Перейти к содержанию
Интервью с экспертом: задай вопрос Лере Прокопенко, системному аналитику Kaspersky eSIM Store

stopencrypt@qq.com.adobe

std
 Поделиться

Рекомендуемые сообщения

regist

regist

Опубликовано
Опубликовано

Здравствуйте!


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('Windows32_Update');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Stop.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-64260364.[stopencrypt@qq.com].adobe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\kassa1\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\kassa1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Stop.exe', '');
 QuarantineFile('C:\Users\kassa1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Администратор.NBMC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-64260364.[stopencrypt@qq.com].adobe', '');
 QuarantineFile('C:\Windows\dell\svchost.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Stop.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-64260364.[stopencrypt@qq.com].adobe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\kassa1\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\kassa1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Stop.exe', '64');
 DeleteFile('C:\Users\kassa1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\Администратор.NBMC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-64260364.[stopencrypt@qq.com].adobe', '64');
 DeleteFile('C:\Windows\dell\svchost.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteService('Windows32_Update');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\kassa1\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузите вручную

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.


ps. сразу предупрежу, что с рассшифровкой помочь не сможем. Но пролечить систему вам надо ибо шифратор у вас до сих активен.

std

std

Опубликовано
  • Автор
Опубликовано

Дело в том, что зашифрованы и системные файлы и после перезагрузки компьютер не загрузится. Без перезагрузки никак нельзя?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Артём Килькеев
      вирус шифровальщик закодировал файлы
      Автор Артём Килькеев
      Вирус шифровальщик закодировал файлы.
      После шифрования в корневом каталоге появился  текстовый файл FILES ENCRYPTED.txt   с содержанием:
      all your data has been locked us You want to return? write email luckyman@cock.li or realluckyman@bigmir.net   В имени Зашифрованных  файлов добавилось : .id-AE16E5FE.[luckyman@cock.li].arena
    • temrmal
      шифровальщик arena
      Автор temrmal
      Поймали шифровальщик arena. В момент шифрования успел выключить компьютер. Половина файлов зашифровалось. Самая важная часть (база данных) не тронута. Через безопасный режим базу вытащил. Но при включениии компьютера шифрование продолжается. Антивирус отключен. Вопрос: если шифрование продолжается, значит ключ шифрования еще там? Это может как-то помочь в расшифровке?
       
      Не стал пока выполнять процедуры лечения, чтобы не удалить ничего
    • megaandrey
      Шифровальщик - Crusis (arena)
      Автор megaandrey
      Просим посодействовать в восстановлении файлов. Зашифровано огромное кол-во важных файлов.
       
       
      [KLAN-6896851672]
       
      Присланные вами файлы были проверены в автоматическом режиме.
       
      В следующих файлах обнаружен вредоносный код:
      explore.exe - Trojan-Ransom.Win32.Crusis.to explore_0.exe - Trojan-Ransom.Win32.Crusis.to explore_1.exe - Trojan-Ransom.Win32.Crusis.to explore_2.exe - Trojan-Ransom.Win32.Crusis.to
       
      В антивирусных базах информация по присланным вами файлам отсутствует:
      vsepflt.sys
      vmhgfs.dll
      vmhgfs_0.dll
      desktop.ini.id-CC4747B6.[payfordecrypt1@qq.com].arena
      desktop.ini.id-CC4747B6.[payfordecrypt1@qq.com]_0.arena
      desktop.ini.id-CC4747B6.[payfordecrypt1@qq.com]_1.arena
      Google Chrome.lnk.id-CC4747B6.[payfordecrypt1@qq.com].arena
      Launch Internet Explorer Browser.lnk.id-CC4747B6.[payfordecrypt1@qq.com].arena
      Shows Desktop.lnk.id-CC4747B6.[payfordecrypt1@qq.com].arena
      Window Switcher.lnk.id-CC4747B6.[payfordecrypt1@qq.com].arena
    • aaalex
      Шифровальщик arena
      Автор aaalex
      Прошу помощи!
       
      Зашифрованы файлы, расширение arena.
       
      Пробовал некоторые расшифровщики, не получилось(то ли лыжи не едут..)
       
      Файл вымогателя FILES ENCRYPTED.txt
       
      all your data has been locked us You want to return? write email decrypt2010btc@cock.li or bestbitforch@airmail.cc   Собрал логи по инструкции.   Также прикрепил образец зараженного файла. CollectionLog-2017.09.17-15.07.zip
      chromeinstall-7u67.exe.id-444503AA.decrypt2010btc@cock.li.arena.zip
    • Tihoniuc
      Файлы зашифрованы вирусом trojan-ransom.win32.crusis.to
      Автор Tihoniuc
      Добрый день!
      На одном из компьютеров сети, который используется как файловый сервер зашифрованы файлы. К названию файла добавилось .id-6C89F481.[max@zayka.pro].arena.
      Нашёл файл max@zayka.pro.exe и антивирус определил, что в нём вирус trojan-ransom.win32.crusis.to. Есть файлы pdf зашифрованный и оригинал, а также файл с требованием. Заранее спасибо.
      CollectionLog-2017.09.22-19.01.zip
      Файлы.rar
      FILES ENCRYPTED.txt
×
×
  • Создать...