a_goodwin 0 Опубликовано 22 февраля, 2019 Share Опубликовано 22 февраля, 2019 Зашифровано много файлов, если есть возможность расшифровки, прошу сообщить! Во вложении - пример readme-файла и отчёт autologger-a. README1.txt CollectionLog-2019.02.22-17.51.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 22 февраля, 2019 Share Опубликовано 22 февраля, 2019 Увы, расшифровки не будет. Только зачистка следов мусора. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\PROGRA~3\SysWOW64\nrOZ5Pq4.cmd',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('C:\PROGRA~3\SysWOW64\nrOZ5Pq4.cmd','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support','x32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
a_goodwin 0 Опубликовано 22 февраля, 2019 Автор Share Опубликовано 22 февраля, 2019 Спасибо за ответ! Скрипты выполнил. Прикладываю логи. Выложил на virusinfo.info файл quarantine, но не могу понять, где посмотреть результат. Во вложении отчёт Autologger после выполнения скриптов AVZ и перезагрузок. CollectionLog-2019.02.22-19.01.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 22 февраля, 2019 Share Опубликовано 22 февраля, 2019 Trojan-Ransom.Win32.Shade.prfСкачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.3. Нажмите кнопку Scan.4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
a_goodwin 0 Опубликовано 25 февраля, 2019 Автор Share Опубликовано 25 февраля, 2019 Сделал. Прошу прощения, забыл файл приложить. Archive.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 25 февраля, 2019 Share Опубликовано 25 февраля, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: 2019-02-22 14:15 - 2019-02-22 20:19 - 000000000 __SHD C:\Users\Все пользователи\services 2019-02-22 14:15 - 2019-02-22 20:19 - 000000000 __SHD C:\ProgramData\services 2019-02-22 14:15 - 2019-02-22 18:38 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64 2019-02-22 14:15 - 2019-02-22 18:38 - 000000000 __SHD C:\ProgramData\SysWOW64 2019-02-22 14:15 - 2019-02-22 14:15 - 006220854 _____ C:\Users\Пользователь\AppData\Roaming\07893D9507893D95.bmp 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README9.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README8.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README7.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README6.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README5.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README4.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README3.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README2.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README10.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README1.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README9.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README8.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README7.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README6.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README5.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README4.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README3.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README2.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README10.txt 2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README1.txt 2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README9.txt 2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README8.txt 2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README7.txt 2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README6.txt 2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README5.txt 2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README4.txt 2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README3.txt 2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README2.txt 2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README10.txt 2019-02-22 11:44 - 2019-02-22 18:38 - 000000000 __SHD C:\Users\Все пользователи\Windows 2019-02-22 11:44 - 2019-02-22 18:38 - 000000000 __SHD C:\ProgramData\Windows 2019-02-22 14:15 - 2019-02-22 14:15 - 006220854 _____ () C:\Users\Пользователь\AppData\Roaming\07893D9507893D95.bmp Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
a_goodwin 0 Опубликовано 26 февраля, 2019 Автор Share Опубликовано 26 февраля, 2019 Сделал. Лог во вложении. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 26 февраля, 2019 Share Опубликовано 26 февраля, 2019 Мусор почистили. Больше помочь нечем 1 Ссылка на сообщение Поделиться на другие сайты
a_goodwin 0 Опубликовано 28 февраля, 2019 Автор Share Опубликовано 28 февраля, 2019 Данные, в основном, были на флешках. Бэкап — наше всё! Большое спасибо за вашу помощь! Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти