s-vaciliev Опубликовано 7 мая, 2019 Опубликовано 7 мая, 2019 зашифровщик зашифровал у нас все видео с расширением "no_more_ransom" это было примерно 3 года назад. Я их не стал удалять а жду что когда нибудь получится открыть. Прошу подскажите что можно сделать. AutoLogger я запускал положил во вложении. Видео находилось на D диске CollectionLog-2019.05.07-17.34.zip
Sandor Опубликовано 7 мая, 2019 Опубликовано 7 мая, 2019 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Auslogics BoostSpeed 5.1.0.0 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\system32\8f00b2\1d8cd9.exe'); QuarantineFile('C:\Users\EFIR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk', ''); QuarantineFile('c:\windows\system32\8f00b2\1d8cd9.exe', ''); QuarantineFile('D:\autorun.inf', ''); DeleteSchedulerTask('{A0986593-C9DA-40DF-8AE1-E06A72CC4236}'); DeleteFile('C:\Users\EFIR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk'); DeleteFile('c:\windows\system32\8f00b2\1d8cd9.exe', '32'); DeleteFile('D:\autorun.inf', ''); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1D8CD9', 'x32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Прикрепите к следующему сообщению свежий CollectionLog.
s-vaciliev Опубликовано 13 мая, 2019 Автор Опубликовано 13 мая, 2019 Выполняю скрипт выдает ошибку: Undeclared identifier DeleteSchedulerTask в позиции 10.21 Во вложении
Sandor Опубликовано 13 мая, 2019 Опубликовано 13 мая, 2019 AVZ запускайте из папки Автологера D:\AutoLogger\AVZ\avz.exe(о чём в инструкции и сказано).
s-vaciliev Опубликовано 13 мая, 2019 Автор Опубликовано 13 мая, 2019 AVZ запускайте из папки Автологера D:\AutoLogger\AVZ\avz.exe(о чём в инструкции и сказано). Попробовал не чего не изменилось та же ошибка
Sandor Опубликовано 13 мая, 2019 Опубликовано 13 мая, 2019 В скрипте ошибок нет, а вы что-то делаете неправильно. AVZ не нужно специально скачивать. Утилита уже находится в распакованной папке Автологера.
s-vaciliev Опубликовано 13 мая, 2019 Автор Опубликовано 13 мая, 2019 В скрипте ошибок нет, а вы что-то делаете неправильно. AVZ не нужно специально скачивать. Утилита уже находится в распакованной папке Автологера. Может это связано то что я скачал новый Автологер. Скачал новый потому что старый указывает базы обновились просим скачать новый и автоматически закрывается пришлось скачать свежий с https://www.comss.ru/page.php?id=1812
Sandor Опубликовано 13 мая, 2019 Опубликовано 13 мая, 2019 А по ссылке из правил этой ветки форума не пробовали качать?
s-vaciliev Опубликовано 13 мая, 2019 Автор Опубликовано 13 мая, 2019 да все верно с форума все пошло нормально. Файл quarantine отправил по электронной почте на newvirus@kaspersky.com - Все верно! Я как понял как присвоят номер так скинуть заново сюда - Правильно я понял!
Sandor Опубликовано 13 мая, 2019 Опубликовано 13 мая, 2019 Правильно. Номер и цитату из письма. Повторить логи можете, не дожидаясь ответа.
s-vaciliev Опубликовано 14 мая, 2019 Автор Опубликовано 14 мая, 2019 номер KLAN-10071964491, Цитата и CollectionLog во вложении CollectionLog-2019.05.13-17.41.zip Цитата.docx
Sandor Опубликовано 14 мая, 2019 Опубликовано 14 мая, 2019 Можно было и так процитировать: В антивирусных базах информация по присланным вами файлам отсутствует: ЎЎЎЎЎЎ.lnk В следующих файлах обнаружен вредоносный код: 1d8cd9.exe - Worm.Win32.FlyStudio.cc autorun.inf - Worm.Win32.AutoRun.rxx bcqr00005.dat - Worm.Win32.AutoRun.rxx bcqr00006.dat - Worm.Win32.AutoRun.rxx Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
s-vaciliev Опубликовано 14 мая, 2019 Автор Опубликовано 14 мая, 2019 Все сделал как просили во вложении Addition.txt FRST.txt
Sandor Опубликовано 14 мая, 2019 Опубликовано 14 мая, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
Рекомендуемые сообщения