XyLigan Опубликовано 22 августа, 2017 Share Опубликовано 22 августа, 2017 Добрый день! Знакомая поймала такой вирус шифровальщик, возможно ли расшифровать файлы. CollectionLog-2017.08.22-10.37.zip файл после шифрования.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 22 августа, 2017 Share Опубликовано 22 августа, 2017 1) Прикрепите сообщение вымогателей. 2) globalupdate Helper [20150719]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} Обязательно деинсталируйте 3) Амиго [20150717]-->"C:\Users\user1\AppData\Local\Amigo\Application\32.0.1725.115\Installer\setup.exe" --uninstall Кнопка "Яндекс" на панели задач [2016/09/27 21:56:39]-->C:\Users\user1\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned если не используете тоже. 4) Программы/расширения от Mail.ru используете? 5) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.6)Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\26B1C280-1437110905-81E2-24C4-08606E1FB495\knsi26B9.tmp', ''); QuarantineFile('C:\Program Files (x86)\26B1C280-1437110905-81E2-24C4-08606E1FB495\hnss2B4F.tmp', ''); QuarantineFile('C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README_sTlLoTpq.hta', ''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-1-6.exe', ''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-1-7.exe', ''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-10.exe', ''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-11.exe', ''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-5.exe', ''); DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-1-6.job', '64'); DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-1-7.job', '64'); DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-10_user.job', '64'); DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-11.job', '64'); DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-5.job', '64'); DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-5_user.job', '64'); DeleteFile('C:\Program Files (x86)\26B1C280-1437110905-81E2-24C4-08606E1FB495\knsi26B9.tmp', '32'); DeleteFile('C:\Program Files (x86)\26B1C280-1437110905-81E2-24C4-08606E1FB495\hnss2B4F.tmp', '32'); DeleteFile('C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README_sTlLoTpq.hta', '32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-1-6.exe', '32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-1-7.exe', '32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-10.exe', '32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-11.exe', '32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-5.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-1-6" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-1-7" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-10_user" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-11" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-5" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-5_user" /F', 0, 15000, true); DeleteService('hisopehe'); DeleteService('vicoqudu'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) 7) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.8) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. 9) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
XyLigan Опубликовано 22 августа, 2017 Автор Share Опубликовано 22 августа, 2017 2) файл называется README_sTlLoTpq.hta Ссылка на скриншот: http://joxi.ru/xAeE77ZUYMBQGA Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 22 августа, 2017 Share Опубликовано 22 августа, 2017 README_sTlLoTpq.hta заархивируйте и прикрепите к сообщению. С рассшифровкой скорее всего помочь не сможем. + жду всё остальное. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти