s-vaciliev 0 Опубликовано 7 мая, 2019 Share Опубликовано 7 мая, 2019 зашифровщик зашифровал у нас все видео с расширением "no_more_ransom" это было примерно 3 года назад. Я их не стал удалять а жду что когда нибудь получится открыть. Прошу подскажите что можно сделать. AutoLogger я запускал положил во вложении. Видео находилось на D диске CollectionLog-2019.05.07-17.34.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 7 мая, 2019 Share Опубликовано 7 мая, 2019 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Auslogics BoostSpeed 5.1.0.0 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\system32\8f00b2\1d8cd9.exe'); QuarantineFile('C:\Users\EFIR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk', ''); QuarantineFile('c:\windows\system32\8f00b2\1d8cd9.exe', ''); QuarantineFile('D:\autorun.inf', ''); DeleteSchedulerTask('{A0986593-C9DA-40DF-8AE1-E06A72CC4236}'); DeleteFile('C:\Users\EFIR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk'); DeleteFile('c:\windows\system32\8f00b2\1d8cd9.exe', '32'); DeleteFile('D:\autorun.inf', ''); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1D8CD9', 'x32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
s-vaciliev 0 Опубликовано 13 мая, 2019 Автор Share Опубликовано 13 мая, 2019 Выполняю скрипт выдает ошибку: Undeclared identifier DeleteSchedulerTask в позиции 10.21 Во вложении Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 мая, 2019 Share Опубликовано 13 мая, 2019 AVZ запускайте из папки Автологера D:\AutoLogger\AVZ\avz.exe(о чём в инструкции и сказано). Ссылка на сообщение Поделиться на другие сайты
s-vaciliev 0 Опубликовано 13 мая, 2019 Автор Share Опубликовано 13 мая, 2019 AVZ запускайте из папки Автологера D:\AutoLogger\AVZ\avz.exe(о чём в инструкции и сказано). Попробовал не чего не изменилось та же ошибка Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 мая, 2019 Share Опубликовано 13 мая, 2019 В скрипте ошибок нет, а вы что-то делаете неправильно. AVZ не нужно специально скачивать. Утилита уже находится в распакованной папке Автологера. Ссылка на сообщение Поделиться на другие сайты
s-vaciliev 0 Опубликовано 13 мая, 2019 Автор Share Опубликовано 13 мая, 2019 В скрипте ошибок нет, а вы что-то делаете неправильно. AVZ не нужно специально скачивать. Утилита уже находится в распакованной папке Автологера. Может это связано то что я скачал новый Автологер. Скачал новый потому что старый указывает базы обновились просим скачать новый и автоматически закрывается пришлось скачать свежий с https://www.comss.ru/page.php?id=1812 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 мая, 2019 Share Опубликовано 13 мая, 2019 А по ссылке из правил этой ветки форума не пробовали качать? Ссылка на сообщение Поделиться на другие сайты
s-vaciliev 0 Опубликовано 13 мая, 2019 Автор Share Опубликовано 13 мая, 2019 да все верно с форума все пошло нормально. Файл quarantine отправил по электронной почте на newvirus@kaspersky.com - Все верно! Я как понял как присвоят номер так скинуть заново сюда - Правильно я понял! Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 мая, 2019 Share Опубликовано 13 мая, 2019 Правильно. Номер и цитату из письма. Повторить логи можете, не дожидаясь ответа. Ссылка на сообщение Поделиться на другие сайты
s-vaciliev 0 Опубликовано 14 мая, 2019 Автор Share Опубликовано 14 мая, 2019 номер KLAN-10071964491, Цитата и CollectionLog во вложении CollectionLog-2019.05.13-17.41.zip Цитата.docx Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 14 мая, 2019 Share Опубликовано 14 мая, 2019 Можно было и так процитировать: В антивирусных базах информация по присланным вами файлам отсутствует: ЎЎЎЎЎЎ.lnk В следующих файлах обнаружен вредоносный код: 1d8cd9.exe - Worm.Win32.FlyStudio.cc autorun.inf - Worm.Win32.AutoRun.rxx bcqr00005.dat - Worm.Win32.AutoRun.rxx bcqr00006.dat - Worm.Win32.AutoRun.rxx Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
s-vaciliev 0 Опубликовано 14 мая, 2019 Автор Share Опубликовано 14 мая, 2019 Все сделал как просили во вложении Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 14 мая, 2019 Share Опубликовано 14 мая, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
s-vaciliev 0 Опубликовано 15 мая, 2019 Автор Share Опубликовано 15 мая, 2019 Fixlog во вложении Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения