Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Baши фaйлы былu зашuфрoваны.
Чmoбы pаcшифpоваmь иx, Вам необxoдuмo отnpавить kод:
7D9B740ACB7DA69357AE|0
нa электронный aдрес Novikov.Vavila@gmail.com .
Дaлее вы полyчитe всe нeoбxодuмые uнсmрykции.
Пoпыmки расшuфpoвaть самоcтoятeльно нe прuвeдyт нu k чeмy, kpомe безвoзвpaтнoй поmери инфоpмациu.
Еcлu вы вcё жe xоmиme попыmaтьcя, mо предвaрuтeльнo сдeлaйmе рeзeрвные коnиu файлoв, иначе в cлyчаe
ux изменения рaсшuфровkа cтaнеm невoзмoжнoй нu npu каkux ycлoвиях.
Ecли вы не nолучилu oтвeтa пo вышеykазанномy адрecy в mечение 48 часoв (u mолькo в эmoм cлучae!),
вoсnользyйтeсь фoрмoй oбрamной cвязи. Этo можно cдeлaть двyмя cпоcобaми:
1) Скaчайme u yсmaнoвиme Tor Browser пo ccылкe: https://www.torproject.org/download/download-easy.html.en
В aдpеснoй cтроке Tor Browser-a ввeдите адpeс:
http://cryptsen7fo43rr6.onion/
u нажмume Enter. Зarрузитcя cmрaница с фоpмoй обpamной связu.
2) B любoм бpаузepe neрeйдuте пo однoму uз aдpесов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

CollectionLog-2017.07.14-00.22.zip

Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Ирина\appdata\local\temp\a86b5c6747183b1c9bbb4181c53f302d.dll','');
 QuarantineFile('C:\ProgramData\services\csrss.exe','');
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe','');
 QuarantineFile('C:\ProgramData\Csrss\csrss.exe','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\ProgramData\Csrss\csrss.exe','32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe','32');
 DeleteFile('C:\ProgramData\services\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Users\Ирина\appdata\local\temp\a86b5c6747183b1c9bbb4181c53f302d.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Опубликовано
Re: quarantine.zip [KLAN-6522513000]
Сегодня, 1:04

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
a86b5c6747183b1c9bbb4181c53f302d.dll - Trojan-Ransom.Win32.Agent.ixi
csrss.exe - Trojan-Ransom.Win32.Agent.ivl
csrss_0.exe - Trojan.Win32.Agent.nezeod
csrss_1.exe - Trojan.Win32.Agent.nevnwq

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
csrss_2.exe - UDS:DangerousObject.Multi.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2017.07.14-01.04.zip

Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-07-13 23:47 - 2017-07-14 00:54 - 00000000 __SHD C:\Users\Все пользователи\services
2017-07-13 23:47 - 2017-07-14 00:54 - 00000000 __SHD C:\ProgramData\services
2017-07-13 23:46 - 2017-07-14 00:54 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-07-13 23:46 - 2017-07-14 00:54 - 00000000 __SHD C:\ProgramData\Csrss
2017-07-13 22:55 - 2017-07-13 22:55 - 03148854 _____ C:\Users\Ирина\AppData\Roaming\5FF3A4465FF3A446.bmp
2017-07-13 22:45 - 2017-07-13 23:46 - 00000000 __SHD C:\Users\Все пользователи\System32
2017-07-13 22:45 - 2017-07-13 23:46 - 00000000 __SHD C:\ProgramData\System32
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README9.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README8.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README7.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README6.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README5.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README4.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README3.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README2.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README10.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Ирина\Desktop\README1.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README9.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README8.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README7.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README6.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README5.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README4.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README3.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README2.txt
2017-07-13 22:45 - 2017-07-13 22:45 - 00004154 _____ C:\Users\Public\Desktop\README10.txt
2017-07-13 21:04 - 2017-07-14 00:54 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-07-13 21:04 - 2017-07-14 00:54 - 00000000 __SHD C:\ProgramData\Windows
ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Опубликовано

Мусор почистили.

 

С расшифровкой помочь не сможем.

Опубликовано

Мусор почистили.

 

С расшифровкой помочь не сможем.

Я так и понял... спасибо...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • SergeyAO
      Автор SergeyAO
      Приветсвую всех.
      Нужна помощь, вчера вирус зашифровал все файлы в основном документы office, на 4 дисках.
      Человеку пришло на почту письмо с документом по работе, но неизвестно от кого, открыли документ пустая страница ничего нет, и через некоторое время на экране сообщение, ваши файлы зашифрованы отправьте код на почту.
       
      Файл был "Здравствуйте.docx" KAV никак не отреагировал, на другой машине где были ограничены права пользователя док не открылся, KAV увидел в "здравствуйте.docx/word/embeddings/oleObject1.bin/C:/Users/836D~1/AppData/Local/Temp/PEWER POINT PRESENTATION.exe".
       
      Kaspersky Virus Removal Tool нашел Trojan-Ransom.Win32.Shade.ur.
      Утилита TDSSKiller для борьбы с руткитами ничего не обнаружил.
       
      Очень много информации, и важных документов, жду помощи, спасибо.
      CollectionLog-2015.09.22-11.30.zip
    • Йоптель
      Автор Йоптель
      Доброго времени суток. Случилась беда (и возникли некоторые нюансы). На компьютере из за действия какой то вредоносной программы, зашифровались все фотографии с расширением *.xtbl и появился текстовый файл с таким текстом:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 2E939351FF076C2B69B7|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   По не знанию, да и по торопливости, была пере установлена ОС с полным форматированием диска. Но папки с файлами были скопированы на DVD. В последствии они не открылись и на вновь установленной ОС.   Прошу помощи.   P.S. В прикрепленных, текстовый файл с текстом приведенным выше. README5.txt
    • mikaua
      Автор mikaua
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      E8C1480D46A8A89F2B83|0
      на электронный адрес files100001@gmail.com или files100002@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      E8C1480D46A8A89F2B83|0
      to e-mail address files100001@gmail.com or files100002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      CollectionLog-2015.09.17-20.10.zip
    • Олег-63
      Автор Олег-63
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      CF453C0249C61D14E3CF|0
      на электронный адрес decode010@gmail.com или decode1110@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
      CollectionLog-2015.09.16-10.24.zip
    • Олег-63
      Автор Олег-63
      все файлы фото,видео,док,были зашифрованы.на диске D /
      CollectionLog-2015.09.16-10.24.zip
×
×
  • Создать...