Стас67 Опубликовано 17 декабря, 2018 Опубликовано 17 декабря, 2018 Добрый день!, попал комп друга вирус шифровальщик (открыл письмо и вложеный файл) Антивмрус был 360 тотал секурити Файл редми следующего содержания Baши фaйлы были зaшифpoвaны. Чтобы рacшuфpoвать иx, Вам необxoдuмо oтnpaвumь кoд: D22FE02000699312DD06|0 нa элекmpонный aдpес pilotpilot088@gmail.com . Далее вы noлучuте вce нeoбхoдимые инстpуkцuu. Попытku pасшuфровать cамосmoяmeльнo нe nриведym ни k чeмy, kpoме бeзвoзвpaтной пoтеpu инфoрмaции. Eслu вы всё жe хоmите поnыmаmься, то прeдварuтeльнo cдeлaйте резервные kоnuu фaйлoв, uначе в слyчае uх uзменения paсшuфровка cmaнem нeвозмoжной нu npu kaкux yслoвияx. Если вы не полyчилu оmвeта nо вышеyказaнному адpeсу в тeчeние 48 чаcов (u тольkо в эmом случае!), вocnoльзуйтecь фopмой обpamнoй связu. Эmo можнo сделaть двумя cпоcoбами: 1) Сkачaйтe u yстaновите Tor Browser nо cсылке: https://www.torproject.org/download/download-easy.html.en В адpеснoй сmрoкe Tor Browser-a введитe адрес: http://cryptsen7fo43rr6.onion/ и нажмиmе Enter. 3aгpyзиmcя cmpaница с фoрмoй обрamнoй связu. 2) B любoм бpаyзере пеpeйдumе по одномy из aдресов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Установил логгер, результат работы во вложении Файл во вложении CollectionLog-2018.12.14-16.59.zip
Sandor Опубликовано 17 декабря, 2018 Опубликовано 17 декабря, 2018 Здравствуйте! Расшифровки этой версии к сожалению нет. Но вымогатель активен. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\programdata\windows\csrss.exe'); TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe'); TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe'); TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe'); TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe'); TerminateProcessByName('c:\progra~3\softwa~1\nheqmi~1.exe'); QuarantineFile('c:\progra~3\softwa~1\nheqmi~1.exe', ''); QuarantineFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', ''); QuarantineFile('C:\ProgramData\Drivers\csrss.exe', ''); QuarantineFile('C:\ProgramData\Resources\svchost.exe', ''); QuarantineFile('C:\ProgramData\services\csrss.exe', ''); QuarantineFile('c:\programdata\windows\csrss.exe', ''); QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', ''); QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', ''); QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', ''); QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', ''); DeleteFile('c:\progra~3\softwa~1\nheqmi~1.exe'); DeleteFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', '32'); DeleteFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', '64'); DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32'); DeleteFile('C:\ProgramData\Drivers\csrss.exe', '64'); DeleteFile('C:\ProgramData\Resources\svchost.exe', '32'); DeleteFile('C:\ProgramData\Resources\svchost.exe', '64'); DeleteFile('C:\ProgramData\services\csrss.exe', '32'); DeleteFile('C:\ProgramData\services\csrss.exe', '64'); DeleteFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); DeleteFile('C:\ProgramData\Windows\csrss.exe', '64'); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', ''); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', '64'); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', ''); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', '64'); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', ''); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', '64'); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', ''); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN). Через Панель управления - Удаление программ - удалите нежелательное ПО: SafeWeb Менеджер браузеров Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.
Стас67 Опубликовано 17 декабря, 2018 Автор Опубликовано 17 декабря, 2018 (изменено) Файл quarantine.zip отправил, Свежий Collection.log во вложении ответ от newvirus@kaspersky.com KLAN-9300635936 CollectionLog-2018.12.17-13.20.zip Изменено 17 декабря, 2018 пользователем Стас67
Sandor Опубликовано 17 декабря, 2018 Опубликовано 17 декабря, 2018 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Стас67 Опубликовано 17 декабря, 2018 Автор Опубликовано 17 декабря, 2018 Отчет во вложении AdwCleanerS00.txt
Sandor Опубликовано 17 декабря, 2018 Опубликовано 17 декабря, 2018 Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве.
Стас67 Опубликовано 17 декабря, 2018 Автор Опубликовано 17 декабря, 2018 отчет (появилось 2 файла, время создания 14-04 и 14-05, самый первый который отослал 13-45) AdwCleanerS01.txt AdwCleanerC01.txt
Sandor Опубликовано 17 декабря, 2018 Опубликовано 17 декабря, 2018 Продолжаем: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти