PioneerOrigin 0 Опубликовано 4 июня, 2019 Share Опубликовано 4 июня, 2019 (изменено) Был скачан и запущен файл [ссылка] из яндекс почты и через некоторое время файлы зашифровались Изменено 4 июня, 2019 пользователем Sandor Убрал ссылку Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 4 июня, 2019 Share Опубликовано 4 июня, 2019 Здравствуйте! Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
PioneerOrigin 0 Опубликовано 5 июня, 2019 Автор Share Опубликовано 5 июня, 2019 Здравствуйте! Порядок оформления запроса о помощи Здравствуйте! Не могу отредактировать сообщение... Ссылка на сообщение Поделиться на другие сайты
thyrex 1 486 Опубликовано 5 июня, 2019 Share Опубликовано 5 июня, 2019 Прикрепите файл с логами к следующему сообщению, используя кнопку Расширенная форма Ссылка на сообщение Поделиться на другие сайты
PioneerOrigin 0 Опубликовано 6 июня, 2019 Автор Share Опубликовано 6 июня, 2019 Прикрепил CollectionLog-2019.06.04-17.46.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 6 июня, 2019 Share Опубликовано 6 июня, 2019 Это Shade, расшифровки нет. Будет только удаление активного вредоноса и чистка мусора. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Windows\csrss.exe', ''); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
Sunlounger 0 Опубликовано 6 июня, 2019 Share Опубликовано 6 июня, 2019 (изменено) Добрый день! А расширение crypted007?Просто тоже словили вчера на рабочий компьютер( Спрашиваю чтоб по сто тем не создавать. У Вас есть информация, когда появится утилита для расшифровки или этого не произойдёт совсем?? Сообщение от модератора В этом разделе действуют определенные правила, поэтому не пишите в чужой теме, а создайте свою (если нужно). Изменено 6 июня, 2019 пользователем Sandor Уведомление Ссылка на сообщение Поделиться на другие сайты
PioneerOrigin 0 Опубликовано 6 июня, 2019 Автор Share Опубликовано 6 июня, 2019 Добрый день! А расширение crypted007?Просто тоже словили вчера на рабочий компьютер( Спрашиваю чтоб по сто тем не создавать. У Вас есть информация, когда появится утилита для расшифровки или этого не произойдёт совсем?? Это Shade, расшифровки нет. Будет только удаление активного вредоноса и чистка мусора. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Windows\csrss.exe', ''); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Расширение .crypted000007 Ну да Это Shade, расшифровки нет. Будет только удаление активного вредоноса и чистка мусора. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Windows\csrss.exe', ''); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Получается ничего не сделать? Можно переустанавливать систему? Все фалы в никуда? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 6 июня, 2019 Share Опубликовано 6 июня, 2019 Не цитируйте полностью предыдущее сообщение, используйте форму быстрого ответа внизу. для старого Shade была ведь утилитаКлючевое слово "старого". Жду логи. Ссылка на сообщение Поделиться на другие сайты
PioneerOrigin 0 Опубликовано 6 июня, 2019 Автор Share Опубликовано 6 июня, 2019 Приложил. новый лог после повторного сканирования. CollectionLog-2019.06.06-11.31.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 6 июня, 2019 Share Опубликовано 6 июня, 2019 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
PioneerOrigin 0 Опубликовано 6 июня, 2019 Автор Share Опубликовано 6 июня, 2019 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 6 июня, 2019 Share Опубликовано 6 июня, 2019 Auslogics BoostSpeed Premium 7 - рекомендую удалить. Далее: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-2301322411-1287110291-1113894879-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx 2019-06-04 13:39 - 2019-06-04 13:39 - 006220854 _____ C:\Users\pashkova\AppData\Roaming\3B7E33703B7E3370.bmp 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README9.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README8.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README7.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README6.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README5.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README4.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README3.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README2.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README10.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README1.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README9.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README8.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README7.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README6.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README5.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README4.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README3.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README2.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README10.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README1.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README9.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README8.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README7.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README6.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README5.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README4.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README3.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README2.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README10.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README1.txt 2019-06-04 11:25 - 2019-06-06 10:36 - 000000000 __SHD C:\ProgramData\Windows Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
PioneerOrigin 0 Опубликовано 6 июня, 2019 Автор Share Опубликовано 6 июня, 2019 Auslogics BoostSpeed Premium 7 - рекомендую удалить. Далее: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-2301322411-1287110291-1113894879-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx 2019-06-04 13:39 - 2019-06-04 13:39 - 006220854 _____ C:\Users\pashkova\AppData\Roaming\3B7E33703B7E3370.bmp 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README9.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README8.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README7.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README6.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README5.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README4.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README3.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README2.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README10.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\Public\Desktop\README1.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README9.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README8.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README7.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README6.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README5.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README4.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README3.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README2.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README10.txt 2019-06-04 13:39 - 2019-06-04 13:39 - 000004154 _____ C:\Users\pashkova\Desktop\README1.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README9.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README8.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README7.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README6.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README5.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README4.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README3.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README2.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README10.txt 2019-06-04 11:26 - 2019-06-04 11:26 - 000004154 _____ C:\README1.txt 2019-06-04 11:25 - 2019-06-06 10:36 - 000000000 __SHD C:\ProgramData\Windows Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 6 июня, 2019 Share Опубликовано 6 июня, 2019 Достаточно было один раз выполнить скрипт. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения