vvkov Опубликовано 28 апреля, 2017 Share Опубликовано 28 апреля, 2017 Прошу помощи. Есть какая-нибудь надежда расшифровать данные? Теневых копий нет. Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 28 апреля, 2017 Share Опубликовано 28 апреля, 2017 Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
vvkov Опубликовано 28 апреля, 2017 Автор Share Опубликовано 28 апреля, 2017 В момент заражения на компьютере отсутствовал антивирус. Обращался в техническую поддержку DrWeb и Nod32 Ответили, что дешифровать пока невозможно. DrWeb сказал, что файлы зашифрованы trojan.Encoder.858 CollectionLog-2017.04.28-17.02.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 28 апреля, 2017 Share Опубликовано 28 апреля, 2017 (изменено) Здравствуйте! - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\programdata\services\csrss.exe'); TerminateProcessByName('c:\programdata\windows\csrss.exe'); TerminateProcessByName('c:\programdata\csrss\csrss.exe'); TerminateProcessByName('c:\programdata\drivers\csrss.exe'); StopService('642E356'); StopService('70FB88C'); QuarantineFile('c:\programdata\services\csrss.exe', ''); QuarantineFile('c:\programdata\windows\csrss.exe', ''); QuarantineFile('c:\programdata\csrss\csrss.exe', ''); QuarantineFile('c:\programdata\drivers\csrss.exe', ''); QuarantineFile('C:\Windows\TEMP\642E356.sys', ''); QuarantineFile('C:\Windows\TEMP\70FB88C.sys', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VegaFTPSecureClient.exe', ''); QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\VegaFTPSecureClient.exe', ''); QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', ''); QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk', ''); QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk', ''); QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', ''); QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk', ''); QuarantineFileF('c:\programdata\services\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\programdata\windows\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\programdata\drivers\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\program files\contentprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); DeleteFile('c:\programdata\services\csrss.exe', '32'); DeleteFile('c:\programdata\windows\csrss.exe', '32'); DeleteFile('c:\programdata\csrss\csrss.exe', '32'); DeleteFile('c:\programdata\drivers\csrss.exe', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VegaFTPSecureClient.exe', '32'); DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\VegaFTPSecureClient.exe', '32'); DeleteFile('C:\Program Files\contentprotector\condefclean.exe', '32'); DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe', '32'); DeleteFile('C:\Program Files\contentprotector\libeay32.dll', '32'); DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe', '32'); DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '32'); DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll', '32'); DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll', '32'); DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll', '32'); DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll', '32'); DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll', '32'); DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll', '32'); DeleteFile('C:\Program Files\contentprotector\ssleay32.dll', '32'); DeleteFileMask('c:\programdata\services\', '*', true); DeleteFileMask('c:\programdata\windows\', '*', true); DeleteFileMask('c:\programdata\drivers\', '*', true); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteFileMask('c:\program files\contentprotector', '*', true); DeleteDirectory('c:\programdata\services\'); DeleteDirectory('c:\programdata\windows\'); DeleteDirectory('c:\programdata\drivers\'); DeleteDirectory('c:\program files (x86)\zaxar'); DeleteDirectory('c:\program files\contentprotector'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetworkSubsystem'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Изменено 28 апреля, 2017 пользователем regist Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти