Marshrutkin Опубликовано 13 июля, 2017 Опубликовано 13 июля, 2017 Baши фaйлы былu зашuфрoваны.Чmoбы pаcшифpоваmь иx, Вам необxoдuмo отnpавить kод:7D9B740ACB7DA69357AE|0нa электронный aдрес Novikov.Vavila@gmail.com .Дaлее вы полyчитe всe нeoбxодuмые uнсmрykции.Пoпыmки расшuфpoвaть самоcтoятeльно нe прuвeдyт нu k чeмy, kpомe безвoзвpaтнoй поmери инфоpмациu.Еcлu вы вcё жe xоmиme попыmaтьcя, mо предвaрuтeльнo сдeлaйmе рeзeрвные коnиu файлoв, иначе в cлyчаeux изменения рaсшuфровkа cтaнеm невoзмoжнoй нu npu каkux ycлoвиях.Ecли вы не nолучилu oтвeтa пo вышеykазанномy адрecy в mечение 48 часoв (u mолькo в эmoм cлучae!),вoсnользyйтeсь фoрмoй oбрamной cвязи. Этo можно cдeлaть двyмя cпоcобaми:1) Скaчайme u yсmaнoвиme Tor Browser пo ccылкe: https://www.torproject.org/download/download-easy.html.enВ aдpеснoй cтроке Tor Browser-a ввeдите адpeс:http://cryptsen7fo43rr6.onion/u нажмume Enter. Зarрузитcя cmрaница с фоpмoй обpamной связu.2) B любoм бpаузepe neрeйдuте пo однoму uз aдpесов:http://cryptsen7fo43rr6.onion.to/http://cryptsen7fo43rr6.onion.cab/ CollectionLog-2017.07.14-00.22.zip
thyrex Опубликовано 13 июля, 2017 Опубликовано 13 июля, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Ирина\appdata\local\temp\a86b5c6747183b1c9bbb4181c53f302d.dll',''); QuarantineFile('C:\ProgramData\services\csrss.exe',''); QuarantineFile('C:\ProgramData\Drivers\csrss.exe',''); QuarantineFile('C:\ProgramData\Csrss\csrss.exe',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); DeleteFile('C:\ProgramData\Csrss\csrss.exe','32'); DeleteFile('C:\ProgramData\Drivers\csrss.exe','32'); DeleteFile('C:\ProgramData\services\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\Ирина\appdata\local\temp\a86b5c6747183b1c9bbb4181c53f302d.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Marshrutkin Опубликовано 13 июля, 2017 Автор Опубликовано 13 июля, 2017 Re: quarantine.zip [KLAN-6522513000] Сегодня, 1:04 Присланные вами файлы были проверены в автоматическом режиме.В следующих файлах обнаружен вредоносный код:a86b5c6747183b1c9bbb4181c53f302d.dll - Trojan-Ransom.Win32.Agent.ixicsrss.exe - Trojan-Ransom.Win32.Agent.ivlcsrss_0.exe - Trojan.Win32.Agent.nezeodcsrss_1.exe - Trojan.Win32.Agent.nevnwqВ следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:csrss_2.exe - UDS:DangerousObject.Multi.GenericФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. CollectionLog-2017.07.14-01.04.zip
thyrex Опубликовано 14 июля, 2017 Опубликовано 14 июля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
thyrex Опубликовано 14 июля, 2017 Опубликовано 14 июля, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: 2017-07-13 23:47 - 2017-07-14 00:54 - 00000000 __SHD C:\Users\Все пользователи\services 2017-07-13 23:47 - 2017-07-14 00:54 - 00000000 __SHD C:\ProgramData\services 2017-07-13 23:46 - 2017-07-14 00:54 - 00000000 __SHD C:\Users\Все пользователи\Csrss 2017-07-13 23:46 - 2017-07-14 00:54 - 00000000 __SHD C:\ProgramData\Csrss 2017-07-13 22:55 - 2017-07-13 22:55 - 03148854 _____ C:\Users\Ирина\AppData\Roaming\5FF3A4465FF3A446.bmp 2017-07-13 22:45 - 2017-07-13 23:46 - 00000000 __SHD C:\Users\Все пользователи\System32 2017-07-13 22:45 - 2017-07-13 23:46 - 00000000 __SHD C:\ProgramData\System32 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README9.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README8.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README7.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README6.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README5.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README4.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README3.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README2.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README10.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README1.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README9.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README8.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README7.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README6.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README5.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README4.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README3.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README2.txt 2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README10.txt 2017-07-13 21:04 - 2017-07-14 00:54 - 00000000 __SHD C:\Users\Все пользователи\Windows 2017-07-13 21:04 - 2017-07-14 00:54 - 00000000 __SHD C:\ProgramData\Windows ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера.
thyrex Опубликовано 14 июля, 2017 Опубликовано 14 июля, 2017 Мусор почистили. С расшифровкой помочь не сможем.
Marshrutkin Опубликовано 14 июля, 2017 Автор Опубликовано 14 июля, 2017 Мусор почистили. С расшифровкой помочь не сможем. Я так и понял... спасибо...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти