Timiryaev 0 Опубликовано 23 июля, 2018 Share Опубликовано 23 июля, 2018 Добрый день, зашифровались файлы с раширением mrbin775@gmx.de.bin2 помогите расшифровать CollectionLog-2018.07.23-15.14.zip HOW TO RECOVER ENCRYPTED FILES.TXT Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 23 июля, 2018 Share Опубликовано 23 июля, 2018 One System Care удалите через Установку программ. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\user\AppData\Roaming\SpeccyApp\SpeccyApp.exe',''); TerminateProcessByName('c:\users\user\appdata\roaming\microsoft\windows\winupmgr.exe'); QuarantineFile('c:\users\user\appdata\roaming\microsoft\windows\winupmgr.exe',''); DeleteFile('c:\users\user\appdata\roaming\microsoft\windows\winupmgr.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1482903692-4194859101-519909330-1000\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); DeleteFile('C:\Users\user\AppData\Roaming\SpeccyApp\SpeccyApp.exe','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1482903692-4194859101-519909330-1000\Software\Microsoft\Windows\CurrentVersion\Run','SpeccyApp'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1482903692-4194859101-519909330-1000\Software\Microsoft\Windows\CurrentVersion\Run','qKzJfmrk'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1482903692-4194859101-519909330-1000\Software\Microsoft\Windows\CurrentVersion\Run','WeatherForecaster'); DeleteFile('C:\Users\user\AppData\Roaming\WeatherForecaster\python\pythonw.exe','64'); DeleteFile('C:\Windows\Tasks\One System CarePeriod.job',''); DeleteFile('C:\Windows\system32\Tasks\My top apps','x64'); DeleteFile('C:\Users\Admin1c\AppData\Roaming\My-top-apps\My-top-apps.exe','64'); DeleteFile('C:\Windows\system32\Tasks\One System Care Delayed','x64'); DeleteFile('C:\Windows\system32\Tasks\One System Care Monitor','x64'); DeleteFile('C:\Windows\system32\Tasks\One System CarePeriod','x64'); DeleteFile('C:\Windows\system32\Tasks\OneSystemCare Task','x64'); DeleteFile('C:\Windows\system32\Tasks\WeatherForecaster','x64'); DeleteFile('C:\Windows\system32\Tasks\WeatherForecaster2','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 23 июля, 2018 Share Опубликовано 23 июля, 2018 Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\users\user\appdata\roaming\weatherforecaster\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "My top apps" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "WeatherForecaster" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "WeatherForecaster2" /F', 0, 15000, true); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteFileMask('c:\users\user\appdata\roaming\weatherforecaster\', '*', true); DeleteDirectory('c:\program files (x86)\zaxar'); DeleteDirectory('c:\users\user\appdata\roaming\weatherforecaster\'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Timiryaev 0 Опубликовано 23 июля, 2018 Автор Share Опубликовано 23 июля, 2018 Добрый день, все сделал Результат загрузки Файл сохранён как 180723_191534_quarantine_5b5629566e96c.zip Размер файла 272390 MD5 da94ec2df82c5f7b9f95263d2aeb31ff Файл закачан, спасибо!ClearLNK-2018.07.24_00.17.01.log CollectionLog-2018.07.24-00.21.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 23 июля, 2018 Share Опубликовано 23 июля, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Timiryaev 0 Опубликовано 23 июля, 2018 Автор Share Опубликовано 23 июля, 2018 Ссылка с вируинфо - http://virusinfo.info/virusdetector/report.php?md5=2B8ABD9E272457024A66D6C1F862FB9B Ответ по файлу quarantine [KLAN-8442381635]Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:[/size]SpeccyApp.exe - not-a-virus:AdWare.Win32.Hpdefender.aapaВ следующих файлах обнаружен вредоносный код:winupmgr.exe - Trojan-Banker.Win32.CliptoShuffler.cФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ AdwCleanerS00.txt CollectionLog-2018.07.24-00.42.zip FRST.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 23 июля, 2018 Share Опубликовано 23 июля, 2018 C:\Users\user\Desktop\Лист Microsoft Excel.xlsx.[mrbin775@gmx.de].bin2прикрепите в архиве к следующему сообщению. Smart Application Controller удалите через Установку программ. 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: 2018-07-22 12:15 - 2018-07-22 12:15 - 000000000 ____D C:\Users\Все пользователи\b3a925aa-6fd3-0 2018-07-22 12:15 - 2018-07-22 12:15 - 000000000 ____D C:\Users\user\AppData\Roaming\Python 2018-07-22 12:15 - 2018-07-22 12:15 - 000000000 ____D C:\ProgramData\b3a925aa-6fd3-0 2018-07-22 12:14 - 2018-07-24 00:17 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser 2018-07-22 12:14 - 2018-07-24 00:13 - 000000000 ____D C:\Users\user\AppData\Roaming\SpeccyApp 2018-07-22 12:14 - 2018-07-22 12:14 - 000000000 ____D C:\Users\Все пользователи\b3a925aa-0013-1 2018-07-22 12:14 - 2018-07-22 12:14 - 000000000 ____D C:\Users\user\AppData\Roaming\Smart Application Controller 2018-07-22 12:14 - 2018-07-22 12:14 - 000000000 ____D C:\Users\user\AppData\Roaming\My-top-apps 2018-07-22 12:14 - 2018-07-22 12:14 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart Application Controller 2018-07-22 12:14 - 2018-07-22 12:14 - 000000000 ____D C:\ProgramData\b3a925aa-0013-1 2018-07-22 12:14 - 2018-07-22 12:14 - 000000000 ____D C:\Program Files (x86)\Smart Application Controller 2018-07-21 21:47 - 2018-07-21 21:47 - 000918946 _____ C:\Users\user\qKzJfmrk.bmp 2018-07-21 21:47 - 2014-05-26 20:58 - 000000285 _____ C:\Users\user\Documents\Clearr.cmd 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\ирина\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\ирина\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\ирина\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\ирина\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\Валерий\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\Валерий\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\Валерий\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\Валерий\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\USR1CV8\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\Public\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\Public\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\Public\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\Admin1c\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\Admin1c\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\Admin1c\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 21:46 - 2018-07-21 21:46 - 000000878 _____ C:\Users\Admin1c\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 20:57 - 2018-07-21 21:47 - 000000878 _____ C:\Users\user\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 20:57 - 2018-07-21 20:57 - 000000878 _____ C:\Users\user\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 20:57 - 2018-07-21 20:57 - 000000878 _____ C:\Users\user\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 20:37 - 2018-07-21 21:47 - 000000878 _____ C:\Users\user\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-07-21 20:37 - 2018-07-21 20:57 - 000097792 _____ () C:\Users\user\AppData\Local\Temp\$TMP$001.exe 2018-07-22 12:14 - 2018-07-22 12:14 - 002638848 _____ () C:\Users\user\AppData\Local\Temp\bundle220718121423z.exe Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
Timiryaev 0 Опубликовано 23 июля, 2018 Автор Share Опубликовано 23 июля, 2018 Файлы прикрепил Лист Microsoft Excel.xlsx.mrbin775@gmx.de.rar Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 23 июля, 2018 Share Опубликовано 23 июля, 2018 Очередная версия шифровальщика Scarab. С расшифровкой помочь не сможем. Ссылка на сообщение Поделиться на другие сайты
Timiryaev 0 Опубликовано 23 июля, 2018 Автор Share Опубликовано 23 июля, 2018 Очень жаль, спасибо Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти