Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

зашифровано NO_MORE_RANSOM

Stg
 Поделиться

Рекомендуемые сообщения

Stg

Stg

Опубликовано
Опубликовано

Добрый день, спасите пожалуйста!

Пришло на почту письмо от "Сбербанка" с вложенным архивом, попыталась посмотреть, что в архиве, только потом поняла, что жестоко лажанулась и теперь в полной попе по самые уши((( Пожалуйста, ПОМОГИТЕ!!!

Все файлы зашифрованы NO_MORE_RANSOM. Как восстановить файлы и отчистить ПК от вируса не представляю. ОС Windows 7 - 64

kmscom

kmscom

Опубликовано
Опубликовано

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


после этого ждите ответа Консультантов на вопрос

 

 


Как восстановить файлы и отчистить ПК от вируса
regist

regist

Опубликовано
Опубликовано (изменено)

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\common files\catalyst sdk aol\svmpid.exe');
 QuarantineFile('c:\program files\common files\catalyst sdk aol\svmpid.exe', '');
 QuarantineFileF('c:\program files\common files\catalyst sdk aol\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\program files\common files\catalyst sdk aol\svmpid.exe', '32');
 QuarantineFileF('C:\ProgramData\Csrss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\Csrss', '*', true);
 DeleteDirectory('C:\ProgramData\Csrss');
 QuarantineFileF('C:\ProgramData\Windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\Windows', '*', true);
 DeleteDirectory('C:\ProgramData\Windows');
 QuarantineFileF('C:\ProgramData\Drivers', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\Drivers', '*', true);
 DeleteDirectory('C:\ProgramData\Drivers');
 QuarantineFileF('C:\ProgramData\services', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\services', '*', true);
 DeleteDirectory('C:\ProgramData\services');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.


И  не надо бегать по форумам и плодить дубли тем. Лечась на разных ресурсах одновременно вы только усугубите своё положение.


+ добавлю

 

Муж пришел и обнаружил "письмо" на рабочем столе. Сделал откат системы.

Значит состояние системы на которое ваш муж откатывает заражено! У вас активный майнер, скажите об этом мужу, пусть после лечения делает свежий образ системы.

Изменено пользователем regist
  • Согласен 1
Stg

Stg

Опубликовано
  • Автор
Опубликовано (изменено)

Благодарю за ответ! Извините, что бегаю по форумам( Первый раз так глупо вляпалась( 

Надеюсь, что сделала все как вы написали, т.е. правильно.

Результата пока не вижу, может все же не все правильно сделала(

quarantine.zip - файла не нашла 

3f98dfa0c5de01f4e8e3f16667e919ab.jpeg

ClearLNK-08.04.2017_19-10.log

Addition.txt

FRST.txt

CollectionLog-2017.04.08-19.31.zip

Изменено пользователем Stg
regist

regist

Опубликовано
Опубликовано

Где было написано про FRST, что вы сделали и прикрепили его логи? Делайте, только то что просят.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\ProgramData\services', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\Drivers', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\Csrss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 ExecuteFile('schtasks.exe', '/delete /TN "\AVAST Software\Avast settings backup" /F', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\services', '*', true);
 DeleteFileMask('C:\ProgramData\Drivers', '*', true);
 DeleteFileMask('C:\ProgramData\Csrss', '*', true);
 DeleteDirectory('C:\ProgramData\services');
 DeleteDirectory('C:\ProgramData\Drivers');
 DeleteDirectory('C:\ProgramData\Csrss');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.
  • Согласен 1
Stg

Stg

Опубликовано
  • Автор
Опубликовано

 [KLAN-6077846116] 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ


Сейчас все правильно сделала?

CollectionLog-2017.04.08-21.50.zip

regist

regist

Опубликовано
Опубликовано

С расшифровкой, увы, помочь не сможем.

 

 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
  • Согласен 1
Stg

Stg

Опубликовано
  • Автор
Опубликовано

Неужели совсем ничего нельзя сделать?  :cry2:

Благодарю за помощь!

regist

regist

Опубликовано
Опубликовано

 

 


Неужели совсем ничего нельзя сделать? :cry2:
Можно написать заявление в полицию, если их поймают, то скорее всего будет возможно и расшифровка. Подробней как писать заявление можете почитать здесь: Мой компьютер заражен вирусом, я хочу обратиться в полицию
  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • chuupa2
      файлы зашифрованы xbtl
      Автор chuupa2
      Добрый день, проблема , все файлы xbtl ( 
      virusinfo_syscheck.zip
      KL_syscure.htm
      KL_syscure.xml
      KL_syscure.zip
      virusinfo_syscheck.htm
      virusinfo_syscheck.xml
    • Андрей Морозов
      все файлы на компьютере поменяли разрешение на .xtbl
      Автор Андрей Морозов
      все файлы на компьютере поменяли разрешение на .xtbl  
      появилась надпись что надо оплатить кудато там деньги . антивирусом прошелся вроде вылечил 

      вот файлы CollectionLog-2015.03.18-12.12.zip
    • Tessier Ashpool
      Поймал шифвровальщик *.xtbl
      Автор Tessier Ashpool
      Доброго времени суток. На ноутбуке без предустановленного антивируса всплыл шифровальщик со следующим текстом:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
      С общей информацией на Вашем форуме ознакомился, логи прикладываю. Надеюсь на Вашу помощь.
      CollectionLog-2015.03.20-00.14.zip
    • lid
      пойман из инета вирус,зашифрованы личные файлы
      Автор lid
      экран стал чёрный с красной надписью по центру Ваши файлы были зашифрованы.
      Чтобы расшифровать их,прочтите любой из предложенных README-ФАЙЛ. Вот один из них- Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 8BAB0A9B66FAAD66EBA1|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Всего их 10 шт. Личные текстовые документы и медиафайлы(фото) стали нечитаемые компьютером. Прикладываю логи к сообщению заранее благодарен за помощь  
      CollectionLog-2015.03.18-23.46.zip
    • antand
      такая же история decode00001@gmail.com
      Автор antand
      Здравствуйте, такая же история decode00001@gmail.com
       
      есть шансы или нет
       
      CollectionLog-2015.03.18-22.23.zip
×
×
  • Создать...