Перейти к содержанию

вирус шифровальщик


Рекомендуемые сообщения

после открытия файла с расширением  *SCR присланного по почте, все документы быстро оказались зашифрованы  - в конце файлов .crypted000007

CollectionLog-2019.10.23-11.49.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Тип вымогателя Shade, расшифровки нет, увы.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 StopService('4F94148C408C3B18');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '');
 QuarantineFile('C:\WINDOWS\Temp\1A2274E418.sys', '');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32');
 DeleteFile('C:\WINDOWS\Temp\1A2274E418.sys', '32');
 DeleteService('4F94148C408C3B18');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

часть файлов с измененным названием и в конце crypted000007

но есть много других, название сохранено и расширение, но тип файла стоит crypted000078

их также нельзя расшифровать?


Здравствуйте!

Тип вымогателя Shade, расшифровки нет, увы.


 

файлы для проверки не нужны?

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

их также нельзя расшифровать?

К сожалению, нет.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README9.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README8.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README7.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README6.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README5.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README4.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README3.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README2.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README10.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README1.txt
    2019-10-22 15:03 - 2019-10-23 15:27 - 000000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
    2019-10-22 15:03 - 2019-10-23 00:30 - 001688576 _____ C:\Documents and Settings\User\Мои документы\Scan658.scr
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Если есть возможность, запрос сделайте. Но шансов практически нет.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Radik_Gilmanov
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
    • Vital888
      От Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
×
×
  • Создать...