Шифровальщик AES-256

@Asurend · Регистрация: 14.06.2018

Author24 — интернет-сервис помощи студентам

День добрый.
Ночью умудрился схватить шифровальщик. К логам прилагаю файл Notice.txt с ключом и инструкцией от вредителей.

@Sandor · 14.06.2018, 12:19

Здравствуйте!

Пару небольших зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

Внимание! Рекомендации написаны специально для пользователя Asurend. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code    
        
            
                
                
                
                
            
        
    Скопировано
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\1C\Appdata\Roaming\infoweb.exe', '');
 QuarantineFile('C:\Users\1C\AppData\Roaming\WinZIP_32\servisis.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Host" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Version" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WinRar" /F', 0, 15000, true);
 DeleteFile('C:\Users\1C\Appdata\Roaming\infoweb.exe', '64');
 DeleteFile('C:\Users\1C\AppData\Roaming\WinZIP_32\servisis.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@Asurend · 14.06.2018, 12:33 **[ТС]**

Все выполнил.
quarantine.zip отправил через форму.

@Sandor · 14.06.2018, 12:42

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Asurend · 14.06.2018, 12:51 **[ТС]**

Файлы в архиве.

@Sandor · 14.06.2018, 13:08

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code    
        
            
                
                
                
                
            
        
    Скопировано
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
Start::
CreateRestorePoint:
Startup: C:\Users\1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notice.txt [2018-06-14] ()
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notice.txt [2018-06-14] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Notice.txt [2018-06-14] ()
Startup: C:\Users\Bank\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notice.txt [2018-06-14] ()
Startup: C:\Users\SharedUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notice.txt [2018-06-14] ()
Startup: C:\Users\SRVUSR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notice.txt [2018-06-14] ()
2018-06-14 04:45 - 2018-06-14 04:45 - 000000820 _____ C:\Program Files\Common Files\Notice.txt
2018-06-14 04:44 - 2018-06-14 04:44 - 000000820 _____ C:\Program Files\Notice.txt
2018-06-14 04:43 - 2018-06-14 04:43 - 000000820 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:43 - 2018-06-14 04:43 - 000000820 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:43 - 2018-06-14 04:43 - 000000820 _____ C:\Program Files (x86)\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\Documents\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\Desktop\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\AppData\Roaming\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\AppData\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\AppData\LocalLow\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\AppData\Local\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\Downloads\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\Documents\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\Desktop\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\AppData\Roaming\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\AppData\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\AppData\LocalLow\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\AppData\Local\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\Downloads\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\Documents\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\Desktop\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\AppData\Roaming\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\AppData\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\AppData\LocalLow\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\AppData\Local\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\Downloads\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\Documents\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\Desktop\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\AppData\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\AppData\Local\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\ProgramData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Public\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Public\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Public\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Public\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc.PSVR1\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc.PSVR1\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc.PSVR1\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc.PSVR1\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Administrator\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Administrator\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Notice.txt
2018-05-30 05:37 - 2018-06-14 12:28 - 000000000 ____D C:\Users\1C\AppData\Roaming\WinZIP_32
2018-05-30 05:37 - 2018-06-14 04:42 - 000541184 _____ C:\Users\1C\Documents\banker.exe.qnbqw
2018-05-30 05:37 - 2018-06-14 04:42 - 000391680 _____ C:\Users\1C\Documents\Project1.exe.qnbqw
Task: {6E49D2DE-F4E2-4E35-9D42-04B745C029EF} - System32\Tasks\WPDR\Config_Error\Version => C:\Users\1C\AppData\Roaming\WinZIP_32\servisis.exe
Task: {B343BEA8-8891-4724-A4F7-4C7452CC62E8} - System32\Tasks\Systems\Documents\WinRar => C:\Users\1C\AppData\Roaming\WinZIP_32\servisis.exe
Task: {BD21957A-6F46-426D-A75C-570CDCD6FF5E} - System32\Tasks\Web\Host => C:\Users\1C\Appdata\Roaming\infoweb.exe <==== ATTENTION
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

@Asurend · 14.06.2018, 13:16 **[ТС]**

Готово

@Sandor · 15.06.2018, 08:54

С восстановлением ничего не обещаю. Подождите некоторое время.

Добавлено через 19 часов 30 минут
Вы карантин из сообщения №2 отправили? Если нет, отправьте. Если да, продублируйте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

@Asurend · 15.06.2018, 09:47 **[ТС]**

Все отправлял.
Сейчас продублировал на почту.

Добавлено через 8 минут
Письмо вернулось с ошибкой, так как антивирусы почтовиков обнаружили вирус.
Продублировал через форму.

@Sandor · 15.06.2018, 11:59

Закачайте его на файлообменник (например, на www.sendspase.com), ссылку на скачивание сообщите.

@Asurend · 15.06.2018, 12:07 **[ТС]**

Ссылку отправил по почте. Могу сюда продублировать. Стоит??

@Sandor · 15.06.2018, 12:12

Не нужно, получил, спасибо.
Еще подождите некоторое время.

@Asurend · 16.06.2018, 11:22 **[ТС]**

День добрый.
Не подскажите что да как? когда примерно ждать результата?

@thyrex · 16.06.2018, 12:52

Сам шифратор в карантин не попал, поэтому гадать, что это такое смысла нет.

@Asurend · 16.06.2018, 12:54 **[ТС]**

Это значит, что надежды нет?

@thyrex · 16.06.2018, 13:03

На данный момент именнто так

@Asurend · 16.06.2018, 16:48 **[ТС]**

тогда такой вопрос. Если вирус восстановить и передать вам - шансы есть???

@thyrex · 16.06.2018, 18:17

Не факт, но для анализа не помешает

@Asurend · 17.06.2018, 22:42 **[ТС]**

Восстановить не получилось... Но все-равно жду вашего решения и надеюсь.

Новые блоги и статьи Все статьи Все блоги /
На любовном киберфронте Alexander-7 01.04.2025 Недавно на одном малоизвестном сайте знакомств мною заинтересовалась девушка: «Текст немного странный. Но, судя по адресу почты, иностранка», – подумал я. Поколебавшись пару суток, я ответил ей:. . .	Как работает Node.js изнутри run.dev 29.03.2025 Node. js изменил подход к разработке веб-приложений, позволив использовать JavaScript не только на стороне клиента, но и на сервере. Созданный в 2009 году Райаном Далем, этот открытый,. . .	Моки в Python: Mock Object Library py-thonny 29.03.2025 Тестирование кода требует особого подхода, когда речь идёт о компонентах, взаимодействующих с внешним миром. Мы часто сталкиваемся с непредсказуемостью HTTP-запросов, чтением данных из базы или. . .	JavaScript: Управление памятью и улучшение производительности run.dev 29.03.2025 В отличие от низкоуровневых языков программирования, JavaScript не требует ручного выделения и освобождения памяти. Здесь работает автоматический сборщик мусора, который определяет, какие объекты. . .	Мультитенантная архитектура со SpringBoot и PostgreSQL ArchitectMsa 29.03.2025 SaaS-приложения редко обслуживают одного клиента и обычно они должны поддерживать множество организаций, каждая из которых работает в своём изолированном пространстве. Мультитенантная архитектура. . .
std::span в C++: Производительность и лучшие практики NullReferenced 28.03.2025 std::span — одно из самых недооценённых нововведений стандарта C++20, которое радикально меняет подход к работе с непрерывными последовательностями данных. По сути, это невладеющее представление. . .	Многопоточность в C#: Threadpool UnmanagedCoder 28.03.2025 Пул потоков в C# — это коллекция заранее созданных и готовых к использованию потоков, которые находятся в распоряжении приложения. Вместо того чтобы создавать и уничтожать потоки для каждой небольшой. . .	Вопросы на собеседованиях по микросервисам ArchitectMsa 27.03.2025 Работодатели ищут не просто разработчиков, знающих базовые концепции, а специалистов, разбирающихся в тонкостях масштабирования, отказоустойчивости и производительности. Сейчас на первый план выходят. . .	Взаимодействие Python с REST API py-thonny 27.03.2025 REST API - это архитектурный стиль взаимодействия компонентов распределённого приложения в сети. Python располагает функциональным набором инструментов для работы с REST API и основная библиотека для. . .	sshd restrictions, ssh access limitations jigi33 26.03.2025 sshd restrictions \| ssh access limitations рестрикции доступа на сервер sshd статья: https:/ / www. golinuxcloud. com/ restrict-allow-ssh-certain-users-groups-rhel подробные расшифровки по. . .

