nix785 0 Опубликовано 3 октября, 2017 Share Опубликовано 3 октября, 2017 Добрый день! Зашифрованы все файлы MS Office, .jpg, архивы и даже ярлыки! Возможна ли расшифровка? CollectionLog-2017.10.03-14.33.zip Инструкция по восстановлению файлов.TXT Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 3 октября, 2017 Share Опубликовано 3 октября, 2017 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', ''); QuarantineFile('C:\Windows\system32\HideAgent.dll', ''); QuarantineFileF('C:\Program Files\Common Files\{C96A368A-0088-443F-BB2A-9B1CA9B77EAA}\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "{8F2025F2-DC17-4838-9CE6-092D2B0F587B}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility" /F', 0, 15000, true); QuarantineFile('C:\Users\rop\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); DeleteFile('C:\Users\rop\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk'); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true); DeleteFileMask('C:\Program Files\Common Files\{C96A368A-0088-443F-BB2A-9B1CA9B77EAA}\', '*', true); DeleteFileMask('c:\programdata\krb updater utility', '*', true); DeleteDirectory('C:\Program Files\Common Files\{C96A368A-0088-443F-BB2A-9B1CA9B77EAA}\'); DeleteDirectory('c:\programdata\krb updater utility'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Смените браузер по умолчанию (потом можете сменить обратно) - Исправьте с помощью утилиты ClearLNK только следующие ярлыки, отчёт о работе прикрепите: C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\rop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\790a9b09c70e855d\Google Chrome.lnk C:\Users\rop\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk C:\Users\rop\AppData\Roaming\Microsoft\Windows\Recent\Файлы Облако Mail.Ru.lnk Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на сообщение Поделиться на другие сайты
nix785 0 Опубликовано 3 октября, 2017 Автор Share Опубликовано 3 октября, 2017 Вот что получилось: KLAN-6913095378; Ответ в письме : "No information about the specified files can be found in the antivirus databases:HideAgent.dllbcqr00003.datbcqr00004.datWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email." Сообщение от модератора Mark D. Pearlstone Не нужно загружать quarantine.zip на форум. ClearLNK-03.10.2017_17-47.log CollectionLog-2017.10.03-17.52.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 3 октября, 2017 Share Опубликовано 3 октября, 2017 1) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. 2) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - HKLM\..\Policies\Explorer\Run: [Adobe Shockwave Player] C:\ProgramData\Microsoft\Adobe\Shockwave Player\shockwaveplayer.exe -startup (file missing) O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^KRB Updater Utility.lnk - C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe /S (2016/10/19) (file missing) O4 - MSConfig\startupfolder: C:^Users^rop^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^AppDownloads.lnk - C:\Program Files\Common Files\AppDownloads\{8F2025F2-DC17-4838-9CE6-092D2B0F587B}.exe /S (2017/04/13) (file missing) O4 - MSConfig\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^AppDownloads.lnk - C:\Program Files\Common Files\AppDownloads\{8F2025F2-DC17-4838-9CE6-092D2B0F587B}.exe /S (2016/10/19) (file missing) 3) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите: C:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Booking.com.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Forge of Empires.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kinoroom Browser.lnk 4) Поищите пару зашифрованный файл и оригинал. Ссылка на сообщение Поделиться на другие сайты
nix785 0 Опубликовано 4 октября, 2017 Автор Share Опубликовано 4 октября, 2017 Нашел файлы, ну и сделал, что вы говорили. AdwCleanerS0.txt ClearLNK-04.10.2017_10-58.log фыйлы.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 4 октября, 2017 Share Опубликовано 4 октября, 2017 1) папку C:\Program Files\Zaxar\ удалите вручную. 2) Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Ссылка на сообщение Поделиться на другие сайты
nix785 0 Опубликовано 4 октября, 2017 Автор Share Опубликовано 4 октября, 2017 Папку C:\Program Files\Zaxar\ не нашел - её нет. AdwCleanerC0.txt Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 4 октября, 2017 Share Опубликовано 4 октября, 2017 Проверьте ЛС. + Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Ссылка на сообщение Поделиться на другие сайты
nix785 0 Опубликовано 5 октября, 2017 Автор Share Опубликовано 5 октября, 2017 Спасибо большое! Все восстановил! Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти