Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день, системник не мой, принесли "попросили что-нибудь сделать", пробовал по средствам сайта https://www.nomoreransom.org, вроде нашло нужную утилиту BDAnnabelleDecryptTool но она не помогла, написала что файлов зараженных нет... впрочем как и CoinVaultDecryptor. Помогите, спасибо!

CollectionLog-2018.11.05-13.06.zip

Опубликовано (изменено)

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, к сожалению. Но, судя по логам, он возможно еще активен.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Resources\svchost.exe', '');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '64');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem', 'command', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hh.exe', 'command', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
Опубликовано (изменено)

Здравствуйте!

+

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2-32 - HKLM\..\BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\Scorp\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll (file missing)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Server4PC.lnk [backup] => C:\Program Files (x86)\TechniSat DVB\bin\Server4PC.exe (2017/01/01) (file missing)
O4 - MSConfig\startupreg: Client Server Runtime Subsystem [command] = C:\ProgramData\Windows\csrss.exe (HKLM) (2018/11/01) (file missing)
O4 - MSConfig\startupreg: World of Tanks [command] = D:\Games\World_of_Tanks\WargamingGameUpdater.exe (HKCU) (2018/11/01) (file missing)
O4 - MSConfig\startupreg: hh.exe [command] = C:\ProgramData\Resources\svchost.exe (HKLM) (2018/11/01) (file missing)
O22 - Task (.job): (Ready) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\18.7.1.920\service_update.exe (file missing)  --repair
O22 - Task (.job): (Ready) Системное обновление Браузера Яндекс.job - C:\Program Files (x86)\Yandex\YandexBrowser\18.7.1.920\service_update.exe (file missing)  --run-as-launcher
O22 - Task: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\18.7.1.920\service_update.exe --repair (file missing)
O22 - Task: Системное обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\18.7.1.920\service_update.exe --run-as-launcher (file missing)
Java(TM) 6 Update 15 [20161224]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF}

деинсталируйте.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи Автологером по правилам.

Изменено пользователем regist

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Екатерина Лучинина
      Автор Екатерина Лучинина
      Пару недель назад, столкнулась с проблемой, ни одну фотографию на компьютере не смогла открыть. Ну думаю, опять вирус подцепила(где и когда, не помню/не знаю), отнесу администратору на работе, должен починить...
      Принесла вчера, а он мне с порога, мол: " --Фигу, что я уже из своих фотографий увижу, если у меня их не было в другом месте." 
      А фотографии я не копировала никуда. В общем после пролитых слез полезла я поискать решение, ну и направило меня сюда.
      Поможите люди добрые, вроде все сделала по инструкции, вот лог.
       

      Ой, задвоилась тема, можно одну удалить?
      CollectionLog-2015.11.10-12.48.zip
      report1.log
      report2.log
    • Alex_hvost
      Автор Alex_hvost
      Добрый день! схожая проблема уже озвучивалась на этом форуме, следуя инструкциям создаю новую тему с тем сообщением что пришло мне:
      на рабочем столе появилась надпись красными буквами на черном экране: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы и + на английском. Файлы стали зашифрованы под таким разрешением .xbtl и появилась 6 файлом readme в котором написано:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: B3DF8C1ACB4CD7FA4CD8|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: B3DF8C1ACB4CD7FA4CD8|0 to e-mail address files1147@gmail.com or post100023@gmail.com . Then you will receive all necessary instructions.  
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Прошу вас помочь с разрешением этой ситуации Спасибо
    • borka_e
      Автор borka_e
      Знакомый принес ноутбук, говорит не выходит в интернет, на ноутбуке все или большинство файлов зашифрованы - расширение xtbl, есть ли шансы на восстановление? Согласно инструкции на этом сайте почистил систему: Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!. Сделал лог AutoLogger.exe, файл прилагаю. 
      CollectionLog-2015.10.27-10.40.zip
    • bom81
      Автор bom81
      Вирус зашифровал файлы
      примерно минут за 12
       
      сам файл, который запустил пользователь, нашел
      051115scan.scr
       
       
       
      Оставлены 10 файликов  на рабочем столе о том как расшифровать
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 339759B8033610BB2417|288|2|7 на электронный адрес files100001@gmail.com или files100002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 339759B8033610BB2417|288|2|7 to e-mail address files100001@gmail.com or files100002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     могу приложить сам вирус и зашифрованные файлы     возможно ли их будет расшифровать? виндовс переставить не долго, а вот расшифровать... CollectionLog-2015.11.08-14.57.zip
    • vsmzadmin
      Автор vsmzadmin
      Пользователь открыл прикрепленный к письму архив с исполняемым файлом. В результате все документы зашифрованы, имена закодированы, расширение XTBL В файле readme.txt сообщение:  
            CollectionLog-2015.11.10-10.51.zip
×
×
  • Создать...