keres 0 Опубликовано 23 октября, 2019 Share Опубликовано 23 октября, 2019 после открытия файла с расширением *SCR присланного по почте, все документы быстро оказались зашифрованы - в конце файлов .crypted000007 CollectionLog-2019.10.23-11.49.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 23 октября, 2019 Share Опубликовано 23 октября, 2019 Здравствуйте! Тип вымогателя Shade, расшифровки нет, увы. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); StopService('4F94148C408C3B18'); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', ''); QuarantineFile('C:\WINDOWS\Temp\1A2274E418.sys', ''); DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32'); DeleteFile('C:\WINDOWS\Temp\1A2274E418.sys', '32'); DeleteService('4F94148C408C3B18'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KL-). Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
keres 0 Опубликовано 23 октября, 2019 Автор Share Опубликовано 23 октября, 2019 часть файлов с измененным названием и в конце crypted000007 но есть много других, название сохранено и расширение, но тип файла стоит crypted000078 их также нельзя расшифровать? Здравствуйте!Тип вымогателя Shade, расшифровки нет, увы. файлы для проверки не нужны? Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 23 октября, 2019 Share Опубликовано 23 октября, 2019 их также нельзя расшифровать?К сожалению, нет. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION 2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README9.txt 2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README8.txt 2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README7.txt 2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README6.txt 2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README5.txt 2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README4.txt 2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README3.txt 2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README2.txt 2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README10.txt 2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README1.txt 2019-10-22 15:03 - 2019-10-23 15:27 - 000000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows 2019-10-22 15:03 - 2019-10-23 00:30 - 001688576 _____ C:\Documents and Settings\User\Мои документы\Scan658.scr Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
keres 0 Опубликовано 23 октября, 2019 Автор Share Опубликовано 23 октября, 2019 2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README1.txt readme файл не заражен? просто txt файл? я его копировал и открывал на другой машине... Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 23 октября, 2019 Share Опубликовано 23 октября, 2019 Я знаю, мы просто чистим мусор. Копии удаленных файлов складываются в папку C:\FRST\Quarantine Ссылка на сообщение Поделиться на другие сайты
keres 0 Опубликовано 23 октября, 2019 Автор Share Опубликовано 23 октября, 2019 (изменено) запрос на расшифровку имеет смысл? или шансов нет... Fixlog.txt Изменено 23 октября, 2019 пользователем keres Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 24 октября, 2019 Share Опубликовано 24 октября, 2019 Если есть возможность, запрос сделайте. Но шансов практически нет. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти