Артем Воробьев 0 Опубликовано 5 июля, 2018 Share Опубликовано 5 июля, 2018 (изменено) Обнаружен вирус- шифровальщик: [Название файла].id-C0F8EC7D.[GeorgeWashington@cock.li].java Ситуация схожа с https://forum.kasperskyclub.ru/index.php?showtopic=58958&hl=cock.li Возможно ли декодировать файлы? FRST.txt FILES ENCRYPTED.txt Addition.txt Изменено 5 июля, 2018 пользователем Артем Воробьев Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 529 Опубликовано 5 июля, 2018 Share Опубликовано 5 июля, 2018 Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
Артем Воробьев 0 Опубликовано 6 июля, 2018 Автор Share Опубликовано 6 июля, 2018 Порядок оформления запроса о помощи Прикладываю архив логов CollectionLog-2018.07.05-20.09.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 6 июля, 2018 Share Опубликовано 6 июля, 2018 (изменено) Здравствуйте! С расшифровкой помочь не сможем. Будет только очистка системы. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ClearQuarantineEx(true); QuarantineFile('C:\RSoftAleGiu\bin\rslmd.exe', ''); QuarantineFile('C:\Users\TWIN3\no_aes\min.js', ''); DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true); end. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. В этой папке C:\Users\TWIN3\no_aes\ есть файлы? Один из файлов Info.hta вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению. Изменено 6 июля, 2018 пользователем Sandor Ссылка на сообщение Поделиться на другие сайты
Артем Воробьев 0 Опубликовано 6 июля, 2018 Автор Share Опубликовано 6 июля, 2018 Такая папка отсутствует Файл Info.hta не найден Зашифрованные документы приложены ниже Здравствуйте!С расшифровкой помочь не сможем. Будет только очистка системы.Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ClearQuarantineEx(true); QuarantineFile('C:\RSoftAleGiu\bin\rslmd.exe', ''); QuarantineFile('C:\Users\TWIN3\no_aes\min.js', ''); DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true); end. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.В этой папке C:\Users\TWIN3\no_aes\ есть файлы?Один из файлов Info.hta вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению. Однако еще есть проблема при перезагрузке ПК. Возникает окно от Info.hta. Однако найти его не получается data.rar Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 7 июля, 2018 Share Опубликовано 7 июля, 2018 Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формыОтправили? Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Артем Воробьев 0 Опубликовано 10 июля, 2018 Автор Share Опубликовано 10 июля, 2018 Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формыОтправили? Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 июля, 2018 Share Опубликовано 10 июля, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta" HKLM\...\Run: [C:\Users\TWIN3\AppData\Roaming\Info.hta] => C:\Users\TWIN3\AppData\Roaming\Info.hta [13939 2018-07-05] () HKU\S-1-5-21-1111432657-1694111387-774876336-1000\...\Run: [C:\Users\TWIN3\AppData\Roaming\Info.hta] => C:\Users\TWIN3\AppData\Roaming\Info.hta [13939 2018-07-05] () 2018-06-30 14:55 - 2018-06-30 14:55 - 000000182 _____ C:\FILES ENCRYPTED.txt 2018-07-06 09:59 - 2018-07-06 09:59 - 000000000 _____ () C:\Users\TWIN3\AppData\Local\Temp\1.exe Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Артем Воробьев 0 Опубликовано 10 июля, 2018 Автор Share Опубликовано 10 июля, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta" HKLM\...\Run: [C:\Users\TWIN3\AppData\Roaming\Info.hta] => C:\Users\TWIN3\AppData\Roaming\Info.hta [13939 2018-07-05] () HKU\S-1-5-21-1111432657-1694111387-774876336-1000\...\Run: [C:\Users\TWIN3\AppData\Roaming\Info.hta] => C:\Users\TWIN3\AppData\Roaming\Info.hta [13939 2018-07-05] () 2018-06-30 14:55 - 2018-06-30 14:55 - 000000182 _____ C:\FILES ENCRYPTED.txt 2018-07-06 09:59 - 2018-07-06 09:59 - 000000000 _____ () C:\Users\TWIN3\AppData\Local\Temp\1.exe Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 июля, 2018 Share Опубликовано 10 июля, 2018 Возникает окно от Info.htaЭтого больше нет? Ссылка на сообщение Поделиться на другие сайты
Артем Воробьев 0 Опубликовано 10 июля, 2018 Автор Share Опубликовано 10 июля, 2018 Возникает окно от Info.htaЭтого больше нет? Больше нет Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 июля, 2018 Share Опубликовано 10 июля, 2018 На этом все. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Артем Воробьев 0 Опубликовано 10 июля, 2018 Автор Share Опубликовано 10 июля, 2018 На этом все. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 июля, 2018 Share Опубликовано 10 июля, 2018 ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.18792 Warning! Download Update Online installation. Last version available when Windows update is enabled throught the Internet. --------------------------- [ OtherUtilities ] ---------------------------- LibreOffice 5.3.3.2 v.5.3.3.2 Warning! Download Update ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 59.0.2 (x64 en-US) v.59.0.2 Warning! Download Update Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти