ridoflife 0 Опубликовано 26 сентября, 2018 Share Опубликовано 26 сентября, 2018 Добрый день! Файлы шифруются и переименовываются в email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3535174251-299817123625770042533687.fname-*.doubleoffset Логи и образцы зашифрованных файлов прикладываю CollectionLog-2018.09.26-09.59.zip 123A.rar Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 26 сентября, 2018 Share Опубликовано 26 сентября, 2018 kingsoft antivirus - ваше? Выполните скрипт в АВЗ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме. Ещё следы от Symantec, каким антивирусом вы в итоге пользуетесь? В устновленных у вас ни одного не заметил. + - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Ссылка на сообщение Поделиться на другие сайты
ridoflife 0 Опубликовано 27 сентября, 2018 Автор Share Опубликовано 27 сентября, 2018 Нет, антивирусных программ сейчас не установлено. Ссылка на report.7z - https://www68.zippyshare.com/v/0fCzENj6/file.html https://virusinfo.info/virusdetector/report.php?md5=D7757F0F76BA45B45ECF9527ED04AEB2 Зашифрованые файлы можно вылечить? Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 27 сентября, 2018 Share Опубликовано 27 сентября, 2018 Зашифрованые файлы можно вылечить? лечить надо вирусы (систему), а насчёт возможности рассшифровки файлов проверю после окончания лечения.Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
ridoflife 0 Опубликовано 27 сентября, 2018 Автор Share Опубликовано 27 сентября, 2018 Пожалуйста Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 27 сентября, 2018 Share Опубликовано 27 сентября, 2018 1) Skype Click to Call (HKLM-x32\...\{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}) (Version: 8.5.0.9167 - Microsoft Corporation) деинсталируйте. 2) Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <==== ATTENTION HKU\S-1-5-21-3910320338-595275252-1442103581-1527\...\MountPoints2: E - E:\autorun.exe HKU\S-1-5-21-3910320338-595275252-1442103581-1527\...\MountPoints2: {21fe87e0-fab9-11e7-a9a0-6cf049b6e0c5} - H:\Lenovo_Suite.exe HKU\S-1-5-21-3910320338-595275252-1442103581-1527\...\MountPoints2: {21fe87e5-fab9-11e7-a9a0-6cf049b6e0c5} - H:\Lenovo_Suite.exe HKU\S-1-5-21-3910320338-595275252-1442103581-1527\...\MountPoints2: {2d750b90-4d1e-11e7-902f-6cf049b6e0c5} - H:\Lenovo_Suite.exe GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION S4 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys [X] S4 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TS888x64.sys [X] S4 TsDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TsDefenseBT64.sys [X] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 3) Насчёт рассшифровки проверьте ЛС, 1 Ссылка на сообщение Поделиться на другие сайты
ridoflife 0 Опубликовано 27 сентября, 2018 Автор Share Опубликовано 27 сентября, 2018 (изменено) не совсем понял куда вставлять нужно предложеный код. прикрепляю лог файл Fixlog.txt Изменено 27 сентября, 2018 пользователем ridoflife Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 29 сентября, 2018 Share Опубликовано 29 сентября, 2018 Не видно в логах этого компьютера шифрованных файлов. Судя по количеству профилей в системе, данный компьютер служит в качестве сервера и дотянуться до него можно по сети. Не удивлюсь, если шифрованные файлы появляются в расшаренных папках пользователей. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 29 сентября, 2018 Share Опубликовано 29 сентября, 2018 @ridoflife, создайте точку восстановления вручную. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти