crysis Зацепили шифровальщика от 3441546223@qq.com

26 мая, 2020

CollectionLog-2020.05.26-15.54.zip Прошу помощи в восстановлении файлов (doc. exel. jpg)

26 мая, 2020

Здравствуйте!

Пару зашифрованных файлов вместе с запиской Info.hta упакуйте в архив и прикрепите к следующему сообщению.

Но скорее всего расшифровки нет. Будет только очистка следов.

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

Кнопка "Яндекс" на панели задач

Менеджер браузеров

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Oleg\AppData\Roaming\1task.exe', '');
 QuarantineFile('C:\Users\Oleg\AppData\Roaming\Info.hta', '');
 DeleteFile('C:\Users\Oleg\AppData\Roaming\1task.exe', '32');
 DeleteFile('C:\Users\Oleg\AppData\Roaming\1task.exe', '64');
 DeleteFile('C:\Users\Oleg\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Oleg\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1task.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1task.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Oleg\AppData\Roaming\Info.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Oleg\AppData\Roaming\Info.hta', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.

27 мая, 2020

20 часов назад, Олег Геннадьевич сказал:

CollectionLog-2020.05.26-15.54.zip Прошу помощи в восстановлении файлов (doc. exel. jpg)

Здесь зашифрованные файлы

ПАРКОВАЯ.7z

4 часа назад, Олег Геннадьевич сказал:

Здесь зашифрованные файлы

ПАРКОВАЯ.7z 398 kB · 0 загрузок

При запуске скрипта в AVZ выскочило сообщение " Ошибка "BEGIN" expected в позиции 1:1

27 мая, 2020

Здравствуйте,

В поле код попал лишний символ "]", я его удалил, могли бы пожалуйста выполнить еще раз рекомендации консультанта Sandor касаемо скрипта AVZ.

28 мая, 2020

23 часа назад, SQ сказал:

Здравствуйте,

В поле код попал лишний символ "]", я его удалил, могли бы пожалуйста выполнить еще раз рекомендации консультанта Sandor касаемо скрипта AVZ.

CollectionLog-2020.05.28-04.47.zip

28 мая, 2020

Это логи уже с другой системы. Была переустановка?

Тип вымогателя Dharma (.cezar Family) или Crysis по терминологии ЛК. К сожалению, расшифровки нет.

29 мая, 2020

Да. Переустановили систему. После чистки от вируса старая система стала работать некорректно.

19 часов назад, Sandor сказал:

Это логи уже с другой системы. Была переустановка?

Тип вымогателя Dharma (.cezar Family) или Crysis по терминологии ЛК. К сожалению, расшифровки нет.

Очень жаль. Прям очень, очень.

crysis Зацепили шифровальщика от 3441546223@qq.com

Рекомендуемые сообщения

Олег Геннадьевич

Sandor

Олег Геннадьевич

SQ

Олег Геннадьевич

Sandor

Олег Геннадьевич

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum