evrei73 0 Опубликовано 12 марта, 2018 Share Опубликовано 12 марта, 2018 Подключился по РДП и увидел, что в 21:44 создался файл и зашифровано совершенно все Забыл приложить Лог файл CollectionLog-2018.03.13-00.32.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 марта, 2018 Share Опубликовано 13 марта, 2018 Здравствуйте! Сразу предупрежу, расшифровки для этого типа вымогателя нет. Но видны хвосты вируса. Логи сделаны в терминальной сессии, сделайте их из консоли. Когда найдете возможность собрать из консоли, пробуйте этой версией Автологера. Цитата Ссылка на сообщение Поделиться на другие сайты
evrei73 0 Опубликовано 13 марта, 2018 Автор Share Опубликовано 13 марта, 2018 Здравствуйте! Сразу предупрежу, расшифровки для этого типа вымогателя нет. Но видны хвосты вируса. Логи сделаны в терминальной сессии, сделайте их из консоли. Когда найдете возможность собрать из консоли, пробуйте этой версией Автологера. Сделали в консоле. Приложили файл CollectionLog-2018.03.13-15.10.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 марта, 2018 Share Опубликовано 13 марта, 2018 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\ProgramData\winhost.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Windows\System32\Info.hta', ''); ExecuteFile('schtasks.exe', '/delete /TN "WinhostUpdateTask" /F', 0, 15000, true); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32'); DeleteFile('C:\ProgramData\winhost.exe', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Windows\System32\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. + Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.