Перейти к содержанию
Авторизация  
s-vaciliev

[РЕШЕНО] Зашифрованное все видео

Рекомендуемые сообщения

зашифровщик зашифровал у нас все видео с расширением "no_more_ransom" это было примерно 3 года назад. Я их не стал удалять а жду что когда нибудь получится открыть. Прошу подскажите что можно сделать. AutoLogger я запускал положил во вложении. Видео находилось на D диске

CollectionLog-2019.05.07-17.34.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Auslogics BoostSpeed 5.1.0.0

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\8f00b2\1d8cd9.exe');
 QuarantineFile('C:\Users\EFIR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk', '');
 QuarantineFile('c:\windows\system32\8f00b2\1d8cd9.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 DeleteSchedulerTask('{A0986593-C9DA-40DF-8AE1-E06A72CC4236}');
 DeleteFile('C:\Users\EFIR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk');
 DeleteFile('c:\windows\system32\8f00b2\1d8cd9.exe', '32');
 DeleteFile('D:\autorun.inf', '');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1D8CD9', 'x32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполняю скрипт выдает ошибку: Undeclared identifier DeleteSchedulerTask в позиции 10.21

Во вложении

post-54148-0-77962300-1557732470_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

AVZ запускайте из папки Автологера

D:\AutoLogger\AVZ\avz.exe

(о чём в инструкции и сказано).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

AVZ запускайте из папки Автологера

D:\AutoLogger\AVZ\avz.exe

(о чём в инструкции и сказано).

 

Попробовал не чего не изменилось та же ошибка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В скрипте ошибок нет, а вы что-то делаете неправильно.

AVZ не нужно специально скачивать. Утилита уже находится в распакованной папке Автологера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В скрипте ошибок нет, а вы что-то делаете неправильно.

AVZ не нужно специально скачивать. Утилита уже находится в распакованной папке Автологера.

Может это связано то что я скачал новый Автологер. Скачал новый потому что старый указывает базы обновились просим скачать новый и автоматически закрывается пришлось скачать свежий с https://www.comss.ru/page.php?id=1812

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да все верно с форума все пошло нормально. Файл quarantine отправил по электронной почте на newvirus@kaspersky.com - Все верно! Я как понял как присвоят номер так скинуть заново сюда - Правильно я понял!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Правильно. Номер и цитату из письма.

Повторить логи можете, не дожидаясь ответа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Можно было и так процитировать:

В антивирусных базах информация по присланным вами файлам отсутствует:

ЎЎЎЎЎЎ.lnk

 

В следующих файлах обнаружен вредоносный код:

1d8cd9.exe - Worm.Win32.FlyStudio.cc

autorun.inf - Worm.Win32.AutoRun.rxx

bcqr00005.dat - Worm.Win32.AutoRun.rxx

bcqr00006.dat - Worm.Win32.AutoRun.rxx

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Авторизация  

×
×
  • Создать...