ridoflife 0 Опубликовано 26 сентября, 2018 Share Опубликовано 26 сентября, 2018 Добрый день! Файлы шифруются и переименовываются в email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3535174251-299817123625770042533687.fname-*.doubleoffset Логи и образцы зашифрованных файлов прикладываю CollectionLog-2018.09.26-09.59.zip 123A.rar Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 26 сентября, 2018 Share Опубликовано 26 сентября, 2018 kingsoft antivirus - ваше? Выполните скрипт в АВЗ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме. Ещё следы от Symantec, каким антивирусом вы в итоге пользуетесь? В устновленных у вас ни одного не заметил. + - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
ridoflife 0 Опубликовано 27 сентября, 2018 Автор Share Опубликовано 27 сентября, 2018 Нет, антивирусных программ сейчас не установлено. Ссылка на report.7z - https://www68.zippyshare.com/v/0fCzENj6/file.html https://virusinfo.info/virusdetector/report.php?md5=D7757F0F76BA45B45ECF9527ED04AEB2 Зашифрованые файлы можно вылечить? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 сентября, 2018 Share Опубликовано 27 сентября, 2018 Зашифрованые файлы можно вылечить? лечить надо вирусы (систему), а насчёт возможности рассшифровки файлов проверю после окончания лечения.Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
ridoflife 0 Опубликовано 27 сентября, 2018 Автор Share Опубликовано 27 сентября, 2018 Пожалуйста Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 сентября, 2018 Share Опубликовано 27 сентября, 2018 1) Skype Click to Call (HKLM-x32\...\{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}) (Version: 8.5.0.9167 - Microsoft Corporation) деинсталируйте. 2) Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <==== ATTENTION HKU\S-1-5-21-3910320338-595275252-1442103581-1527\...\MountPoints2: E - E:\autorun.exe HKU\S-1-5-21-3910320338-595275252-1442103581-1527\...\MountPoints2: {21fe87e0-fab9-11e7-a9a0-6cf049b6e0c5} - H:\Lenovo_Suite.exe HKU\S-1-5-21-3910320338-595275252-1442103581-1527\...\MountPoints2: {21fe87e5-fab9-11e7-a9a0-6cf049b6e0c5} - H:\Lenovo_Suite.exe HKU\S-1-5-21-3910320338-595275252-1442103581-1527\...\MountPoints2: {2d750b90-4d1e-11e7-902f-6cf049b6e0c5} - H:\Lenovo_Suite.exe GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION S4 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys [X] S4 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TS888x64.sys [X] S4 TsDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TsDefenseBT64.sys [X] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 3) Насчёт рассшифровки проверьте ЛС, 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ridoflife 0 Опубликовано 27 сентября, 2018 Автор Share Опубликовано 27 сентября, 2018 (изменено) не совсем понял куда вставлять нужно предложеный код. прикрепляю лог файл Fixlog.txt Изменено 27 сентября, 2018 пользователем ridoflife Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 сентября, 2018 Share Опубликовано 29 сентября, 2018 Не видно в логах этого компьютера шифрованных файлов. Судя по количеству профилей в системе, данный компьютер служит в качестве сервера и дотянуться до него можно по сети. Не удивлюсь, если шифрованные файлы появляются в расшаренных папках пользователей. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 29 сентября, 2018 Share Опубликовано 29 сентября, 2018 @ridoflife, создайте точку восстановления вручную. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.