std 0 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Пойман криптовирус. stopencrypt@qq.com.adobe логи во вложении. CollectionLog-2018.11.18-18.09.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); StopService('Windows32_Update'); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Stop.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-64260364.[stopencrypt@qq.com].adobe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\kassa1\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\kassa1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Stop.exe', ''); QuarantineFile('C:\Users\kassa1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\Администратор.NBMC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-64260364.[stopencrypt@qq.com].adobe', ''); QuarantineFile('C:\Windows\dell\svchost.exe', ''); QuarantineFile('C:\Windows\System32\Info.hta', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Stop.exe', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-64260364.[stopencrypt@qq.com].adobe', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Users\kassa1\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Users\kassa1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Stop.exe', '64'); DeleteFile('C:\Users\kassa1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Users\Администратор.NBMC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-64260364.[stopencrypt@qq.com].adobe', '64'); DeleteFile('C:\Windows\dell\svchost.exe', '64'); DeleteFile('C:\Windows\System32\Info.hta', '64'); DeleteService('Windows32_Update'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\kassa1\AppData\Roaming\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); end. После выполнения скрипта компьютер перезагрузите вручную - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. ps. сразу предупрежу, что с рассшифровкой помочь не сможем. Но пролечить систему вам надо ибо шифратор у вас до сих активен. Ссылка на сообщение Поделиться на другие сайты
std 0 Опубликовано 18 ноября, 2018 Автор Share Опубликовано 18 ноября, 2018 Дело в том, что зашифрованы и системные файлы и после перезагрузки компьютер не загрузится. Без перезагрузки никак нельзя? Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 19 ноября, 2018 Share Опубликовано 19 ноября, 2018 Перезагрузка обязательна. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти