Как понятно из заголовка, все ворд, эксель, текстовые файлы зашифрованы. Предлагает скинуть код на эл.почту из текстового файла, который появился после появления заразы, для получения дальнейших инструкций. На восстановление файлов не надеюсь, надеюсь поможете победить зловреда. AVZ создал автокарантин, если надо прикреплю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Ларин Игорь, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); QuarantineFile('C:\ProgramData\Drivers\csrss.exe',''); QuarantineFile('C:\ProgramData\Csrss\csrss.exe',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS'); DeleteFile('C:\ProgramData\Csrss\csrss.exe','32'); DeleteFile('C:\ProgramData\Drivers\csrss.exe','32'); ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Файл сохранён как 161003_151720_quarantine_57f24c50e6ced.zip
Размер файла 2862325
MD5 2502fd7e67ac7f815743db88245bf35a
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Пожалуйста!
Здравствуйте! Может есть информация по дальнейшим действиям?
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
- Временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CloseProcesses: 2016-09-22 10:47 - 2016-10-03 15:08 - 00000000 __SHD C:\Users\Все пользователи\Csrss 2016-09-22 10:47 - 2016-10-03 15:08 - 00000000 __SHD C:\ProgramData\Csrss 2016-09-22 10:45 - 2016-09-22 10:45 - 03148854 _____ C:\Users\Валера\AppData\Roaming\54B2EC7D54B2EC7D.bmp 2016-09-22 10:40 - 2016-10-03 15:07 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-09-22 10:40 - 2016-10-03 15:07 - 00000000 __SHD C:\ProgramData\Windows C:\Users\Валера\AppData\Local\Temp\DCCBC4E2.exe C:\Users\Валера\AppData\Local\Temp\FEC40EF4.exe CustomCLSID: HKU\S-1-5-21-1007856803-3441073392-3317422579-1000_Classes\CLSID\{08244EE6-92F0-47F2-9FC9-929BAA2E7235}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-1007856803-3441073392-3317422579-1000_Classes\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-1007856803-3441073392-3317422579-1000_Classes\CLSID\{4E77131D-3629-431C-9818-C5679DC83E81}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-1007856803-3441073392-3317422579-1000_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> no filepath- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
- Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Сделано.
Пароли меняйте. С расшифровкой помочь не сможем.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
И на этом спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\csrss\csrss.exe - Trojan.Win32.Agent.nevnwq ( BitDefender: Gen:Trojan.Heur.@mKfX4Dtz1dc, AVAST4: Win32:Malware-gen )
- c:\programdata\drivers\csrss.exe - Trojan.Win32.Agent.neumtu ( BitDefender: Gen:Trojan.Heur.2mKfXmcCJUjc, AVAST4: Win32:Malware-gen )
- c:\programdata\windows\csrss.exe - Trojan-Ransom.Win32.Shade.kto
Уважаемый(ая) Ларин Игорь, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
