axel2019 0 Опубликовано 26 апреля, 2019 Share Опубликовано 26 апреля, 2019 Здравствуйте принесли посмотреть системный блок с заявленной неисправностью - не открываются файлы типа doc, xls, jpg. Загрузив систему и просмотрев папки с файлами увидел, что они имеют расширение .systems32x. Причем самое интересное, что вредоносная программа создала дубликаты также exe файлов, но оригиналы не удалила, т.е в папке может быть оригинальный файл с расширением exe, копия этого файла с расширением systems32x и сгенерированный файл с расширением .txt, где вымогатель, - автор вируса указывает почтовый адрес systems32x@gmail.com, @yahoo и т.п. и ключ, инструкции для пробной расшифровки, типа вышлите два файла размером не более 1 мегабайта. Прикрепляю лог сделанный по инструкции https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]. Также могу выслать образцы зашифрованный файлов и текстового документа с интструкцией данной вредоносной программы. Т.к. данный компьютер используется в учебном заведении скорее всего заразу получили по почте. CollectionLog-2019.04.26-08.51.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 26 апреля, 2019 Share Опубликовано 26 апреля, 2019 Здравствуйте! Расшифровки этого типа вымогателя нет. Будет только очистка следов и рекламного мусора. Через Панель управления - Удаление программ - удалите нежелательное ПО: Unity Web Player Амиго Кнопка "Яндекс" на панели задач Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5', ''); QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\.D0169387EB562C92B2D5', ''); QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5', '32'); DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\.D0169387EB562C92B2D5', '32'); DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5', '32'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); BC_ImportALL; ExecuteSysClean; ExecuteRepair(1); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
axel2019 0 Опубликовано 26 апреля, 2019 Автор Share Опубликовано 26 апреля, 2019 KLAN-9969079151 Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: .D0169387EB562C92B2D5 _0.D0169387EB562C92B2D5 _1.D0169387EB562C92B2D5 Файлы переданы на исследование. Вот еще прикрепляю повторный log CollectionLog-2019.04.26-13.14.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 26 апреля, 2019 Share Опубликовано 26 апреля, 2019 Включён AVZPMНастройки AVZ без необходимости менять не нужно. Отключите. Далее: Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
axel2019 0 Опубликовано 26 апреля, 2019 Автор Share Опубликовано 26 апреля, 2019 Вот, держите. AdwCleanerS00.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 26 апреля, 2019 Share Опубликовано 26 апреля, 2019 Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
axel2019 0 Опубликовано 26 апреля, 2019 Автор Share Опубликовано 26 апреля, 2019 Применил и перезагрузил. Хозяева просят переустановить систему и желательно скорее т.к данный системник нужен для работы. Все равно огромное спасибо. AdwCleanerC01.txt AdwCleanerS01.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 27 апреля, 2019 Share Опубликовано 27 апреля, 2019 просят переустановить системуРаз так, то и нет смысла продолжать. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти