Решена с расшифровкой. email-3nity@tuta.io.ver-CS 1.6.id-.fname

[fizik2007]

windows server 2003
пошифровало все файлы
прошу помощи.
Прикрепляю лог и пару файлов.
Спасибо.

 

[akok]

После шифрования систему перезагружали?

 

[fizik2007]

думаю, да. И сейчас диск подключен к другому системнику.

 

[akok]

ааа, тогда эта система у вас тоже с заразой.

 

[fizik2007]

спасибо, что предупредили. AVZ могу прокрутить и избавиться от неё?

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\{66913329-6691-6691-669133294546}\csrss.exe','');
 QuarantineFile('c:\programdata\{66913329-6691-6691-669133294546}\csrss.exe','');
 DeleteFile('c:\programdata\{66913329-6691-6691-669133294546}\csrss.exe','32');
 DeleteSchedulerTask('Microsoft LocalManager [2728713721]');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[akok]

Теперь по поводу зашифрованных файлов. Ключи подобрать удалось. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет. Результат сообщите здесь, пожалуйста.

 

[fizik2007]

ошибка запуска скрипта

 

[akok]

Нужно использовать ту версию которая лежит в папке автологера, вы скачали устаревшую версию.

 

[fizik2007]

Все получилось, как написали выше. Спасибо.
Отсылаю файлы отчетов.

 

[akok]