@Sandor 22338 / 15817 / 3053 Регистрация: 08.10.2012 Сообщений: 64,310
	14.06.2018, 12:19
	Здравствуйте! Пару небольших зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению. Внимание! Рекомендации написаны специально для пользователя Asurend. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Code Скопировано begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\1C\Appdata\Roaming\infoweb.exe', ''); QuarantineFile('C:\Users\1C\AppData\Roaming\WinZIP_32\servisis.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Host" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Version" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "WinRar" /F', 0, 15000, true); DeleteFile('C:\Users\1C\Appdata\Roaming\infoweb.exe', '64'); DeleteFile('C:\Users\1C\AppData\Roaming\WinZIP_32\servisis.exe', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. 0

@Sandor 22338 / 15817 / 3053 Регистрация: 08.10.2012 Сообщений: 64,310
	14.06.2018, 12:42
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22338 / 15817 / 3053 Регистрация: 08.10.2012 Сообщений: 64,310
	15.06.2018, 08:54
	С восстановлением ничего не обещаю. Подождите некоторое время. Добавлено через 19 часов 30 минут Вы карантин из сообщения №2 отправили? Если нет, отправьте. Если да, продублируйте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 1

@Asurend 0 / 0 / 0 Регистрация: 14.06.2018 Сообщений: 10
	15.06.2018, 09:47 [ТС]
	Все отправлял. Сейчас продублировал на почту. Добавлено через 8 минут Письмо вернулось с ошибкой, так как антивирусы почтовиков обнаружили вирус. Продублировал через форму. 0

@Sandor 22338 / 15817 / 3053 Регистрация: 08.10.2012 Сообщений: 64,310
	15.06.2018, 11:59
	Закачайте его на файлообменник (например, на www.sendspase.com), ссылку на скачивание сообщите. 0

@Asurend 0 / 0 / 0 Регистрация: 14.06.2018 Сообщений: 10
	15.06.2018, 12:07 [ТС]
	Ссылку отправил по почте. Могу сюда продублировать. Стоит?? 0

@Sandor 22338 / 15817 / 3053 Регистрация: 08.10.2012 Сообщений: 64,310
	15.06.2018, 12:12
	Не нужно, получил, спасибо. Еще подождите некоторое время. 0

@Asurend 0 / 0 / 0 Регистрация: 14.06.2018 Сообщений: 10
	16.06.2018, 11:22 [ТС]
	День добрый. Не подскажите что да как? когда примерно ждать результата? 0

@thyrex 14185 / 7419 / 1571 Регистрация: 06.09.2009 Сообщений: 27,017
	16.06.2018, 12:52
	Сам шифратор в карантин не попал, поэтому гадать, что это такое смысла нет. 0

@Asurend 0 / 0 / 0 Регистрация: 14.06.2018 Сообщений: 10
	16.06.2018, 12:54 [ТС]
	Это значит, что надежды нет? 0

@thyrex 14185 / 7419 / 1571 Регистрация: 06.09.2009 Сообщений: 27,017
	16.06.2018, 13:03
	На данный момент именнто так 0

@Asurend 0 / 0 / 0 Регистрация: 14.06.2018 Сообщений: 10
	16.06.2018, 16:48 [ТС]
	тогда такой вопрос. Если вирус восстановить и передать вам - шансы есть??? 0

@thyrex 14185 / 7419 / 1571 Регистрация: 06.09.2009 Сообщений: 27,017
	16.06.2018, 18:17
	Не факт, но для анализа не помешает 0

@Asurend 0 / 0 / 0 Регистрация: 14.06.2018 Сообщений: 10
	17.06.2018, 22:42 [ТС]
	Восстановить не получилось... Но все-равно жду вашего решения и надеюсь. 0