Прошу помощи. Поймали в локально сети вирус шифровальщик. по инструкции прилагаю файл. Спасибо.
Прошу помощи. Поймали в локально сети вирус шифровальщик. по инструкции прилагаю файл. Спасибо.
Уважаемый(ая) statist29rus, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Расшифровки этой версии вымогателя нет. Будет только удаление активной угрозы и очистка.
Временно отключите защитное ПО.
Выполните скрипт в AVZ:
Пожалуйста, перезагрузите компьютер вручную.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\print\videos\loadpay.exe'); TerminateProcessByName('c:\users\print\videos\local.exe'); QuarantineFile('C:\scancleaner.vbs', ''); QuarantineFile('C:\Users\PRINT\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\PRINT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\PRINT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Loadpay.exe', ''); QuarantineFile('c:\users\print\videos\loadpay.exe', ''); QuarantineFile('c:\users\print\videos\local.exe', ''); DeleteFile('C:\Users\PRINT\AppData\Roaming\Info.hta', '32'); DeleteFile('C:\Users\PRINT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32'); DeleteFile('C:\Users\PRINT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Loadpay.exe', '32'); DeleteFile('c:\users\print\videos\loadpay.exe', '32'); DeleteFile('c:\users\print\videos\local.exe', '32'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-116534668-757708831-1934360936-1255\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\PRINT\AppData\Roaming\Info.hta'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-116534668-757708831-1934360936-1255\Software\Microsoft\Windows\CurrentVersion\Run', 'Loadpay.exe'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Сделайте повторные логи по правилам. (CollectionLog)
Спасибо, еще тогда один вопрос, вероятность расшифровки файлов насколько мала? Расшифровываются ли файлы?
После скрипта и перезагрузки системы отправляю логи и карантин.
Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
прикладываю файлы.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: HKU\S-1-5-21-116534668-757708831-1934360936-1132\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION HKU\S-1-5-21-116534668-757708831-1934360936-1144\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION HKU\S-1-5-21-116534668-757708831-1934360936-4387\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION BHO-x32: No Name -> {7D593456-CE40-4F17-921B-8717A3BBB60E} -> No File 2019-09-22 23:47 - 2019-09-22 23:47 - 000000166 _____ C:\Users\PRINT\Desktop\FILES ENCRYPTED.txt End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.
прикладываю FixLog
Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера.
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 2
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB
Уважаемый(ая) statist29rus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.