Здравствуйте помогите пожалуйста шифровальщик зашифровал файлы на сервере

26 февраля, 2019

шифровальщик от тапок

CollectionLog-2019.02.25-11.23.zip

26 февраля, 2019

Здравствуйте!

С расшифровкой помочь не сможем, увы.

Поможем с очисткой системы.

Сторонними средствами типа Акронис сделайте резервную копию.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\mihail\appdata\local\temp\3\uvyzcdegii.exe');
 TerminateProcessByName('c:\windows\media\long\certsvc.exe');
 StopService('WindowsCertificateService');
 QuarantineFile('c:\users\mihail\appdata\local\temp\3\uvyzcdegii.exe', '');
 QuarantineFile('c:\windows\media\long\certsvc.exe', '');
 DeleteSchedulerTask('DRPNPS');
 DeleteFile('c:\users\mihail\appdata\local\temp\3\uvyzcdegii.exe', '');
 DeleteFile('C:\Users\Mihail\AppData\Local\Temp\3\UVYZCDEGII.exe', '32');
 DeleteFile('C:\Users\Mihail\AppData\Local\Temp\3\UVYZCDEGII.exe', '64');
 DeleteFile('c:\windows\media\long\certsvc.exe', '32');
 DeleteService('WindowsCertificateService');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '442462558', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '442462558', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
end.

Пожалуйста, перезагрузите компьютер вручную.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [442462558] = C:\Users\Mihail\AppData\Local\Temp\3\UVYZCDEGII.exe
O4 - HKCU\..\Run: [CCleaner Smart Cleaning] = C:\Program Files\CCleaner\CCleaner64.exe /MONITOR (file missing)
O4 - HKCU\..\Run: [CommFort client] = C:\Program Files (x86)\CommFort\CommFort.exe -tray (file missing)
O4-32 - HKLM\..\Run: [871082] = 871082  (file missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1174\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1174\..\Environment: [TMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1299\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1299\..\Environment: [TMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1318\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1318\..\Environment: [TMP] = (not exist)
O22 - Task: CCleaner Update - C:\Program Files\CCleaner\CCUpdate.exe (file missing)
O22 - Task: CCleanerSkipUAC - C:\Program Files\CCleaner\CCleaner.exe $(Arg0) (file missing)
O26 - Debugger: HKLM\..\Magnify.exe: [Debugger] = C:\Windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\vpnplugins\servicing\ibhost.exe
O26 - Debugger: HKLM\..\utilman.exe: [Debugger] = C:\Windows\system32\cmd.exe

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Здравствуйте помогите пожалуйста шифровальщик зашифровал файлы на сервере

Рекомендуемые сообщения

proldzhe

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum