Denis23 Опубликовано 14 апреля, 2017 Share Опубликовано 14 апреля, 2017 (изменено) Добрый день! Вирус зашифровал все текстовые файлы, jpeg и pdf. Антивирус kaspersky endpoint security 10 его пропустил. Помогите пожалуйста расшифровать. CollectionLog-2017.04.14-09.01.zip Изменено 14 апреля, 2017 пользователем Denis23 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 апреля, 2017 Share Опубликовано 14 апреля, 2017 Здравствуйте! Антивирус kaspersky endpoint security 10 его пропустилНа момент заражения была ли сделана эта настройка? Через Панель управления - Удаление программ - удалите нежелательное ПО: Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', ''); QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', ''); QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', ''); DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32'); DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32'); DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32'); DeleteFileMask('c:\programdata\timetasks', '*', true); DeleteFileMask('c:\program files\zaxar', '*', true); DeleteDirectory('c:\programdata\timetasks'); DeleteDirectory('c:\program files\zaxar'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); BC_ImportALL; ExecuteRepair(3); ExecuteRepair(4); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Denis23 Опубликовано 14 апреля, 2017 Автор Share Опубликовано 14 апреля, 2017 На момент заражения была ли сделана эта настройка? К сожалению нет. Отправил ссылку на архив. Т.к. файл во вложение не прошел [KLAN-6100654345] Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами ссылки были проверены с помощью облачной технологии Kaspersky Security Network.В антивирусных базах информация по присланным вами ссылкам отсутствует:https://cloud.mail.ru/public/6uYe/vNnZZPmLsCсылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. AdwCleanerS0.txt ClearLNK-14.04.2017_10-29.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 апреля, 2017 Share Опубликовано 14 апреля, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Denis23 Опубликовано 14 апреля, 2017 Автор Share Опубликовано 14 апреля, 2017 Сделал Shortcut.txt FRST.txt Addition.txt AdwCleanerC0.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 апреля, 2017 Share Опубликовано 14 апреля, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction ? <======= ATTENTION GroupPolicy\User: Restriction ? <======= ATTENTION BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll => No File BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll => No File BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll => No File Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll No File Toolbar: HKU\S-1-5-21-456768173-36434998-1119703626-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File FF user.js: detected! => C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\642jb4sp.default\user.js [2012-08-29] FF Extension: (No Name) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\642jb4sp.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found] 2017-04-13 12:51 - 2017-04-13 12:51 - 00016670 _____ C:\RUC4A-E6XFH-GKTXA-RRTEA-TKHTX-HXHHT-XORHY.html 2017-04-12 17:22 - 2017-04-12 17:22 - 00016664 _____ C:\RU1F0-85FKZ-ZTFGK-TZTGK-TAKEK-TXZFH.html 2017-04-12 12:45 - 2017-04-12 12:45 - 00016670 _____ C:\Users\User\RUB17-8EGGK-OTKOG-TZTXA-ATFZK-KTXAG-RYYYY.html 2017-04-12 12:45 - 2017-04-12 12:45 - 00016670 _____ C:\Users\User\AppData\Roaming\RUB17-8EGGK-OTKOG-TZTXA-ATFZK-KTXAG-RYYYY.html 2017-04-12 12:45 - 2017-04-12 12:45 - 00016670 _____ C:\RUB17-8EGGK-OTKOG-TZTXA-ATFZK-KTXAG-RYYYY.html 2017-04-12 12:44 - 2017-04-12 12:58 - 02815640 _____ C:\Users\User\AppData\Roaming\3903576134 2017-04-14 11:14 - 2016-02-15 12:40 - 00000000 ____D C:\Users\Все пользователи\IObit 2017-04-14 11:14 - 2016-02-15 12:40 - 00000000 ____D C:\ProgramData\IObit AlternateDataStreams: C:\Users\User\Local Settings:wa [146] AlternateDataStreams: C:\Users\User\AppData\Local:wa [146] AlternateDataStreams: C:\Users\User\AppData\Local\Application Data:wa [146] FirewallRules: [{D2D37073-0049-413C-8B38-41C4393A9409}] => (Allow) C:\Users\User\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [{DDE25FBA-F223-4F7E-9974-53DF27F34449}] => (Allow) C:\Users\User\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [{57BA64C5-5583-4855-A63E-A95F11320354}] => (Allow) C:\Users\User\AppData\Local\Amigo\Application\amigo.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Denis23 Опубликовано 14 апреля, 2017 Автор Share Опубликовано 14 апреля, 2017 Сделал Сделал fixlist.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 апреля, 2017 Share Опубликовано 14 апреля, 2017 Что-то Вы сделали не так. После выполнения скрипта этот файл должен выглядеть как лог-файл (Fixlog.txt) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Denis23 Опубликовано 14 апреля, 2017 Автор Share Опубликовано 14 апреля, 2017 Прикрепил не тот файл Есть вероятность расшифровки файлов? Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 апреля, 2017 Share Опубликовано 14 апреля, 2017 Увы, пока нет. Но можете при наличии лицензии на антивирус Касперского создать запрос на расшифровку. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Denis23 Опубликовано 14 апреля, 2017 Автор Share Опубликовано 14 апреля, 2017 Создал запрос. Надеемся на лучшее.) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти