infiniti-87 0 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 Добрый день Сегодня на 2 ПК в сети были зашифрованы файлы, расширение сменилось на .bomber. Помогите расшифровать обратно. логи прилагаю Так же прилагаю 2 зашифрованных файла CollectionLog-2018.06.19-17.30.zip зашифрованные файлы.zip Ссылка на сообщение Поделиться на другие сайты
akoK 113 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\system32\psxss.exe',''); QuarantineFile('C:\Users\ttp\AppData\Roaming\kwdowpi.dll',''); DeleteFile('C:\Users\ttp\AppData\Roaming\kwdowpi.dll','64'); BC_Activate; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_ImportALL; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - HKCU\..\Run: [YndiLzgoa] = C:\Windows\system32\rundll32.exe "C:\Users\ttp\AppData\Roaming\kwdowpi.dll",SVCServiceMain YndiLzgoa NSER Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Прикрепите к следующему сообщению свежий CollectionLog. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
infiniti-87 0 Опубликовано 19 июня, 2018 Автор Share Опубликовано 19 июня, 2018 KLAN-8253028316 еще лог Collection FRST.txt Addition.txt Shortcut.txt CollectionLog-2018.06.19-18.11.zip Ссылка на сообщение Поделиться на другие сайты
akoK 113 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 (изменено) Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: VirusTotal:C:\1uik_gpbdealing\winros.exe; 2018-06-19 09:16 - 2018-06-19 09:19 - 000002450 _____ C:\Users\ttp\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT 2018-06-19 09:16 - 2018-06-19 09:19 - 000002450 _____ C:\Users\ttp\Documents\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT 2018-06-19 09:16 - 2018-06-19 09:19 - 000002450 _____ C:\Users\ttp\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Изменено 19 июня, 2018 пользователем akoK Ссылка на сообщение Поделиться на другие сайты
infiniti-87 0 Опубликовано 19 июня, 2018 Автор Share Опубликовано 19 июня, 2018 fixlog Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
akoK 113 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 С расшифровкой, увы помочь не сможем. Подготовьте лог лог SecurityCheck by glax24 Попробуйте использовать ShadowExplorer Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 19 июня, 2018 Share Опубликовано 19 июня, 2018 @infiniti-87, если Восстановление системы было включено ДО заражения, пробуйте восстановить файлы средствами Windows. Это не значит, что нужно откатывать всю систему, только файлы. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти