Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Подхватили шифровальщик, где неизвестно. Все файлы пользователя зашифрованы с расширением *.crypted000007. Помогите пожалуйста. Логи прилагаю.

CollectionLog-2018.10.31-09.42.zip

Опубликовано

Здравствуйте!

 

При сборе логов антивирус отключали?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Опубликовано

Здравствуйте!

 

При сборе логов антивирус отключали?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

TuneUp Utilities мы удалили, а вот AdwCleaner (by Malwarebytes) не запускается. Пишет ошибку  (скрин). Пробовал установить DirectX10_RC2_Pre_Fix_3 как советуют в сети, ошибка остается. 

 

Здравствуйте!

 

При сборе логов антивирус отключали?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

TuneUp Utilities мы удалили, а вот AdwCleaner (by Malwarebytes) не запускается. Пишет ошибку  (скрин). Пробовал установить DirectX10_RC2_Pre_Fix_3 как советуют в сети, ошибка остается. 

 

Прикрепляю лог без TuneUp Utilities созданный AutoLogger'ом

post-51590-0-53511400-1540907227_thumb.jpg

CollectionLog-2018.10.31-16.57.zip

Опубликовано

Здравствуйте!

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 StopService('19642E2D8A');
 StopService('19843DC1A1');
 StopService('1A341EE1EB');
 StopService('1A6707505A');
 StopService('1A7D41DB56');
 StopService('1AD79C372E');
 StopService('1C5CC502BE');
 StopService('1CEE527898');
 StopService('1D6EBFCB40');
 StopService('1DCE07D5FD');
 StopService('1E731E1ED0');
 StopService('1E758747B1');
 StopService('1F2A7A9BE2');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\drwebkey.bat', '');
 QuarantineFile('C:\WINDOWS\system32\Restore\profhlp.exe', '');
 QuarantineFile('C:\WINDOWS\TEMP\19642E2D8A.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\19843DC1A1.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1A341EE1EB.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1A6707505A.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1A7D41DB56.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1AD79C372E.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1C5CC502BE.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1CEE527898.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1D6EBFCB40.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1DCE07D5FD.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1E731E1ED0.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1E758747B1.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1F2A7A9BE2.sys', '');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\drwebkey.bat', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^drwebkey.bat', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
  SetupAVZ('QrPWD=malware');
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

 

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\rstrui.exe: [Debugger] = C:\WINDOWS\system32\Restore\profhlp.exe
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

+ если не читали при регистрации, то сейчас перечитайте правила форума, в частности пункт №14.

Опубликовано

Выполнили все вышеперечисленное. Но при запуске автосборщика логов выдает такое сообщение (скрин). При попытке скачать с сайта новый таже самая ошибка. Кнопка обновить базы в AVZ недоступна.

post-51590-0-42171300-1540968783_thumb.jpg

Опубликовано (изменено)

Проверьте у себя дату. Почему у вас 1-е число стоит?

Изменено пользователем regist

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Василий Сорокин
      Автор Василий Сорокин
      доброго времени суток.
      прошу помощи расшифровать файлы...
      ситуация: зашифрованы файлы изображений, на дике д редми с вирусом win32/filecoder.ed
      на завирусованной машине открывается с содержанием кода(f4f5ff0faf71686cbaaf/0) и адресов(files1147@gmail.com или post100023@gmail.com)
       
       
      CollectionLog-2015.09.15-16.46.zip
    • Solaris05
    • VLDMaster
      Автор VLDMaster
      Файлы зашифрованы в формате .XTBL. Лог файлы собраны AutoLogger.exe и приложены к сообщению. Помогите пожалуйста! Спасибо!
      CollectionLog-2015.07.05-19.07.zip
    • ULTERnv
      Автор ULTERnv
      Ребенок лазил по сайтам в итоге фотографии и документы стали зашифрованы с разрешением XTBL прошу Вас помочь с данной проблемой.
       
      CollectionLog-2015.09.08-21.38.zip
    • Иван Милимко
      Автор Иван Милимко
      На жестком диске на каждом есть реадми с таким текстом 
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      9BC894C92277F3648443|0
      на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      проверил AVZ и KVRT
      avz_log.txt
      CollectionLog-2015.09.08-14.45.zip
×
×
  • Создать...