ransom.shade [РЕШЕНО] Зашифрованное все видео

[s-vaciliev]

зашифровщик зашифровал у нас все видео с расширением "no_more_ransom" это было примерно 3 года назад. Я их не стал удалять а жду что когда нибудь получится открыть. Прошу подскажите что можно сделать. AutoLogger я запускал положил во вложении. Видео находилось на D диске

CollectionLog-2019.05.07-17.34.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Auslogics BoostSpeed 5.1.0.0

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\8f00b2\1d8cd9.exe');
 QuarantineFile('C:\Users\EFIR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk', '');
 QuarantineFile('c:\windows\system32\8f00b2\1d8cd9.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 DeleteSchedulerTask('{A0986593-C9DA-40DF-8AE1-E06A72CC4236}');
 DeleteFile('C:\Users\EFIR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk');
 DeleteFile('c:\windows\system32\8f00b2\1d8cd9.exe', '32');
 DeleteFile('D:\autorun.inf', '');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1D8CD9', 'x32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

[s-vaciliev]

Выполняю скрипт выдает ошибку: Undeclared identifier DeleteSchedulerTask в позиции 10.21

Во вложении

[Sandor]

AVZ запускайте из папки Автологера

D:\AutoLogger\AVZ\avz.exe

(о чём в инструкции и сказано).

[s-vaciliev]

AVZ запускайте из папки Автологера

D:\AutoLogger\AVZ\avz.exe

(о чём в инструкции и сказано).

 

Попробовал не чего не изменилось та же ошибка

[Sandor]

В скрипте ошибок нет, а вы что-то делаете неправильно.

AVZ не нужно специально скачивать. Утилита уже находится в распакованной папке Автологера.

[s-vaciliev]

В скрипте ошибок нет, а вы что-то делаете неправильно.

AVZ не нужно специально скачивать. Утилита уже находится в распакованной папке Автологера.

Может это связано то что я скачал новый Автологер. Скачал новый потому что старый указывает базы обновились просим скачать новый и автоматически закрывается пришлось скачать свежий с https://www.comss.ru/page.php?id=1812

[Sandor]

А по ссылке из правил этой ветки форума не пробовали качать?

[s-vaciliev]

да все верно с форума все пошло нормально. Файл quarantine отправил по электронной почте на newvirus@kaspersky.com - Все верно! Я как понял как присвоят номер так скинуть заново сюда - Правильно я понял!

[Sandor]

Правильно. Номер и цитату из письма.

Повторить логи можете, не дожидаясь ответа.

[s-vaciliev]

номер KLAN-10071964491, Цитата и CollectionLog во вложении

CollectionLog-2019.05.13-17.41.zip

Цитата.docx

[Sandor]

Можно было и так процитировать:

В антивирусных базах информация по присланным вами файлам отсутствует:

ЎЎЎЎЎЎ.lnk

 

В следующих файлах обнаружен вредоносный код:

1d8cd9.exe - Worm.Win32.FlyStudio.cc

autorun.inf - Worm.Win32.AutoRun.rxx

bcqr00005.dat - Worm.Win32.AutoRun.rxx

bcqr00006.dat - Worm.Win32.AutoRun.rxx

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[s-vaciliev]

Все сделал как просили во вложении

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[s-vaciliev]

Fixlog во вложении

Fixlog.txt