mav22ru 0 Опубликовано 24 января, 2019 Share Опубликовано 24 января, 2019 На сервер залез шифровальщик (скорее всего по RDP). Почти все файлы поменяли название на: email-tapok@tuta.io.ver-CL 1.5.1.0.id-4173978780-208364572397445127112444.fname-log20171220_135759.txt.doubleoffset Помогите расшифровать.. ..возможно материальное вознаграждение!)) CollectionLog-2019.01.24-13.04.zip 11.7z Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 24 января, 2019 Share Опубликовано 24 января, 2019 (изменено) Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', ''); DeleteFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '32'); DeleteFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '64'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2619623893-680959843-662794809-1016\Software\Microsoft\Windows\CurrentVersion\Run', '4173978780', '32'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2619623893-680959843-662794809-1016\Software\Microsoft\Windows\CurrentVersion\Run', '4173978780', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). "Пофиксите" в HijackThis: O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.Прикрепите к следующему сообщению свежий CollectionLog. Изменено 24 января, 2019 пользователем Sandor Ссылка на сообщение Поделиться на другие сайты
mav22ru 0 Опубликовано 24 января, 2019 Автор Share Опубликовано 24 января, 2019 (изменено) Прикрепил оба файла.. т.к. на почту gmail.com не уходило.. отправил с mail.ru .. возможно ушло... CollectionLog-2019.01.24-14.43.zip Изменено 24 января, 2019 пользователем Sandor Убрал карантин Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 24 января, 2019 Share Опубликовано 24 января, 2019 Утилиту запускали правой кнопкой от имени администратора? Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
mav22ru 0 Опубликовано 24 января, 2019 Автор Share Опубликовано 24 января, 2019 Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 24 января, 2019 Share Опубликовано 24 января, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM-x32\...\Run: [294445] => 294445 HKU\S-1-5-21-2619623893-680959843-662794809-1016\...\Run: [4173978780] => C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe <==== ATTENTION 2019-01-24 05:00 - 2019-01-24 05:00 - 000088576 _____ () C:\Users\lynx2\AppData\Local\Temp\OPPQRSSSST.exe End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер перезагрузите вручную. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
mav22ru 0 Опубликовано 24 января, 2019 Автор Share Опубликовано 24 января, 2019 Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 24 января, 2019 Share Опубликовано 24 января, 2019 При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Папку C:\FRST пока не удаляйте. Ссылка на сообщение Поделиться на другие сайты
mav22ru 0 Опубликовано 24 января, 2019 Автор Share Опубликовано 24 января, 2019 При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Папку C:\FRST пока не удаляйте. Шансы есть? Мы просто заплатили.. т.к. времени ждать небыло.. тем более он расшифровал, отправленные ему файлы... Он скинул вот такую прогу.. она всё просканировала.. сделала файл data.ini.. и ему этот файл отправили.. и пока уже 4 часа тишина... Если расшифрует кто, заплатим!!! p.s. ....и если лицензии в данный момент нету? Нам проще заплатить сумму лицензии как будто она есть.. :) ___________________________________________________________________________ скинул расшифровыватель!!!! 4 часа ждал.... ппц..... вроде работает... отпишусь ещё о результатах дешифровки.... Search_keys_exe and data_ini.7z Ссылка на сообщение Поделиться на другие сайты
It@smoltoys.ru 0 Опубликовано 25 января, 2019 Share Опубликовано 25 января, 2019 Строгое предупреждение от модератора SQ Предупреждение за нарушение правил раздела "Уничтожение вирусов" Ссылка на сообщение Поделиться на другие сайты
Wadim72 0 Опубликовано 25 февраля, 2019 Share Опубликовано 25 февраля, 2019 Добрый день, а подскажите почему не могу скачать Search_keys_exe and data_ini.7z??? Зашифровали сервер хотел попробовать данный дешифратор... Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 25 февраля, 2019 Share Опубликовано 25 февраля, 2019 @Wadim72, дешифратора в том вложении все равно нет. Да и чужой ключ Вам не подойдет. Сообщение от модератора thyrex Закрыто Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения