Стас67 0 Опубликовано 17 декабря, 2018 Share Опубликовано 17 декабря, 2018 Добрый день!, попал комп друга вирус шифровальщик (открыл письмо и вложеный файл) Антивмрус был 360 тотал секурити Файл редми следующего содержания Baши фaйлы были зaшифpoвaны. Чтобы рacшuфpoвать иx, Вам необxoдuмо oтnpaвumь кoд: D22FE02000699312DD06|0 нa элекmpонный aдpес pilotpilot088@gmail.com . Далее вы noлучuте вce нeoбхoдимые инстpуkцuu. Попытku pасшuфровать cамосmoяmeльнo нe nриведym ни k чeмy, kpoме бeзвoзвpaтной пoтеpu инфoрмaции. Eслu вы всё жe хоmите поnыmаmься, то прeдварuтeльнo cдeлaйте резервные kоnuu фaйлoв, uначе в слyчае uх uзменения paсшuфровка cmaнem нeвозмoжной нu npu kaкux yслoвияx. Если вы не полyчилu оmвeта nо вышеyказaнному адpeсу в тeчeние 48 чаcов (u тольkо в эmом случае!), вocnoльзуйтecь фopмой обpamнoй связu. Эmo можнo сделaть двумя cпоcoбами: 1) Сkачaйтe u yстaновите Tor Browser nо cсылке: https://www.torproject.org/download/download-easy.html.en В адpеснoй сmрoкe Tor Browser-a введитe адрес: http://cryptsen7fo43rr6.onion/ и нажмиmе Enter. 3aгpyзиmcя cmpaница с фoрмoй обрamнoй связu. 2) B любoм бpаyзере пеpeйдumе по одномy из aдресов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Установил логгер, результат работы во вложении Файл во вложении CollectionLog-2018.12.14-16.59.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 декабря, 2018 Share Опубликовано 17 декабря, 2018 Здравствуйте! Расшифровки этой версии к сожалению нет. Но вымогатель активен. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\programdata\windows\csrss.exe'); TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe'); TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe'); TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe'); TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe'); TerminateProcessByName('c:\progra~3\softwa~1\nheqmi~1.exe'); QuarantineFile('c:\progra~3\softwa~1\nheqmi~1.exe', ''); QuarantineFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', ''); QuarantineFile('C:\ProgramData\Drivers\csrss.exe', ''); QuarantineFile('C:\ProgramData\Resources\svchost.exe', ''); QuarantineFile('C:\ProgramData\services\csrss.exe', ''); QuarantineFile('c:\programdata\windows\csrss.exe', ''); QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', ''); QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', ''); QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', ''); QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', ''); DeleteFile('c:\progra~3\softwa~1\nheqmi~1.exe'); DeleteFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', '32'); DeleteFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', '64'); DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32'); DeleteFile('C:\ProgramData\Drivers\csrss.exe', '64'); DeleteFile('C:\ProgramData\Resources\svchost.exe', '32'); DeleteFile('C:\ProgramData\Resources\svchost.exe', '64'); DeleteFile('C:\ProgramData\services\csrss.exe', '32'); DeleteFile('C:\ProgramData\services\csrss.exe', '64'); DeleteFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); DeleteFile('C:\ProgramData\Windows\csrss.exe', '64'); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', ''); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', '64'); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', ''); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', '64'); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', ''); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', '64'); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', ''); DeleteFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN). Через Панель управления - Удаление программ - удалите нежелательное ПО: SafeWeb Менеджер браузеров Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
Стас67 0 Опубликовано 17 декабря, 2018 Автор Share Опубликовано 17 декабря, 2018 (изменено) Файл quarantine.zip отправил, Свежий Collection.log во вложении ответ от newvirus@kaspersky.com KLAN-9300635936 CollectionLog-2018.12.17-13.20.zip Изменено 17 декабря, 2018 пользователем Стас67 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 декабря, 2018 Share Опубликовано 17 декабря, 2018 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Стас67 0 Опубликовано 17 декабря, 2018 Автор Share Опубликовано 17 декабря, 2018 Отчет во вложении AdwCleanerS00.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 декабря, 2018 Share Опубликовано 17 декабря, 2018 Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Стас67 0 Опубликовано 17 декабря, 2018 Автор Share Опубликовано 17 декабря, 2018 отчет (появилось 2 файла, время создания 14-04 и 14-05, самый первый который отослал 13-45) AdwCleanerS01.txt AdwCleanerC01.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 декабря, 2018 Share Опубликовано 17 декабря, 2018 Продолжаем: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти