crysis [veracrypt@foxmail.com].adobe

6 июня, 2019

Добрый день!

Спасите, помогите!

Нужно все расшифровать(

6 июня, 2019

Порядок оформления запроса о помощи

6 июня, 2019

Сделал

6 июня, 2019

@Денис Широков, логи прикреплять нужно к сообщению, а не в файловый архив форума загружать.

6 июня, 2019

@Денис Широков, логи прикреплять нужно к сообщению, а не в файловый архив форума загружать.

Хорошо

CollectionLog-2019.06.06-17.54.zip

7 июня, 2019

Здравствуйте!

К сожалению, расшифровки для этой версии вымогателя нет.

Но система ещё уязвима.

Смените пароль на RDP, а также на учётную запись администратора.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\admin.SERV-H-V\AppData\Roaming\1task.exe', '');
 QuarantineFile('C:\Users\admin.SERV-H-V\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\admin.SERV-H-V\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '');
 QuarantineFile('C:\Users\admin.SERV-H-V\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Администратор.SERV-H-V\dell.bat', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteSchedulerTask('dell');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\admin.SERV-H-V\AppData\Roaming\1task.exe', '32');
 DeleteFile('C:\Users\admin.SERV-H-V\AppData\Roaming\1task.exe', '64');
 DeleteFile('C:\Users\admin.SERV-H-V\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\admin.SERV-H-V\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '64');
 DeleteFile('C:\Users\admin.SERV-H-V\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\Администратор.SERV-H-V\dell.bat', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1task.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1task.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\admin.SERV-H-V\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
end.

Пожалуйста, перезагрузите компьютер вручную.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

7 июня, 2019

Понял, спасибо... смысл сейчас что то лечить, проще все снести и поставить CentOS. Куча работы только предстоит, да еще и конец недели(

7 июня, 2019

Как хотите, ваше право.

crysis [veracrypt@foxmail.com].adobe

Рекомендуемые сообщения

Денис Широков

Mark D. Pearlstone

Денис Широков

Mark D. Pearlstone

Денис Широков

Sandor

Денис Широков

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum