Ильшат Опубликовано 1 марта, 2018 Опубликовано 1 марта, 2018 На работе скачали файл и запустили, после пошло шифрование всех файлов. Компьютер почистили. А вот файлы хотим расшифровать. Помогите, название файлов стало вот таким email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1887978389-27.02.2018 10@44@512328256.fname-титульные.doc.fairytail Логи приложил CollectionLog-2018.03.01-13.45.zip
regist Опубликовано 1 марта, 2018 Опубликовано 1 марта, 2018 Выполните скрипт в АВЗ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.
regist Опубликовано 1 марта, 2018 Опубликовано 1 марта, 2018 Странно отчёты обрезаны. Как понимаю вы сбор логов Автологера несколько запускали? И при этом ошибка вылетала? C:\Users\acer\Desktop\AutoLogger\CrashDumps заархивируйте вручную и приложите. Навсякий случай сразу предупрежу, что с рассшифровкой помочь не сможем. А вот вирус подозреваю у вас до сих пор активен и шифрует логи и утилиты прямо во время работы.
Ильшат Опубликовано 1 марта, 2018 Автор Опубликовано 1 марта, 2018 нет файла или папки с таким названием.
Sandor Опубликовано 1 марта, 2018 Опубликовано 1 марта, 2018 при этом ошибка вылетала?Не ответили. Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS.
regist Опубликовано 1 марта, 2018 Опубликовано 1 марта, 2018 нет файла или папки с таким названием. А вы после того как первый раз собрали логи папку от Автологера не удаляли? Ибо у вас и папка была и даже файл размером в 32 MB в ней был C:\Users\acer\Desktop\AutoLogger\CrashDumps\HiJackThis.exe.6476.dmp взято из ваших же логов.
Ильшат Опубликовано 1 марта, 2018 Автор Опубликовано 1 марта, 2018 (изменено) Да удалял, подумал не понадобится больше. Потом заново установил и запустил скрипт и отправил вам архив. Ошибок не было Выполнил ACER-ПК_2018-03-01_19-53-09.7z Изменено 1 марта, 2018 пользователем Ильшат
regist Опубликовано 1 марта, 2018 Опубликовано 1 марта, 2018 @Ильшат, не знаю, что вам там чистили. Но шифровальщик у вас активен и прекрасно себя чувствует. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG dirzooex %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MICROSOFT\HDUSDAAS ;---------command-block--------- bl E00CF8FEC6161B28BB9D37A1CA12C8A6 187904 zoo %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MICROSOFT\HDUSDAAS\FAJHTTGJ.EXE delall %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MICROSOFT\HDUSDAAS\FAJHTTGJ.EXE bl FB6C4A7F09745FD40319E24BB929380C 227328 zoo %SystemDrive%\USERS\ACER\APPDATA\LOCAL\KWJOVC.EXE delall %SystemDrive%\USERS\ACER\APPDATA\LOCAL\KWJOVC.EXE delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE delref HTTP://UPDATE.DRP.SU/NPS/ONLINE/BIN/TOOLS/RUN.HTA delref %SystemDrive%\PROGRAM FILES (X86)\DRIVERTOOLKIT\DRIVERTOOLKIT.EXE delref %SystemDrive%\PROGRAM FILES (X86)\WORLD OF TANKS\UNINS000.EXE delref %SystemDrive%\PROGRAM FILES (X86)\WORLD OF TANKS\WOTLAUNCHER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\AVAST! ANTIVIRUS\BACKUP.EXE delref HTTP://OVGORSKIY.RU apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. затем свежий образ автозапуска. PS. не используйте репаки от Дьяка, так как они содержат вирусню.
Ильшат Опубликовано 1 марта, 2018 Автор Опубликовано 1 марта, 2018 (изменено) Не получилось отправить на почту ACER-ПК_2018-03-02_02-53-41.7z Изменено 2 марта, 2018 пользователем regist забрал карантин
Sandor Опубликовано 2 марта, 2018 Опубликовано 2 марта, 2018 (изменено) Через Панель управления - Удаление программ - удалите нежелательное ПО: MediaGet VKMusic 4 Кнопка "Яндекс" на панели задач Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- delref %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MICROSOFT\HDUSDAAS\FAJHTTGJ.EXE delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JOAPLIBFHIJPJAFMLKGJONFGLDCMHHCA\4.0.12_0\СКАЧАТЬ МУЗЫКУ ВКОНТАКТЕ delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\2.0.1.14_0\СТАРТОВАЯ — ЯНДЕКС apply restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Соберите отчеты этой версией Автологера. Изменено 2 марта, 2018 пользователем Sandor
Ильшат Опубликовано 2 марта, 2018 Автор Опубликовано 2 марта, 2018 Выполнил CollectionLog-2018.03.02-17.08.zip
Sandor Опубликовано 2 марта, 2018 Опубликовано 2 марта, 2018 (изменено) Общий ресурс на диск C:\ закройте.Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).Перезагрузите компьютер.Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Изменено 2 марта, 2018 пользователем regist
Ильшат Опубликовано 2 марта, 2018 Автор Опубликовано 2 марта, 2018 Windows Registry Editor Version 5.00 что в файле написано. и в avz - 1 уязвимость осталась! нерабочая ссылка на скачку
Sandor Опубликовано 2 марта, 2018 Опубликовано 2 марта, 2018 по ссылкам из файла avz_log.txtПокажите этот файл.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти