Шифровальщик AES-256

@Asurend · Регистрация: 14.06.2018

Студворк — интернет-сервис помощи студентам

День добрый.
Ночью умудрился схватить шифровальщик. К логам прилагаю файл Notice.txt с ключом и инструкцией от вредителей.

@Sandor · 14.06.2018, 12:19

Здравствуйте!

Пару небольших зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

Внимание! Рекомендации написаны специально для пользователя Asurend. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\1C\Appdata\Roaming\infoweb.exe', '');
 QuarantineFile('C:\Users\1C\AppData\Roaming\WinZIP_32\servisis.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Host" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Version" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WinRar" /F', 0, 15000, true);
 DeleteFile('C:\Users\1C\Appdata\Roaming\infoweb.exe', '64');
 DeleteFile('C:\Users\1C\AppData\Roaming\WinZIP_32\servisis.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@Asurend · 14.06.2018, 12:33 **[ТС]**

Все выполнил.
quarantine.zip отправил через форму.

@Sandor · 14.06.2018, 12:42

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Asurend · 14.06.2018, 12:51 **[ТС]**

Файлы в архиве.

@Sandor · 14.06.2018, 13:08

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
Startup: C:\Users\1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notice.txt [2018-06-14] ()
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notice.txt [2018-06-14] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Notice.txt [2018-06-14] ()
Startup: C:\Users\Bank\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notice.txt [2018-06-14] ()
Startup: C:\Users\SharedUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notice.txt [2018-06-14] ()
Startup: C:\Users\SRVUSR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notice.txt [2018-06-14] ()
2018-06-14 04:45 - 2018-06-14 04:45 - 000000820 _____ C:\Program Files\Common Files\Notice.txt
2018-06-14 04:44 - 2018-06-14 04:44 - 000000820 _____ C:\Program Files\Notice.txt
2018-06-14 04:43 - 2018-06-14 04:43 - 000000820 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:43 - 2018-06-14 04:43 - 000000820 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:43 - 2018-06-14 04:43 - 000000820 _____ C:\Program Files (x86)\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\Documents\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\Desktop\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\AppData\Roaming\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\AppData\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\AppData\LocalLow\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\Administrator\AppData\Local\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\Downloads\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\Documents\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\Desktop\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\AppData\Roaming\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\AppData\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\AppData\LocalLow\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\1C\AppData\Local\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\Downloads\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\Documents\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\Desktop\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\AppData\Roaming\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\AppData\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\AppData\LocalLow\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5\AppData\Local\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\Downloads\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\Documents\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\Desktop\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\AppData\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\Users\.NET v4.5 Classic\AppData\Local\Notice.txt
2018-06-14 04:42 - 2018-06-14 04:42 - 000000820 _____ C:\ProgramData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SRVUSR\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\SharedUser\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Public\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Public\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Public\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Public\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc.PSVR1\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc.PSVR1\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc.PSVR1\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KlScSvc.PSVR1\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\KL-AK-2CED51E4146A35\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Default User\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\Documents\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\Desktop\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\AppData\Roaming\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\AppData\Roaming\Microsoft\Windows\Start Menu\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\AppData\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\AppData\LocalLow\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Bank\AppData\Local\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Administrator\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Users\Administrator\Downloads\Notice.txt
2018-06-14 04:41 - 2018-06-14 04:41 - 000000820 _____ C:\Notice.txt
2018-05-30 05:37 - 2018-06-14 12:28 - 000000000 ____D C:\Users\1C\AppData\Roaming\WinZIP_32
2018-05-30 05:37 - 2018-06-14 04:42 - 000541184 _____ C:\Users\1C\Documents\banker.exe.qnbqw
2018-05-30 05:37 - 2018-06-14 04:42 - 000391680 _____ C:\Users\1C\Documents\Project1.exe.qnbqw
Task: {6E49D2DE-F4E2-4E35-9D42-04B745C029EF} - System32\Tasks\WPDR\Config_Error\Version => C:\Users\1C\AppData\Roaming\WinZIP_32\servisis.exe
Task: {B343BEA8-8891-4724-A4F7-4C7452CC62E8} - System32\Tasks\Systems\Documents\WinRar => C:\Users\1C\AppData\Roaming\WinZIP_32\servisis.exe
Task: {BD21957A-6F46-426D-A75C-570CDCD6FF5E} - System32\Tasks\Web\Host => C:\Users\1C\Appdata\Roaming\infoweb.exe <==== ATTENTION
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

@Asurend · 14.06.2018, 13:16 **[ТС]**

Готово

@Sandor · 15.06.2018, 08:54

С восстановлением ничего не обещаю. Подождите некоторое время.

Добавлено через 19 часов 30 минут
Вы карантин из сообщения №2 отправили? Если нет, отправьте. Если да, продублируйте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

@Asurend · 15.06.2018, 09:47 **[ТС]**

Все отправлял.
Сейчас продублировал на почту.

Добавлено через 8 минут
Письмо вернулось с ошибкой, так как антивирусы почтовиков обнаружили вирус.
Продублировал через форму.

@Sandor · 15.06.2018, 11:59

Закачайте его на файлообменник (например, на www.sendspase.com), ссылку на скачивание сообщите.

@Asurend · 15.06.2018, 12:07 **[ТС]**

Ссылку отправил по почте. Могу сюда продублировать. Стоит??

@Sandor · 15.06.2018, 12:12

Не нужно, получил, спасибо.
Еще подождите некоторое время.

@Asurend · 16.06.2018, 11:22 **[ТС]**

День добрый.
Не подскажите что да как? когда примерно ждать результата?

@thyrex · 16.06.2018, 12:52

Сам шифратор в карантин не попал, поэтому гадать, что это такое смысла нет.

@Asurend · 16.06.2018, 12:54 **[ТС]**

Это значит, что надежды нет?

@thyrex · 16.06.2018, 13:03

На данный момент именнто так

@Asurend · 16.06.2018, 16:48 **[ТС]**

тогда такой вопрос. Если вирус восстановить и передать вам - шансы есть???

@thyrex · 16.06.2018, 18:17

Не факт, но для анализа не помешает

@Asurend · 17.06.2018, 22:42 **[ТС]**

Восстановить не получилось... Но все-равно жду вашего решения и надеюсь.

@Sandor 20289 / 14988 / 2855 Регистрация: 08.10.2012 Сообщений: 60,842
	15.06.2018, 11:59	10
	Закачайте его на файлообменник (например, на www.sendspase.com), ссылку на скачивание сообщите. 0

@Sandor 20289 / 14988 / 2855 Регистрация: 08.10.2012 Сообщений: 60,842
	14.06.2018, 12:19	2
	Здравствуйте! Пару небольших зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению. Внимание! Рекомендации написаны специально для пользователя Asurend. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\1C\Appdata\Roaming\infoweb.exe', ''); QuarantineFile('C:\Users\1C\AppData\Roaming\WinZIP_32\servisis.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Host" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Version" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "WinRar" /F', 0, 15000, true); DeleteFile('C:\Users\1C\Appdata\Roaming\infoweb.exe', '64'); DeleteFile('C:\Users\1C\AppData\Roaming\WinZIP_32\servisis.exe', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. 0

@Sandor 20289 / 14988 / 2855 Регистрация: 08.10.2012 Сообщений: 60,842
	14.06.2018, 12:42	4
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 20289 / 14988 / 2855 Регистрация: 08.10.2012 Сообщений: 60,842
	15.06.2018, 08:54	8
	С восстановлением ничего не обещаю. Подождите некоторое время. Добавлено через 19 часов 30 минут Вы карантин из сообщения №2 отправили? Если нет, отправьте. Если да, продублируйте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 1

@Asurend 0 / 0 / 0 Регистрация: 14.06.2018 Сообщений: 10
	15.06.2018, 09:47 [ТС]	9
	Все отправлял. Сейчас продублировал на почту. Добавлено через 8 минут Письмо вернулось с ошибкой, так как антивирусы почтовиков обнаружили вирус. Продублировал через форму. 0

@Asurend 0 / 0 / 0 Регистрация: 14.06.2018 Сообщений: 10
	15.06.2018, 12:07 [ТС]	11
	Ссылку отправил по почте. Могу сюда продублировать. Стоит?? 0

@Sandor 20289 / 14988 / 2855 Регистрация: 08.10.2012 Сообщений: 60,842
	15.06.2018, 12:12	12
	Не нужно, получил, спасибо. Еще подождите некоторое время. 0

@Asurend 0 / 0 / 0 Регистрация: 14.06.2018 Сообщений: 10
	16.06.2018, 11:22 [ТС]	13
	День добрый. Не подскажите что да как? когда примерно ждать результата? 0

@thyrex 12331 / 6563 / 1359 Регистрация: 06.09.2009 Сообщений: 24,803
	16.06.2018, 12:52	14
	Сам шифратор в карантин не попал, поэтому гадать, что это такое смысла нет. 0

@Asurend 0 / 0 / 0 Регистрация: 14.06.2018 Сообщений: 10
	16.06.2018, 12:54 [ТС]	15
	Это значит, что надежды нет? 0

@thyrex 12331 / 6563 / 1359 Регистрация: 06.09.2009 Сообщений: 24,803
	16.06.2018, 13:03	16
	На данный момент именнто так 0

Опции темы

@Asurend 0 / 0 / 0 Регистрация: 14.06.2018 Сообщений: 10
	16.06.2018, 16:48 [ТС]	17
	тогда такой вопрос. Если вирус восстановить и передать вам - шансы есть??? 0

@thyrex 12331 / 6563 / 1359 Регистрация: 06.09.2009 Сообщений: 24,803
	16.06.2018, 18:17	18
	Не факт, но для анализа не помешает 0

@Asurend 0 / 0 / 0 Регистрация: 14.06.2018 Сообщений: 10
	17.06.2018, 22:42 [ТС]	19
	Восстановить не получилось... Но все-равно жду вашего решения и надеюсь. 0