Политики хрома настраивали?
Какое содержимо

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CreateRestorePoint:
  Task: {88900685-0CCC-4657-8A98-5D901CB9D374} - System32\Tasks\Microsoft LocalManager [2728713721] => C:\ProgramData\{17801696-1780-1780-178016966579}\csrss.exe [3760640 2018-11-25] (DJMASTER.COM) [File not signed] <==== ATTENTION
  C:\ProgramData\{17801696-1780-1780-178016966579}\csrss.exe
  2019-07-28 13:05 - 2019-07-28 13:05 - 000003646 _____ C:\Windows\System32\Tasks\Microsoft LocalManager [2728713721]
  2019-07-28 13:05 - 2019-07-28 13:05 - 000000000 __SHD C:\Users\Все пользователи\{17801696-1780-1780-178016966579}
  2019-07-28 13:05 - 2019-07-28 13:05 - 000000000 __SHD C:\ProgramData\{17801696-1780-1780-178016966579}
  2019-07-28 12:41 - 2019-07-28 12:43 - 000000000 __SHD C:\Users\Все пользователи\{26672780-2667-2667-266727807482}
  2019-07-28 12:41 - 2019-07-28 12:43 - 000000000 __SHD C:\ProgramData\{26672780-2667-2667-266727807482}
  2019-07-28 12:27 - 2019-07-28 12:37 - 000000000 __SHD C:\Users\Все пользователи\{49274521-4927-4927-492745218899}
  2019-07-28 12:27 - 2019-07-28 12:37 - 000000000 __SHD C:\ProgramData\{49274521-4927-4927-492745218899}
  2019-07-26 11:53 - 2019-07-28 12:33 - 000000000 __SHD C:\Users\Все пользователи\{47924017-4792-4792-479240175850}
  2019-07-26 11:53 - 2019-07-28 12:33 - 000000000 __SHD C:\ProgramData\{47924017-4792-4792-479240175850}
  2019-07-25 08:28 - 2019-07-26 11:56 - 000000000 __SHD C:\Users\Все пользователи\{05226883-0522-0522-052268837899}
  2019-07-25 08:28 - 2019-07-26 11:56 - 000000000 __SHD C:\ProgramData\{05226883-0522-0522-052268837899}
  2019-07-24 08:23 - 2019-07-24 08:23 - 000000000 __SHD C:\Users\Все пользователи\{55805445-5580-5580-558054452579}
  2019-07-24 08:23 - 2019-07-24 08:23 - 000000000 __SHD C:\ProgramData\{55805445-5580-5580-558054452579}
  2019-07-23 09:25 - 2019-07-23 09:25 - 000000000 __SHD C:\Users\Все пользователи\{13435277-1343-1343-134352775327}
  2019-07-23 09:25 - 2019-07-23 09:25 - 000000000 __SHD C:\ProgramData\{13435277-1343-1343-134352775327}
  2019-07-22 08:53 - 2019-07-22 08:53 - 000000000 __SHD C:\Users\Все пользователи\{58453169-5845-5845-584531699914}
  2019-07-22 08:53 - 2019-07-22 08:53 - 000000000 __SHD C:\ProgramData\{58453169-5845-5845-584531699914}
  2019-07-21 21:29 - 2019-07-21 21:34 - 000000000 __SHD C:\Users\Все пользователи\{06226417-0622-0622-062264176199}
  2019-07-21 21:29 - 2019-07-21 21:34 - 000000000 __SHD C:\ProgramData\{06226417-0622-0622-062264176199}
  2019-07-21 12:22 - 2019-07-21 12:52 - 000000000 __SHD C:\Users\Все пользователи\{92102707-9210-9210-921027073089}
  2019-07-21 12:22 - 2019-07-21 12:52 - 000000000 __SHD C:\ProgramData\{92102707-9210-9210-921027073089}
  2019-07-18 20:50 - 2019-07-18 20:50 - 000000000 __SHD C:\Users\Все пользователи\{63019446-6301-6301-630194461074}
  2019-07-18 20:50 - 2019-07-18 20:50 - 000000000 __SHD C:\ProgramData\{63019446-6301-6301-630194461074}
  2019-07-18 08:24 - 2019-07-18 08:24 - 000000000 __SHD C:\Users\Все пользователи\{98571720-9857-9857-985717206919}
  2019-07-18 08:24 - 2019-07-18 08:24 - 000000000 __SHD C:\ProgramData\{98571720-9857-9857-985717206919}
  2019-07-17 10:15 - 2019-07-17 10:15 - 000000000 __SHD C:\Users\Все пользователи\{17202611-1720-1720-172026110250}
  2019-07-17 10:15 - 2019-07-17 10:15 - 000000000 __SHD C:\ProgramData\{17202611-1720-1720-172026110250}
  2019-07-16 08:45 - 2019-07-16 08:45 - 000000000 __SHD C:\Users\Все пользователи\{78019361-7801-7801-780193611428}
  2019-07-16 08:45 - 2019-07-16 08:45 - 000000000 __SHD C:\ProgramData\{78019361-7801-7801-780193611428}
  2019-07-15 08:56 - 2019-07-15 08:56 - 000000000 __SHD C:\Users\Все пользователи\{18522555-1852-1852-185225558129}
  2019-07-15 08:56 - 2019-07-15 08:56 - 000000000 __SHD C:\ProgramData\{18522555-1852-1852-185225558129}
  2019-07-13 08:45 - 2019-07-13 08:50 - 000000000 __SHD C:\Users\Все пользователи\{10182173-1018-1018-101821732896}
  2019-07-13 08:45 - 2019-07-13 08:50 - 000000000 __SHD C:\ProgramData\{10182173-1018-1018-101821732896}
  2019-07-12 11:18 - 2019-07-12 11:23 - 000000000 __SHD C:\Users\Все пользователи\{61791061-6179-6179-617910613741}
  2019-07-12 11:18 - 2019-07-12 11:23 - 000000000 __SHD C:\ProgramData\{61791061-6179-6179-617910613741}
  2019-07-10 09:13 - 2019-07-21 18:57 - 000000000 __SHD C:\Users\Все пользователи\{41973066-4197-4197-419730669222}
  2019-07-10 09:13 - 2019-07-21 18:57 - 000000000 __SHD C:\ProgramData\{41973066-4197-4197-419730669222}
  2019-07-10 08:57 - 2019-07-10 08:57 - 000000000 __SHD C:\Users\Все пользователи\{16493819-1649-1649-164938192942}
  2019-07-10 08:57 - 2019-07-10 08:57 - 000000000 __SHD C:\ProgramData\{16493819-1649-1649-164938192942}
  2019-07-09 23:38 - 2019-07-09 23:38 - 000000000 __SHD C:\Users\Все пользователи\{63727645-6372-6372-637276456258}
  2019-07-09 23:38 - 2019-07-09 23:38 - 000000000 __SHD C:\ProgramData\{63727645-6372-6372-637276456258}
  2019-07-09 11:39 - 2019-07-09 11:39 - 000000000 __SHD C:\Users\Все пользователи\{55396539-5539-5539-553965394154}
  2019-07-09 11:39 - 2019-07-09 11:39 - 000000000 __SHD C:\ProgramData\{55396539-5539-5539-553965394154}
  2019-07-09 11:34 - 2019-07-09 11:34 - 000000000 __SHD C:\Users\Все пользователи\{00799429-0079-0079-007994298375}
  2019-07-09 11:34 - 2019-07-09 11:34 - 000000000 __SHD C:\ProgramData\{00799429-0079-0079-007994298375}
  2019-07-08 08:48 - 2019-07-08 08:48 - 000000000 __SHD C:\Users\Все пользователи\{48117048-4811-4811-481170482467}
  2019-07-08 08:48 - 2019-07-08 08:48 - 000000000 __SHD C:\ProgramData\{48117048-4811-4811-481170482467}
  2019-07-07 11:39 - 2019-07-07 11:39 - 000000000 __SHD C:\Users\Все пользователи\{48884191-4888-4888-488841915605}
  2019-07-07 11:39 - 2019-07-07 11:39 - 000000000 __SHD C:\ProgramData\{48884191-4888-4888-488841915605}
  2019-07-05 08:08 - 2019-07-05 08:08 - 000000000 __SHD C:\Users\Все пользователи\{47811869-4781-4781-478118698874}
  2019-07-05 08:08 - 2019-07-05 08:08 - 000000000 __SHD C:\ProgramData\{47811869-4781-4781-478118698874}
  2019-07-05 03:03 - 2019-07-05 03:03 - 000000000 __SHD C:\Users\Все пользователи\{24246706-2424-2424-242467067467}
  2019-07-05 03:03 - 2019-07-05 03:03 - 000000000 __SHD C:\ProgramData\{24246706-2424-2424-242467067467}
  2019-07-04 08:21 - 2019-07-04 08:21 - 000000000 __SHD C:\Users\Все пользователи\{88613196-8861-8861-886131965998}
  2019-07-04 08:21 - 2019-07-04 08:21 - 000000000 __SHD C:\ProgramData\{88613196-8861-8861-886131965998}
  2019-07-02 09:01 - 2019-07-02 09:01 - 000000000 __SHD C:\Users\Все пользователи\{38802749-3880-3880-388027490591}
  2019-07-02 09:01 - 2019-07-02 09:01 - 000000000 __SHD C:\ProgramData\{38802749-3880-3880-388027490591}
  2019-07-01 22:37 - 2019-07-01 22:37 - 000000000 __SHD C:\Users\Все пользователи\{72654315-7265-7265-726543153704}
  2019-07-01 22:37 - 2019-07-01 22:37 - 000000000 __SHD C:\ProgramData\{72654315-7265-7265-726543153704}
  2019-06-30 17:42 - 2019-06-30 17:42 - 000000000 __SHD C:\Users\Все пользователи\{30977446-3097-3097-309774469074}
  2019-06-30 17:42 - 2019-06-30 17:42 - 000000000 __SHD C:\ProgramData\{30977446-3097-3097-309774469074}
  2019-06-29 17:13 - 2019-06-29 17:13 - 000000000 __SHD C:\Users\Все пользователи\{31330321-3133-3133-313303211718}
  2019-06-29 17:13 - 2019-06-29 17:13 - 000000000 __SHD C:\ProgramData\{31330321-3133-3133-313303211718}
  2019-06-29 17:02 - 2019-06-29 17:02 - 000000000 __SHD C:\Users\Все пользователи\{54255663-5425-5425-542556632560}
  2019-06-29 17:02 - 2019-06-29 17:02 - 000000000 __SHD C:\ProgramData\{54255663-5425-5425-542556632560}
  2019-06-29 16:02 - 2019-06-29 16:02 - 000000000 __SHD C:\Users\Все пользователи\{09983131-0998-0998-099831314667}
  2019-06-29 16:02 - 2019-06-29 16:02 - 000000000 __SHD C:\ProgramData\{09983131-0998-0998-099831314667}
  2019-06-29 15:56 - 2019-06-29 15:56 - 000000000 __SHD C:\Users\Все пользователи\{01478998-0147-0147-014789982129}
  2019-06-29 15:56 - 2019-06-29 15:56 - 000000000 __SHD C:\ProgramData\{01478998-0147-0147-014789982129}
  2019-06-29 14:08 - 2019-06-29 14:08 - 000000000 __SHD C:\Users\Все пользователи\{07132563-0713-0713-071325639386}
  2019-06-29 14:08 - 2019-06-29 14:08 - 000000000 __SHD C:\ProgramData\{07132563-0713-0713-071325639386}
  2019-06-29 13:40 - 2019-06-29 13:40 - 000000000 __SHD C:\Users\Все пользователи\{97469858-9746-9746-974698580371}
  2019-06-29 13:40 - 2019-06-29 13:40 - 000000000 __SHD C:\ProgramData\{97469858-9746-9746-974698580371}
  2019-06-29 13:32 - 2019-06-29 13:32 - 000000000 __SHD C:\Users\Все пользователи\{68365206-6836-6836-683652066678}
  2019-06-29 13:32 - 2019-06-29 13:32 - 000000000 __SHD C:\ProgramData\{68365206-6836-6836-683652066678}
  2019-06-29 13:27 - 2019-06-29 13:27 - 000000000 __SHD C:\Users\Все пользователи\{65316222-6531-6531-653162222782}
  2019-06-29 13:27 - 2019-06-29 13:27 - 000000000 __SHD C:\ProgramData\{65316222-6531-6531-653162222782}
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[akok]

1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

 

[fizik2007]

готово. Прогонял kvrt дважды по 3 часа.

 

[akok]

Тут все. Отпишитесь по результатам расшифровки и отмечу тему решенной.

 

[fizik2007]

Скиньте, пожалуйста, ссылку на покупку электронной версии лицензии KAV на 1 комп (для Украины)?! Спасибо.

 

[akok]

Антивирусы - ROZETKA | Купить антивирус для ПК: цена, отзывы, продажа

Антивирусы для ПК в интернет-магазине ➦ ROZETKA. ☎: (044) 537-02-22, 0 800 303-344. $ лучшие цены, ✈ быстрая доставка, ☑ гарантия!

soft.rozetka.com.ua

https://www.kaspersky.ua/#compare-products

 

[fizik2007]

Файлы расшифрованы. Вопрос решён. Спасибо.