Перейти к содержанию

Рекомендуемые сообщения

Доброго времени суток! 
На работе бухгалтер поймала на комп вирус-шифровальщик, открыв какое-то сообщение в почте. Зашифровало кучу файлов. Но есть один особенно важный. Можно ли расшифровать хотя бы его? Или хотя бы почистить комп от вируса?

Архив с логами прилагается. Заранее благодарен!

CollectionLog-2019.07.10-16.27.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

 

Расшифровки нет. Только чистка от вирусов.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\programdata\resources\svchost.exe');
 TerminateProcessByName('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 QuarantineFile('c:\programdata\services\csrss.exe','');
 QuarantineFile('c:\programdata\drivers\csrss.exe','');
 QuarantineFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE','');
 QuarantineFile('c:\programdata\resources\svchost.exe','');
 DeleteFile('c:\programdata\resources\svchost.exe','32');
 DeleteFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE','32');
 DeleteFile('c:\programdata\drivers\csrss.exe','32');
 DeleteFile('c:\programdata\services\csrss.exe','32');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MinerGateGui','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hh.exe','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MinerGateGui','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hh.exe','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Димасик
      От Димасик
      Добрый день! 02.07.2019 года после скачивание файла которого не хватало для запуска itunse компьютер был заражен трояном, файлы на компьютере зашифрованы.
      Пожалуйста, помогоите их дешифровать.CollectionLog-2022.06.27-14.18.zip
    • potuzov
      От potuzov
      После приема почтового сообщения c архивом поймали вирус-шифровальщик crypted000007. 

      Почтовый ящик следующий pilotpilot088@gmail.com

       

      Автоматический сборщик логов отработал. Результат прилагается. 

      Заранее благодарен

    • Vetl74
      От Vetl74
      Добрый день! Поймали шифровальщика из письма.  Файлы стали с расширением .crypted000007. проверил комп KVRT.exe, и запустил сборьщик логов AutoLogger.exe., так же программу FRST.exe. прекрепляю файлы отчетов.

      образцы файлов прикрепляю.
      CollectionLog-2018.03.11-16.50.zip
      Addition.txt
      FRST.txt
      шифровальщик_2018.03.13_13.37.rar
    • anton1028
      От anton1028
      Хватанули вирус на почте.
      Прошу помощи в чистке.
       
      CollectionLog-2017.09.14-00.05.zip
    • Abstinens
      От Abstinens
      Добрый день! Поймали шифровальщика из письма novikov.vavila@gmail.com Зашифровал все картинки, фото и видео и т.д.. Файлы стали с расширением .crypted000007. Тему письма не помню, письмо с вирусом тоже удалили. Скачал Dr.Web CureIt! обнаружил Trojan.Encoder.20. После перезагрузки вирусы удалились антивирусом. Файл README прикрепить не получается, но они есть. Есть также письмо с расценками на расшифровку.
      CollectionLog-2017.05.02-23.18.zip
×
×
  • Создать...