ransom.shade Поймали вирус от Novikov.vavila@gmail.com

[Ekaterina34]

Помогите люди добрые ))) не хера в этом не понимаю

FRST.txt

Addition.txt

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[Ekaterina34]

ДА если б что  то из этого было понятно

[Sandor]

Прочтите внимательно инструкцию, конкретно что будет непонятно, спрашивайте.

[Ekaterina34]

Сообщение от модератора thyrex

Темы объединены

ВИРУС
 

CollectionLog-2018.09.14-17.14.zip

log.txt

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFileF('C:\ProgramData\Windows\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFileMask('C:\ProgramData\Windows\', '*', true);
 DeleteDirectory('C:\ProgramData\Windows\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Ekaterina34]

Компьютер перезагрузился но все осталось как прежде, файл отправил жду помощи

[KLAN-8734530133]

Благодарим Вас за обращение в Лабораторию Касперского Файлы были проверены в автоматическом режиме. Вредоносный код обнаружен в следующих файлах: csrss.exe - Троян-выкуп.Win32.Оттенок.ovn Мы тщательно проанализируем отправленные вами файлы. Если результат анализа отличается от результата автоматического сканирования, вы получите уведомление по электронной почте. Это автоматически созданное сообщение. Пожалуйста, не отвечайте на него. Антивирусная лаборатория, штаб-квартира Лаборатории Касперского "Ленинградское шоссе, 39А/3, Москва, 125212, Россия Тел./Факс: + 7 (495) 797 8700 https://www.securelist.comhttp://www.kaspersky.com "

[regist]

 

 

Троян-выкуп.Win32.Оттенок.ovn

вы что каким-то переводчиком их ответ переводили? Скопируйте ответ как он был.

 

+

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

не сделали.

[Ekaterina34]

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

Malicious code has been detected in the following files:
csrss.exe - Trojan-Ransom.Win32.Shade.ovn

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

--------------------------------------------------------------------------------
From: 
Sent: 9/15/2018 8:54:00 AM
To: newvirus@kaspersky.com
Subject:

[regist]

Жду остального.

[Ekaterina34]

ПРИКРЕПЛЯЮ

CollectionLog-2018.09.15-12.55.zip

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Ekaterina34]

прикрепляю

Addition.txt

FRST.txt

[regist]

 

DriverPack Notifier (HKLM-x32\...\DriverPack Notifier) (Version: 2.0 - DriverPack Solution)

Google Toolbar for Internet Explorer (HKLM-x32\...\{18455581-E099-4BA8-BC6B-F34B2F06600C}) (Version: 1.0.0 - Google Inc.) Hidden

Google Toolbar for Internet Explorer (HKLM-x32\...\{2318C2B1-4965-11d4-9B18-009027A5CD4F}) (Version: 7.5.8231.2252 - Google Inc.)

советую деинсталировать.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.