urni6393 0 Опубликовано 12 декабря, 2018 Share Опубликовано 12 декабря, 2018 Здравствуйте. Пользователь открыл сообщение эл.почты и вирус зашифровал все документы, изображения и т.д. В итоге почти все файлы компьютера зашифрованы. Есть ли надежда на дешифровку? образцы.rar CollectionLog-2018.12.12-07.48.zip README.txt Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 12 декабря, 2018 Share Опубликовано 12 декабря, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('C:\Documents and Settings\Uniq`s\Application Data\Microsoft\Internet Explorer\Quick Launch\README.txt', ''); QuarantineFile('C:\Documents and Settings\Uniq`s\Главное меню\Программы\Автозагрузка\README.txt', ''); QuarantineFile('C:\Temp\NBWCYKAXHE.exe', ''); QuarantineFile('win32x.sys', ''); DeleteFile('C:\Documents and Settings\Uniq`s\Application Data\Microsoft\Internet Explorer\Quick Launch\README.txt', '32'); DeleteFile('C:\Documents and Settings\Uniq`s\Главное меню\Программы\Автозагрузка\README.txt', '32'); DeleteFile('C:\Temp\NBWCYKAXHE.exe', '32'); DeleteFile('win32x.sys', '32'); DeleteService('win32x'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '3166863828', '32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O3 - HKCU\..\Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} - (no file) O3 - HKCU\..\Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - (no file) O4 - Startup other users: C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\README.txt O4 - Startup other users: C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\README.txt O4 - User Startup: C:\Documents and Settings\Uniq`s\Главное меню\Программы\Автозагрузка\README.txt O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file) O9 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file) O12 - HKLM\..\Internet Explorer\Plugins\MIME\application/intertrust-spop: [Location] = (no file) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на сообщение Поделиться на другие сайты
urni6393 0 Опубликовано 12 декабря, 2018 Автор Share Опубликовано 12 декабря, 2018 ответ с newvirus@kaspersky.com KLAN-9256595284 Присланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:README.txtREADME_0.txtФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. свежие логи CollectionLog-2018.12.12-23.17.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 12 декабря, 2018 Share Опубликовано 12 декабря, 2018 При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. + Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Ссылка на сообщение Поделиться на другие сайты
urni6393 0 Опубликовано 13 декабря, 2018 Автор Share Опубликовано 13 декабря, 2018 Подскажите, какие файлы прикрепить к запросу на расшифровку? Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 13 декабря, 2018 Share Опубликовано 13 декабря, 2018 можете теже образцы и ридми, что в первом посте прикрепили. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти