MoreFun 0 Опубликовано 17 декабря, 2018 Share Опубликовано 17 декабря, 2018 Споймал вирус, заплатил выкуп 200$. Дешифратор не скинули. Прошла уже неделя. Надеюсь на расшифровку. CollectionLog-2018.12.18-01.42.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 18 декабря, 2018 Share Опубликовано 18 декабря, 2018 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Web Companion Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-0EFE3C73.[adobepay@airmail.cc].adobe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\w_i_n\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\w_i_n\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-0EFE3C73.[adobepay@airmail.cc].adobe', ''); QuarantineFile('C:\Users\w_i_n\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\WINDOWS\System32\Info.hta', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-0EFE3C73.[adobepay@airmail.cc].adobe', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Users\w_i_n\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Users\w_i_n\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-0EFE3C73.[adobepay@airmail.cc].adobe', '64'); DeleteFile('C:\Users\w_i_n\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\WINDOWS\System32\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\w_i_n\AppData\Roaming\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\WINDOWS\System32\Info.hta', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
MoreFun 0 Опубликовано 18 декабря, 2018 Автор Share Опубликовано 18 декабря, 2018 Не удаляется webcompanion через удаление программ. Удалил просто файлы, найденные через поиск. Прилагаю скрин причины отказа в удалении. Постоянно закрывается microsoft EDGE. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 18 декабря, 2018 Share Опубликовано 18 декабря, 2018 Попробуйте удалить принудительно, например, через Revo Uninstall. И Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.ждем. Цитата Ссылка на сообщение Поделиться на другие сайты
MoreFun 0 Опубликовано 18 декабря, 2018 Автор Share Опубликовано 18 декабря, 2018 Удалил все данные о webcompanion из реестра. Лог прилагаю CollectionLog-2018.12.18-14.19.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 18 декабря, 2018 Share Опубликовано 18 декабря, 2018 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 18 декабря, 2018 Share Опубликовано 18 декабря, 2018 (изменено) Споймал вирус, заплатил выкуп 200$. Дешифратор не скинули. и не только вам, вот ещё жаловались, что они просто разводят на деньги. Изменено 18 декабря, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
MoreFun 0 Опубликовано 18 декабря, 2018 Автор Share Опубликовано 18 декабря, 2018 Вот Просили 1200$ сразу, с угрозой, что через 48 часов будет 2000$ Просьба скажите как вирус попал на компьютер. ADW клинером нажать кнопку очистить и восстановить?AdwCleanerS00.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 18 декабря, 2018 Share Опубликовано 18 декабря, 2018 Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. как вирус попал на компьютерМы это выясним в конце лечения. Скорее всего либо через почту, либо через слабый пароль на RDP. с угрозой, что через 48 часовНе обращайте внимания. Вот результат переписки со злодеями. Цитата Ссылка на сообщение Поделиться на другие сайты
MoreFun 0 Опубликовано 18 декабря, 2018 Автор Share Опубликовано 18 декабря, 2018 вот AdwCleanerC01.txt AdwCleanerS01.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 18 декабря, 2018 Share Опубликовано 18 декабря, 2018 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
MoreFun 0 Опубликовано 18 декабря, 2018 Автор Share Опубликовано 18 декабря, 2018 вот Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 18 декабря, 2018 Share Опубликовано 18 декабря, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy\User: Restriction ? <==== ATTENTION HKLM\...\StartupApproved\StartupFolder: => "Info.hta" HKLM\...\StartupApproved\Run: => "C:\Users\w_i_n\AppData\Roaming\Info.hta" HKLM\...\StartupApproved\Run: => "C:\WINDOWS\System32\Info.hta" HKU\S-1-5-21-576736995-561733220-4016166754-1003\...\StartupApproved\StartupFolder: => "Info.hta" Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
MoreFun 0 Опубликовано 18 декабря, 2018 Автор Share Опубликовано 18 декабря, 2018 вот Fixlog_18-12-2018 16.43.23.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 18 декабря, 2018 Share Опубликовано 18 декабря, 2018 При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. В запросе укажите ссылку на эту тему, упакуйте пару зашифрованных документов вместе с файлом "FILES ENCRYPTED.txt" с рабочего стола. Проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.