shestakov.sergej 0 Опубликовано 30 января, 2019 Share Опубликовано 30 января, 2019 Добрый вечер. Поймал шифровальщик. Помогите восстановить данные Файл логов Addition.txt FRST.txt во вложении Спасибо за ваш труд. CollectionLog-2019.01.30-22.21.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 30 января, 2019 Share Опубликовано 30 января, 2019 @shestakov.sergej, прочтите и выполните внимательно правила. Самодеятельностью заниматься не надо, логи переименовывать тоже не надо. Этим вы только путаете, а как следствие осложняете помощь вам. Ссылка на сообщение Поделиться на другие сайты
shestakov.sergej 0 Опубликовано 31 января, 2019 Автор Share Опубликовано 31 января, 2019 Прошу прощения, был не прав. Не те инструкции прочитал. ) Во вложении правильных архив. Все делал по инструкции Спасибо. CollectionLog-2019.01.31-21.16.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 31 января, 2019 Share Опубликовано 31 января, 2019 Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5EB67ECE.[veracrypt@foxmail.com].adobe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\User\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5EB67ECE.[veracrypt@foxmail.com].adobe', ''); QuarantineFile('C:\WINDOWS\System32\Info.hta', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5EB67ECE.[veracrypt@foxmail.com].adobe', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Users\User\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5EB67ECE.[veracrypt@foxmail.com].adobe', '64'); DeleteFile('C:\WINDOWS\System32\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\User\AppData\Roaming\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Ссылка на сообщение Поделиться на другие сайты
shestakov.sergej 0 Опубликовано 31 января, 2019 Автор Share Опубликовано 31 января, 2019 1. KLAN-9533401919 2. Файл во вложении 3. Скрипт ругнулся на строки RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\User\AppData\Roaming\Info.hta', '64');RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64'); пришлось запускать без этих строк. Ребята, скажите реально расшифровать файлы ? При чем у меня там файл виртуальной машины VirualBox размером 73 Гб По факту только он нужен. Остальное не важно. CollectionLog-2019.01.31-23.35.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 31 января, 2019 Share Опубликовано 31 января, 2019 Скрипт ругнулся на строки наверно из-за того что в очередной раз инструкцию читали невнимательно и выполняли в старой версии AVZ, вместо той в которой указано. Кроме того выше написал Самодеятельностью заниматься не надо а вы берёте и правите скрипты. Ссылка на сообщение Поделиться на другие сайты
shestakov.sergej 0 Опубликовано 31 января, 2019 Автор Share Опубликовано 31 января, 2019 Перешел на инструкцию по вашей ссылке (http://virusinfo.info/content.php?r=290-virus-detector), выполнил шаг №1 (скрин во вложении) Вот ссылка https://virusinfo.info/avz/avz4.zip ее и скачал. Поверьте, я грамотен. Занимаюсь разработкой ПО. Комп заразил не я, мне нужно вытащить оттуда данные. Ничего страшного, в том что эти два ключа реестра не удалились нет, файлы все равно удалены. Мне нужно расшифровать только один файл, все остальное я снесу и поставлю заново Жду дальнейших указаний. Спасибо. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 1 февраля, 2019 Share Опубликовано 1 февраля, 2019 Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Как выполнить скрипт в AVZ? Утилита AVZ находится в папке ..\AutoLogger\AVZ, т.е. там, откуда Вы запускали автоматический сборщик логов. все остальное я снесу и поставлю заново и возможно окончательно потеряете шанс на рассшифровку. Мне нужно расшифровать только один файл запрос на расшифровку. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти