XyLigan 7 Опубликовано 22 августа, 2017 Share Опубликовано 22 августа, 2017 Добрый день! Знакомая поймала такой вирус шифровальщик, возможно ли расшифровать файлы. CollectionLog-2017.08.22-10.37.zip файл после шифрования.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 22 августа, 2017 Share Опубликовано 22 августа, 2017 1) Прикрепите сообщение вымогателей. 2) globalupdate Helper [20150719]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} Обязательно деинсталируйте 3) Амиго [20150717]-->"C:\Users\user1\AppData\Local\Amigo\Application\32.0.1725.115\Installer\setup.exe" --uninstall Кнопка "Яндекс" на панели задач [2016/09/27 21:56:39]-->C:\Users\user1\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned если не используете тоже. 4) Программы/расширения от Mail.ru используете? 5) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.6)Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\26B1C280-1437110905-81E2-24C4-08606E1FB495\knsi26B9.tmp', ''); QuarantineFile('C:\Program Files (x86)\26B1C280-1437110905-81E2-24C4-08606E1FB495\hnss2B4F.tmp', ''); QuarantineFile('C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README_sTlLoTpq.hta', ''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-1-6.exe', ''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-1-7.exe', ''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-10.exe', ''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-11.exe', ''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-5.exe', ''); DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-1-6.job', '64'); DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-1-7.job', '64'); DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-10_user.job', '64'); DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-11.job', '64'); DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-5.job', '64'); DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-5_user.job', '64'); DeleteFile('C:\Program Files (x86)\26B1C280-1437110905-81E2-24C4-08606E1FB495\knsi26B9.tmp', '32'); DeleteFile('C:\Program Files (x86)\26B1C280-1437110905-81E2-24C4-08606E1FB495\hnss2B4F.tmp', '32'); DeleteFile('C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README_sTlLoTpq.hta', '32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-1-6.exe', '32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-1-7.exe', '32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-10.exe', '32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-11.exe', '32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-5.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-1-6" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-1-7" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-10_user" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-11" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-5" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-5_user" /F', 0, 15000, true); DeleteService('hisopehe'); DeleteService('vicoqudu'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) 7) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.8) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. 9) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
XyLigan 7 Опубликовано 22 августа, 2017 Автор Share Опубликовано 22 августа, 2017 2) файл называется README_sTlLoTpq.hta Ссылка на скриншот: http://joxi.ru/xAeE77ZUYMBQGA Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 22 августа, 2017 Share Опубликовано 22 августа, 2017 README_sTlLoTpq.hta заархивируйте и прикрепите к сообщению. С рассшифровкой скорее всего помочь не сможем. + жду всё остальное. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти