Здравствуйте, поймали шифровальщик, антивирусником пока не лечил, логи прикрепил, готовы заплатить если возможна дешифровка
Здравствуйте, поймали шифровальщик, антивирусником пока не лечил, логи прикрепил, готовы заплатить если возможна дешифровка
Уважаемый(ая) VLDolph, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Здравствуйте!
Один из файлов Info.hta вместе с 2-3 зашифрованными документами упакуйте в архив с паролем и прикрепите к следующему сообщению.
пароль qwerty55
Увы, это Dharma (или Crysis по терминологии ЛК). Расшифровки нет.
Помощь в очистке системы нужна или планируете переустановку?
В системе установлен Acronis, резервных копий не сохранилось?
Временно отключите защитное ПО.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\A50ZFS_payload.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\A50ZFS_payload.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Windows\System32\A50ZFS_payload.exe', ''); QuarantineFile('C:\Windows\System32\Info.hta', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\A50ZFS_payload.exe', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-EAC7E80E.[[email protected]].harma', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\A50ZFS_payload.exe', ''); DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Windows\System32\A50ZFS_payload.exe', '64'); DeleteFile('C:\Windows\System32\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'A50ZFS_payload.exe', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Сделайте повторные логи по правилам. (CollectionLog)
Тут надо быть очень осторожным, как правило это посредники, связанные со злоумышленниками и накручивающие свою цену.
Понятно. Выполняйте скрипт.
ошибка в скрипте (слишком много параметров) без этих строчек выполнился, каратнтин прикрепил
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'A50ZFS_payload.exe', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
сам качал, запустил из папки автологера скрипт отработал, снова карантин отправить?
новый лог
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Личные сообщения проверьте.
сделал
Из семи учётных записей системы пять обладают правами администратора. Пересмотрите и смените пароли.
Проверьте уязвимые места и устаревшее критическое ПО:
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
сделал
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.1.3 v.2.1.3 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX v.32.0.0.414 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.