Здравствуйте. Вирус попал на файлообмен и пошифровал файлы. Можно ли расшифровать? Заранее Спасибо.
Здравствуйте. Вирус попал на файлообмен и пошифровал файлы. Можно ли расшифровать? Заранее Спасибо.
Уважаемый(ая) [B]AngryBB[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\dyachenko.a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.exe','');
QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\1.exe','');
QuarantineFile('C:\Users\zhakupbekova.e\AppData\Roaming\Info.hta','');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1.exe','');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1.exe','32');
DeleteFile('C:\Users\zhakupbekova.e\AppData\Roaming\Info.hta','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\zhakupbekova.e\AppData\Roaming\Info.hta');
DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\1.exe','32');
DeleteFile('C:\Users\dyachenko.a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.[/code]Перезагрузку компьютера выполните вручную.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
Здравствуйте. Запустил скрипт. После перезагрузки все файлы шифруются по новой. Даже файлы карантина. Новый лог во вложении.
Выполните скрипт в AVZ
[code]begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\windows\system32\1.exe');
QuarantineFile('c:\windows\system32\1.exe','');
DeleteFile('c:\windows\system32\1.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\dyachenko.a\AppData\Roaming\Info.hta');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.[/code]Перезагрузку компьютера выполните вручную.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
Здравствуйте. Вроде все вычистило. Карантин отправлен новые логи во вложении.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Здравствуйте. Архив во вложении.
Как так получилось, что на сервере вообще нет антивируса?
Недавно в компанию пришел. Прошлый Админ как передал так еще не до конца разобрался. Я бы с бэкапа все накатил но бэкапы почему-то хранятся на том же сервере.
Проверьте ЛС
Здравствуйте. Прямо беда какая-то. Файлы опять начали шифроваться.
Делайте новые логи
Здравствуте. Решили проблему радикально (Переустановка). Спасибо большое за помощь. Файлы отправили на расшифровку в лабораторию Касперского. Тему можно закрывать. Отписаться насчет результата от лаборатории Касперского?
Лучше в ЛС тогда
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\dyachenko.a\appdata\roaming\microsoft\windows\start menu\programs\startup\1.exe - [B]Trojan-Ransom.Win32.Crusis.ou[/B] ( BitDefender: Gen:Trojan.Heur.FU.fmW@auNX@Mo )[/LIST][/LIST]