Перейти к содержанию

Удаление вируса Novikov.Vavila@gmail.com

OK-crb
 Share

Рекомендуемые сообщения

OK-crb Новичок

OK-crb

Опубликовано
Опубликовано

Baшu файлы былu зашифpoваны.
Чmoбы рaсшuфpoваmь ux, Baм нeoбxoдuмо отпpавuть кoд:
BFE5195E7289B6F896BC|0
нa элекmpoнный aдpec Novikov.Vavila@gmail.com .
Далee вы пoлучиme вce нeoбходuмыe uнcmpукцuи.
Попыmки расшифрoвamь cамocmояmельнo не nрuвeдym нu к чeму, kромe бeзвозвpamной nоmepи uнфoрмaциu.
Eслu вы вcё же хоmиme поnыmaтьcя, mо предваритeльнo cдeлайте pезеpвные kопии файлов, uнaче в cлучae
ux uзменeния рaсшuфрoвka сmанеm невозможной ни npu kаkux yслoвuях.
Если вы нe пoлyчuли oтветa пo вышeуkaзaнномy адреcу в mечениe 48 чaсoв (u тольko в этом cлyчаe!),
воcпользyйmесь фoрмой oбpaтной связu. Эmо можно cделamь двyмя cпoсoбaми:
1) Сkaчайтe и усmановume Tor Browser no ссылке: https://www.torproject.org/download/download-easy.html.en
B адрecнoй стpoke Tor Browser-а ввeдите aдреc:
http://cryptsen7fo43rr6.onion/
и нaжмите Enter. 3агрyзuтcя сmpaницa c фopмой oбратной связи.
2) B любом брayзepе nеpeйдитe по oдномy uз aдpecов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 4

Антивирус Касперского 6.0 для Windows Workstations - версия устаревшая и больше не поддерживается. Переходите на KES10.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
OK-crb Новичок

OK-crb

Опубликовано
  • Автор
Опубликовано

KLAN-6525569374

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
csrss.exe - Trojan-Ransom.Win32.Shade.nvv

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО: Цитата SpyHunter 4

Почему не удалили?

 

После удаления:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyScripts: Restriction <==== ATTENTION
2017-07-13 10:47 - 2017-07-13 10:48 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-07-13 10:47 - 2017-07-13 10:48 - 00000000 __SHD C:\ProgramData\Csrss
2017-07-13 10:46 - 2017-07-13 10:46 - 06220854 _____ C:\Users\user\AppData\Roaming\212520D8212520D8.bmp
2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README9.txt
2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README8.txt
2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README7.txt
2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README6.txt
2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README5.txt
2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README4.txt
2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README3.txt
2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README2.txt
2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README10.txt
2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README1.txt
2017-07-12 14:27 - 2017-07-14 15:00 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-07-12 14:27 - 2017-07-14 15:00 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Вымогатель и его следы очищены. С расшифровкой помочь не сможем.

 

Переходите на KES10

Убедитесь, что включена эта настройка.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

------------------------------- [ HotFix ] --------------------------------

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

OpenOffice.org 3.3 v.3.3.9567 Внимание! Скачать обновления

Microsoft Silverlight v.4.0.50826.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 6 Update 22 v.6.0.220 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 25 NPAPI v.25.0.0.127 Внимание! Скачать обновления

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Folclor
      Помощь в удалении вирусов
      От Folclor
      Добрый день, обнаружил у себя на пк вирус net:malware.url который сильно нагружает процессор, выполнил сканирование и попробовал его удалить, что не принесло результатов, прошу помощи у знатоков в решении данного вопроса. 

    • Vopj
      Вирус-майнер PuzzleMedia, нужна помощь в удалении
      От Vopj
      В определенный момент начала возникать большая нагрузка на CPU, возник сильный перегрев. RogueKiller обнаружил PuzzleMedia, CureIt не запускается ввобще, к сожалению по причине отсутствующих навыков, самостоятельно разобраться не получилось, прошу помощи.
      CollectionLog-2024.11.13-21.04.zip
    • KakoeImyaSdelat
      [РЕШЕНО] Нужна помощь в удалении вируса (PuzzleMedia)
      От KakoeImyaSdelat
      Добрый день, программа "RogueKiller" выявляет майнер "PuzzleMedia" и у меня самостоятельно удалить не получается. Ощущение, что вирусы блокируют некоторые сайты, помогите, пожалуйста
       
    • vlad2008
      Помогите составить fixlog для удаления вируса
      От vlad2008
      Неизвестно где поймал heur trojan multi genbadur.Касперский самостоятельно не справляется, после перезагрузки окно с предупреждением о вирусе появляется снова. Читая на форумах, понял что можно удалить вирус через программу  Farbar Recovery Scan Tool. Отсканировал все, но понял что самостоятельно fixlog для лечения компьютера не составлю. Помогите пожалуйста с этим.
      Ниже результаты сканирования программы:
       
       
      Addition.txt FRST.txt
    • pacificae
      Удаленное включение защиты через KSC
      От pacificae
      Доброго времени. Исходные данные - на клиентском ПК отключил вручную защиту KES бессрочно. Вопрос - можно ли через KSC (в моем случае 13) включить защиту удалённо?
×
×
  • Создать...