Перейти к содержанию

[РЕШЕНО] Вирус шифровальщик

PioneerOrigin
 Share

Рекомендуемые сообщения

PioneerOrigin Новичок

PioneerOrigin

Опубликовано
Опубликовано (изменено)

Был скачан и запущен файл [ссылка] из яндекс почты и через некоторое время файлы зашифровались

Изменено пользователем Sandor
Убрал ссылку
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Это Shade, расшифровки нет. Будет только удаление активного вредоноса и чистка мусора.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
Sunlounger Новичок

Sunlounger

Опубликовано
Опубликовано (изменено)

Добрый день! А расширение crypted007?Просто тоже словили вчера на рабочий компьютер( Спрашиваю чтоб по сто тем не создавать. У Вас  есть информация, когда появится утилита для расшифровки или этого не произойдёт совсем??

 

Сообщение от модератора
В этом разделе действуют определенные правила, поэтому не пишите в чужой теме, а создайте свою (если нужно).
Изменено пользователем Sandor
Уведомление
Ссылка на комментарий
Поделиться на другие сайты
PioneerOrigin Новичок

PioneerOrigin

Опубликовано
  • Автор
Опубликовано

 

Добрый день! А расширение crypted007?Просто тоже словили вчера на рабочий компьютер( Спрашиваю чтоб по сто тем не создавать. У Вас  есть информация, когда появится утилита для расшифровки или этого не произойдёт совсем??

Это Shade, расшифровки нет. Будет только удаление активного вредоноса и чистка мусора.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Расширение .crypted000007 Ну да

Это Shade, расшифровки нет. Будет только удаление активного вредоноса и чистка мусора.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

Получается ничего не сделать? Можно переустанавливать систему? Все фалы в никуда?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Не цитируйте полностью предыдущее сообщение, используйте форму быстрого ответа внизу.

 

для старого Shade была ведь утилита

Ключевое слово "старого".

 

Жду логи.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
PioneerOrigin Новичок

PioneerOrigin

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Auslogics BoostSpeed Premium 7 - рекомендую удалить.

 

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-2301322411-1287110291-1113894879-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
2019-06-04 13:39 - 2019-06-04 13:39 - 006220854 _____ C:\Users\pashkova\AppData\Roaming\3B7E33703B7E3370.bmp
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README9.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README8.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README7.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README6.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README5.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README4.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README3.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README2.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README10.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README1.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README9.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README8.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README7.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README6.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README5.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README4.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README3.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README2.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README10.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README1.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README9.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README8.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README7.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README6.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README5.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README4.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README3.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README2.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README10.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README1.txt
2019-06-04 11:25 - 2019-06-06 10:36 - 000000000 __SHD C:\ProgramData\Windows
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
PioneerOrigin Новичок

PioneerOrigin

Опубликовано
  • Автор
Опубликовано

Auslogics BoostSpeed Premium 7 - рекомендую удалить.

 

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-2301322411-1287110291-1113894879-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
2019-06-04 13:39 - 2019-06-04 13:39 - 006220854 _____ C:\Users\pashkova\AppData\Roaming\3B7E33703B7E3370.bmp
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README9.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README8.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README7.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README6.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README5.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README4.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README3.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README2.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README10.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README1.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README9.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README8.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README7.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README6.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README5.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README4.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README3.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README2.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README10.txt
2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README1.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README9.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README8.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README7.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README6.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README5.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README4.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README3.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README2.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README10.txt
2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README1.txt
2019-06-04 11:25 - 2019-06-06 10:36 - 000000000 __SHD C:\ProgramData\Windows
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Достаточно было один раз выполнить скрипт.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • sova.prod123
      [РЕШЕНО] Вирус
      От sova.prod123
      Здравствуйте, не знаю точно откуда подцепил эту гадость на пк, ибо придя с работы оно уже было на пк, те кто пользовался компьютером, говорят что ничего не скачивали. Kaspersky Virus Removal Tool дал лишь временный эффект, после чего всё вернулось обратно. Сильно нагружается пк, сидит в хосте - не дает нормально открыть браузер с утилитами, сворачивает диспетчер задач, препятствует установке лечащих утилит, с safe режиме дела обстоят чуть получше, но полностью вычистить вирус с пк не удается.
      CollectionLog-2024.10.10-16.48.zip
    • Belzak
      [РЕШЕНО] Не могу вылечить вирус
      От Belzak
      Здравствуйте, у меня такая- же проблема, вот мой файл
      WIN-GSIH82VECDJ_2024-10-11_22-13-38_v4.99.2v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • kudyukovn
      [РЕШЕНО] Вирус / Майнер
      От kudyukovn
      Добрый день, помогите пожалуйста. Словил майнер. Сначала проверил касперским, он его нашел но удалить не смог, после перезагрузки пк вообще перестал видеть его. После переустановки windows 11 майнер остался, на сайты с антивирусами не заходит, а касперский не находит, defender перестал работать.
      Так же до этого комп не включался сутки, горел CPU на материнке. Но сегодня каким то чудом включился.
      Прикрепляю файлы архив от автологера
      CollectionLog-2024.10.14-14.33.zip
      https://imgur.com/a/0O2BObP
      Это отчёт от KVRT
    • stasmixaylovic
      [РЕШЕНО] Проверьте пожалуйста на вирусы
      От stasmixaylovic
      FRST на всякий случай )
      CollectionLog-2024.11.04-06.17.zip FRST.txt Addition.txt
    • ДанилКО
      [РЕШЕНО] Антивирус не может удалить этот вирус HEUR:Trojan.Multi.GenBadur.genw.
      От ДанилКО
      report2.logreport1.logCollectionLog-2024.11.07-18.58.zip
×
×
  • Создать...