std Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Пойман криптовирус. stopencrypt@qq.com.adobe логи во вложении. CollectionLog-2018.11.18-18.09.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); StopService('Windows32_Update'); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Stop.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-64260364.[stopencrypt@qq.com].adobe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\kassa1\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\kassa1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Stop.exe', ''); QuarantineFile('C:\Users\kassa1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\Администратор.NBMC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-64260364.[stopencrypt@qq.com].adobe', ''); QuarantineFile('C:\Windows\dell\svchost.exe', ''); QuarantineFile('C:\Windows\System32\Info.hta', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Stop.exe', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-64260364.[stopencrypt@qq.com].adobe', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Users\kassa1\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Users\kassa1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Stop.exe', '64'); DeleteFile('C:\Users\kassa1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Users\Администратор.NBMC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-64260364.[stopencrypt@qq.com].adobe', '64'); DeleteFile('C:\Windows\dell\svchost.exe', '64'); DeleteFile('C:\Windows\System32\Info.hta', '64'); DeleteService('Windows32_Update'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\kassa1\AppData\Roaming\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); end. После выполнения скрипта компьютер перезагрузите вручную - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. ps. сразу предупрежу, что с рассшифровкой помочь не сможем. Но пролечить систему вам надо ибо шифратор у вас до сих активен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
std Опубликовано 18 ноября, 2018 Автор Share Опубликовано 18 ноября, 2018 Дело в том, что зашифрованы и системные файлы и после перезагрузки компьютер не загрузится. Без перезагрузки никак нельзя? Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 19 ноября, 2018 Share Опубликовано 19 ноября, 2018 Перезагрузка обязательна. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти