Zavr 0 Опубликовано 3 августа, 2017 Share Опубликовано 3 августа, 2017 Здравствуйте! Зашифрованы все файлы базы данных 1С. Файлы excel и word. Прилагается следующее послание: "Вам не повезло. Все ваши файлы зашифровал вирус <!SATANA!> Для дешифровки отправьте на почту: satanacript@gmail.com ваш код: 14B4030A8A7F8B8D7B1101720567C27E Дешифровка файлов возможна только на вашем ПК! Восстановление возможно в течение 7 дней, после чего программа - декриптор - не сможет получить с сервера подписанный сертификат. Свяжитесь с нами по email satanacript@gmail.com Если вы не цените свои файлы, мы рекомендуем отформатировать все диски и переустановить систему. Внимательно прочтите это предупреждение, т.к. его не будет при следующем запуске ПК. Напоминаем - это все серьезно! Не меняйте конфигурацию вашего ПК! E-mail: satanacript@gmail.com - это наша почта КОД: 14B4030A8A7F8B8D7B1101720567C27E этот код вы должны прислать. Удачи! Да поможет вам Бог!" Приложил: логи, сообщение и зашифрованный файл excel. Надеюсь на помощь. Спасибо. CollectionLog-2017.08.03-17.05.zip КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt Plans.XLS.satanacript@gmail.com.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 3 августа, 2017 Share Опубликовано 3 августа, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\WINDOWS\Fonts\hpssmhd.exe',''); QuarantineFile('C:\WINDOWS\Fonts\mcLi.exe',''); DeleteFile('C:\WINDOWS\Fonts\mcLi.exe','32'); DeleteFile('C:\WINDOWS\Fonts\hpssmhd.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger Ссылка на сообщение Поделиться на другие сайты
Zavr 0 Опубликовано 4 августа, 2017 Автор Share Опубликовано 4 августа, 2017 [KLAN-6614338701] В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:hpssmhd.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.jumcLi.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.ju CollectionLog-2017.08.04-14.08.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 4 августа, 2017 Share Опубликовано 4 августа, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Zavr 0 Опубликовано 4 августа, 2017 Автор Share Опубликовано 4 августа, 2017 Отчет otchet.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 4 августа, 2017 Share Опубликовано 4 августа, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib CHR HKLM-x32\...\Chrome\Extension: [bgomnbpelpcdicbnicimghcecemjpbef] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib CHR HKLM-x32\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [kppacdmmddediahklmcgkgdhhoojemmd] - hxxps://clients2.google.com/service/update2/crx 2017-08-02 17:00 - 2017-08-02 17:00 - 000000000 ____D C:\Users\1C1\AppData\Local\WaspAce Task: {6E7DAFF3-1A62-463D-BC2E-C40CA32AE550} - System32\Tasks\Microsoft\Windows\Ras\Update => C:\Windows\Vss\Writers\Update-core\svchost.exe <==== ATTENTION AlternateDataStreams: C:\Users\Buh:id [32] 2017-07-30 14:54 - 2016-11-11 16:02 - 000000000 ____D C:\Program Files (x86)\IObit HKU\S-1-5-21-2910895881-4165197080-3353816394-1001\...\Run: [Advanced SystemCare 9] => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCTray.exe [3076896 2016-10-31] (IObit) HKU\S-1-5-21-2910895881-4165197080-3353816394-1001\...\Run: [Advanced SystemCare 10] => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCTray.exe [3076896 2016-10-31] (IObit) 2017-08-03 18:24 - 2017-08-03 18:24 - 014435104 _____ (IObit) C:\Users\Buh\Downloads\iobituninstaller.exe 2017-08-03 18:24 - 2017-08-03 18:24 - 000001460 _____ C:\Users\Public\Desktop\IObit Uninstaller.lnk 2017-08-03 18:24 - 2017-08-03 18:24 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Uninstaller 2017-08-03 18:21 - 2017-08-03 18:21 - 007473448 _____ (uBar) C:\Users\Buh\Downloads\IObit_Uninstaller_Pro_6.4.0.2119-43947.exe 2017-08-01 16:27 - 2017-08-01 16:27 - 000000000 ____D C:\Users\1C1\AppData\Roaming\IObit Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
Zavr 0 Опубликовано 4 августа, 2017 Автор Share Опубликовано 4 августа, 2017 Приложил Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 4 августа, 2017 Share Опубликовано 4 августа, 2017 Проверьте ЛС Ссылка на сообщение Поделиться на другие сайты
Zavr 0 Опубликовано 4 августа, 2017 Автор Share Опубликовано 4 августа, 2017 Спасибо! Ссылка на сообщение Поделиться на другие сайты
Zavr 0 Опубликовано 4 августа, 2017 Автор Share Опубликовано 4 августа, 2017 Хотел бы Вас отблагодарить за помощь! Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 4 августа, 2017 Share Опубликовано 4 августа, 2017 Считайте, что отделались легким испугом. Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Скопируйте содержимое файла в свое следующее сообщение. Ссылка на сообщение Поделиться на другие сайты
Zavr 0 Опубликовано 5 августа, 2017 Автор Share Опубликовано 5 августа, 2017 ok сделаю, завтра, хочу немного поспать. все равно спасибо Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти