Закрыто Шифровальщик

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Guest, 13 окт 2016.

Статус темы:
Закрыта.
  1. Guest
    Оффлайн

    Guest Новый пользователь

    Сообщения:
    33
    Симпатии:
    7
    Добрый день! Поймали шифровальщик, есть ли шанс расшифровать документы? Система грузится, как лучше собрать логи?
     

    Вложения:

    • README1.txt
      Размер файла:
      4,1 КБ
      Просмотров:
      4
    SNS-amigo нравится это.
  2. Guest
    Оффлайн

    Guest Новый пользователь

    Сообщения:
    33
    Симпатии:
    7
    Логи собрал, как определить шифровальщик?
     

    Вложения:

  3. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('c:\revizor.exe','');
     QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
     DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код (Text):

    CreateRestorePoint:
    2016-10-12 14:27 - 2016-10-12 14:27 - 00000000 __SHD C:\Users\Все пользователи\Csrss
    2016-10-12 14:27 - 2016-10-12 14:27 - 00000000 __SHD C:\ProgramData\Csrss
    2016-10-12 14:26 - 2016-10-12 14:26 - 03133494 _____ C:\Users\Пользователь\AppData\Roaming\91E6BDE191E6BDE1.bmp
    2016-10-12 14:26 - 2016-10-12 14:26 - 00004178 _____ C:\Users\Пользователь\Desktop\README9.txt
    2016-10-12 14:26 - 2016-10-12 14:26 - 00004178 _____ C:\Users\Пользователь\Desktop\README8.txt
    2016-10-12 14:26 - 2016-10-12 14:26 - 00004178 _____ C:\Users\Пользователь\Desktop\README7.txt
    2016-10-12 14:26 - 2016-10-12 14:26 - 00004178 _____ C:\Users\Пользователь\Desktop\README6.txt
    2016-10-12 14:26 - 2016-10-12 14:26 - 00004178 _____ C:\Users\Пользователь\Desktop\README5.txt
    2016-10-12 14:26 - 2016-10-12 14:26 - 00004178 _____ C:\Users\Пользователь\Desktop\README4.txt
    2016-10-12 14:26 - 2016-10-12 14:26 - 00004178 _____ C:\Users\Пользователь\Desktop\README3.txt
    2016-10-12 14:26 - 2016-10-12 14:26 - 00004178 _____ C:\Users\Пользователь\Desktop\README2.txt
    2016-10-12 14:26 - 2016-10-12 14:26 - 00004178 _____ C:\Users\Пользователь\Desktop\README10.txt
    2016-10-12 14:26 - 2016-10-12 14:26 - 00004178 _____ C:\Users\Пользователь\Desktop\README1.txt
    2016-10-12 14:13 - 2016-10-12 14:13 - 00004178 _____ C:\README9.txt
    2016-10-12 14:13 - 2016-10-12 14:13 - 00004178 _____ C:\README8.txt
    2016-10-12 14:13 - 2016-10-12 14:13 - 00004178 _____ C:\README7.txt
    2016-10-12 14:13 - 2016-10-12 14:13 - 00004178 _____ C:\README6.txt
    2016-10-12 14:13 - 2016-10-12 14:13 - 00004178 _____ C:\README5.txt
    2016-10-12 14:13 - 2016-10-12 14:13 - 00004178 _____ C:\README4.txt
    2016-10-12 14:13 - 2016-10-12 14:13 - 00004178 _____ C:\README3.txt
    2016-10-12 14:13 - 2016-10-12 14:13 - 00004178 _____ C:\README2.txt
    2016-10-12 14:13 - 2016-10-12 14:13 - 00004178 _____ C:\README10.txt
    2016-10-12 14:12 - 2016-10-12 14:12 - 00000000 __SHD C:\Users\Все пользователи\Windows
    2016-10-12 14:12 - 2016-10-12 14:12 - 00000000 __SHD C:\ProgramData\Windows
    Reboot:
     
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    • Обратите внимание, что будет выполнена перезагрузка компьютера.

    Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
     
    Kиpилл нравится это.
  4. Guest
    Оффлайн

    Guest Новый пользователь

    Сообщения:
    33
    Симпатии:
    7
    Добрый день! Сделал образ системы и развернул его на другом ПК, с загрузочной флешки удалось собрать карантин, отправил.
     
  5. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Вы скрипт выполнили в FRST?
     
  6. Guest
    Оффлайн

    Guest Новый пользователь

    Сообщения:
    33
    Симпатии:
    7
    Скрипт выполнить не получиться, так как образ новом железе не грузится.
     
  7. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Что мешает его выполнить на старом железе?
     
  8. Guest
    Оффлайн

    Guest Новый пользователь

    Сообщения:
    33
    Симпатии:
    7
    Старое железо уже трудится, в другом месте
     
  9. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    С расшифровкой помочь не сможем (на любом железе)
     
  10. Guest
    Оффлайн

    Guest Новый пользователь

    Сообщения:
    33
    Симпатии:
    7
    Тему можно закрыть, удалось восстановить только файл при помощи программы восстановления удаленных файлов
     
Статус темы:
Закрыта.

Поделиться этой страницей