkpl [2016-11-25] CHR Extension: (Яндекс) - C:\Users\Бухгалтер\AppData\Local\Google\Chrome\User Data\Default\Extensions\lgdnilodcpljomelbbnpgdogdbmclbni [2016-11-25] 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README9.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README8.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README7.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README6.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README5.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README4.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README3.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README2.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README10.txt 2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README1.txt 2017-01-16 09:25 - 2017-01-17 15:11 - 00000000 __SHD C:\Users\Все пользователи\Windows 2017-01-16 09:25 - 2017-01-17 15:11 - 00000000 __SHD C:\ProgramData\Windows Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
Un13 Опубликовано 18 января, 2017 Автор Опубликовано 18 января, 2017 (изменено) Fixlog.txt Изменено 19 января, 2017 пользователем Un13
Un13 Опубликовано 19 января, 2017 Автор Опубликовано 19 января, 2017 Какие еще нужны действия с нашей стороны ?
Sandor Опубликовано 19 января, 2017 Опубликовано 19 января, 2017 При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.
Un13 Опубликовано 19 января, 2017 Автор Опубликовано 19 января, 2017 При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Лицензии есть, 8 лет с вами работаем. Сейчас попробую. Спасибо.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти