Перейти к содержанию

Нужна помощь в расшифровке файлов после UDS:Trojan-Banker.Win32.Emotet.sb и VHO:Trojan.Win32.Agent.qwhqxf


Рекомендуемые сообщения

Приветствую,

Форумчане нужна помощь в расшифровке после шифровальщика!

 

Словил пару троянов:

UDS:Trojan-Banker.Win32.Emotet.sb

VHO:Trojan.Win32.Agent.qwhqxf

 

В итоге зашифрованы все файлы. Расширение .PPTX

 

Предлагает купить расшифровщик с http://huhighwfn4jihtlz.onion/sdlsgdewwbhr
 
На компе больше 360 гб видео и фото(
 
 
 

 

Ссылка на сообщение
Поделиться на другие сайты

Систему почистил от вирусов.

 

Найден еще один 

trojan.Win32.Agent.qwhqyj

 

Логи во вложении 

CollectionLog-2018.11.15-20.02.zip

Изменено пользователем Anvar
Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YoutubeDownloader_upd','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YoutubeDownloader','x32');
 DeleteSchedulerTask('WinWOW64Services');
 DeleteSchedulerTask('YoutubeDownloader');
 DeleteSchedulerTask('YoutubeDownloader_upd');
ExecuteSysClean;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

 

+ просьба сделайте экспорт ветки реестра

HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

заархивируйте и прикрепите.

Ссылка на сообщение
Поделиться на другие сайты
C:\Users\Public\READ_ME.txt

C:\Users\TwoAOneK\Documents\Epokha_Vozrozhdenia.docx.PPTX

 

прикрепите в одном архиве к следующему сообщению.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Startup: C:\Users\TwoAOneK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Twitch.lnk [2018-11-02]
ShortcutTarget: Twitch.lnk -> C:\Users\TwoAOneK\AppData\Roaming\Twitch\Bin\Twitch.exe (No File)
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1465879240-2843679901-3741476637-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
S2 MicroV2Service; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 MicroV2Service; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
2018-11-05 01:31 - 2018-11-05 01:31 - 000000000 ____D C:\Users\TwoAOneK\AppData\Roaming\EpicNet Inc
2018-11-05 01:16 - 2018-11-14 23:43 - 000000000 ____D C:\Users\TwoAOneK\AppData\Roaming\YoutubeDownloader_upd
2018-11-05 01:16 - 2018-11-14 23:43 - 000000000 ____D C:\Users\TwoAOneK\AppData\Roaming\YoutubeDownloader
2018-11-05 01:21 - 2018-11-15 00:37 - 000000000 ___HD C:\Windows\rss
2018-10-22 03:38 - 2018-10-22 03:38 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigne83502b3ffbc018b
2018-10-22 03:38 - 2018-10-22 03:38 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign60bbd0ad0cab669a
2018-10-21 19:46 - 2018-10-21 19:46 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignbdb1736445256342
2018-10-21 19:33 - 2018-10-21 19:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignf34d8515ed91f0e5
2018-10-21 19:33 - 2018-10-21 19:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignc0d4ddada9cab721
2018-10-21 19:33 - 2018-10-21 19:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign11f5deabd6915b20
2018-10-18 03:33 - 2018-10-18 03:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignccad2e5593f47f70
2018-10-18 03:33 - 2018-10-18 03:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignca08b5fa4a376a5c
2018-10-18 03:33 - 2018-10-18 03:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignb1cf0bbcc16ac4b0
2018-10-15 15:35 - 2018-10-15 15:35 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignfcce171bdc75d04d
2018-10-15 15:35 - 2018-10-15 15:35 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignc6a623353713950c
2018-10-12 20:21 - 2018-10-12 20:21 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignc2725efafe48aa92
2018-10-12 20:18 - 2018-10-12 20:18 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign2e072ab2818e87a5
2018-10-12 20:14 - 2018-10-12 20:14 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign7aeb156903345c54
2018-10-12 20:13 - 2018-10-12 20:13 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignac38948f81a5e42b
2018-10-12 19:03 - 2018-10-12 19:03 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigncd3c9fd28230f0db
2018-10-12 19:03 - 2018-10-12 19:03 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign920aa5dddfd5e3bc
2018-10-09 18:29 - 2018-10-09 18:29 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigna91d65de36b0140f
2018-10-09 18:29 - 2018-10-09 18:29 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign8cf0b9b023249e9e
2018-10-09 18:29 - 2018-10-09 18:29 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign80a0fd1a2da3d1f7
2018-10-09 18:28 - 2018-10-09 18:28 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignb8ba5bb78bf05c33
2018-10-07 02:41 - 2018-10-07 02:41 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign666b338dddecdcb9
2018-10-07 01:54 - 2018-10-07 01:54 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign6f905b64be41bcbb
2018-10-07 01:53 - 2018-10-07 01:53 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignb2fa9ce192ea8743
2018-10-02 18:37 - 2018-10-02 18:37 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignf3a4d5ce8c03c17e
2018-10-02 18:36 - 2018-10-02 18:36 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignd68d1f2396f53ef5
2018-10-02 18:36 - 2018-10-02 18:36 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignc7afda1e8405ff48
2018-09-24 13:45 - 2018-09-24 13:45 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign126f089345598ede
2018-09-24 13:40 - 2018-09-24 13:40 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign843449cbe7fd380e
2018-09-24 13:40 - 2018-09-24 13:40 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign6359823c4bd4b600
2018-09-24 13:40 - 2018-09-24 13:40 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign51040a3535718e25
2018-09-23 01:15 - 2018-09-23 01:15 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign5cc643d7c873fbce
2018-09-23 01:03 - 2018-09-23 01:03 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign42a6b6ea9f9ae343
2018-09-23 01:03 - 2018-09-23 01:03 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign38a0a6daf4f7c397
2018-09-16 20:40 - 2018-09-16 20:40 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign1e2fbad852db9376
2018-09-16 20:39 - 2018-09-16 20:39 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign330db84aea9f84e3
2018-09-14 00:17 - 2018-09-14 00:17 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigne3528e71edd0b7d4
2018-09-14 00:16 - 2018-09-14 00:16 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign28562f5b1199d36f
2018-09-11 20:44 - 2018-09-11 20:44 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignfd49aa216fa46eaf
2018-09-11 20:44 - 2018-09-11 20:44 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign72d80be19fa1162f
2018-09-11 19:01 - 2018-09-11 19:01 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigne725cfa6d62223bf
2018-09-11 16:49 - 2018-09-11 16:49 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigneb44c279825c85c8
2018-09-11 16:27 - 2018-09-11 16:27 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign7fe9211b81dd0500
2018-09-11 16:26 - 2018-09-11 16:26 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigned3ea9673a40545c
2018-09-11 16:26 - 2018-09-11 16:26 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign5934e28dc14f7ce2
2018-09-07 22:45 - 2018-09-07 22:45 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigne8269baf1878a8fa
2018-09-07 22:44 - 2018-09-07 22:44 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigna8004351eea47f5a
2018-09-07 22:44 - 2018-09-07 22:44 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign31a1ce3701ec6c86
2018-09-07 22:43 - 2018-09-07 22:43 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign53a0e018a0f1ba03
2018-08-24 15:31 - 2018-08-24 15:31 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign2cdb4869a13c8e2a
2018-08-21 10:35 - 2018-08-21 10:35 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign34092b85d22be397
2018-08-21 02:38 - 2018-08-21 02:38 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigneb0c0ac3a6c174f4
2018-08-21 02:38 - 2018-08-21 02:38 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignba9b390e012b63ac
2018-08-20 16:33 - 2018-08-20 16:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignc4903a602cb48c27
2018-08-20 16:32 - 2018-08-20 16:32 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignb1c10466f1f15ffc
2018-08-19 21:45 - 2018-08-19 21:45 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign0b77e8e76a88e5c4
2018-08-19 20:27 - 2018-08-19 20:27 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignf0656915576b98ab
2018-08-18 23:57 - 2018-08-18 23:57 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignf2d5a9203c239728
2018-08-18 23:56 - 2018-08-18 23:56 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigna5a2031733ce0233
2018-11-14 22:16 - 2017-06-30 01:08 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\minergate
Folder: C:\ProgramData\1HEEDL8G3N
Folder: C:\Users\TwoAOneK\AppData\Roaming\Elementsetip
Folder: C:\ProgramData\hafyaffv
Folder: C:\Users\TwoAOneK\AppData\Local\William
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Выполнено.

Не понятно куда было копировать выделенный текст "2. Скопируйте выделенный текст (правая кнопка мыши – Копировать)."

FixLog+VirusFiles.zip

Ссылка на сообщение
Поделиться на другие сайты

 

 


CollectionLog-2018.11.15-20.49.zip 538байт
не надо было одновременно запускать две копии автологера, из-за этого архив не полный.

 

И случайно не помните, вы из автозапуска программу

C:\Исходники\Aptana_Studio_3_Setup_3.6.1.exe

как отключали? В смысле отключили через какую утилиту?

 

PS. по шифровальщику это GlobeImposter 2.0.

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, про Aptan'у не помню. 

Судя по предыдущим постам, возможность расшифровки GlobeImposter 2.0 пока не выявлена, правильно ли я понял, что могу удалить все свои файлы?( 


Есть ли шанс, что при оплате расшифровщика пришлют дешифратор (мало ли, может бывали успешные случаи)? 


Как я понял он не оставляет закрытого ключа на пк и к каждому ПК он генерит новый. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • polduima
      От polduima
      Добрый день, прошу помощи. На компьютере троян зашифровал файлы. Есть ли возможность дешифровки?
      Помогите пожалуйста. Пару файлов оригинал и зашифрованный прикрепил. Заранее спасибо.
      id-A0E044E7.helperdisk@cock.li.rar
    • Виталий88
      От Виталий88
      добрый день, сегодня пришел на работу и не смог открыть не один документ. Все файлы имеют расширение id-.[shadowblacksea@qq.com].wallet. В диспетчере задач висит и даже не скрывается Trojan-Ransom.Win32.Rakhni decryption tool. Можно ли как то восстановить зашифрованные файлы и убить эту заразу? Dr.web как и касперский угроз не нашли
        CollectionLog-2017.04.25-13.53.zip
    • Чайник Тата
      От Чайник Тата
      По электронной почте пришло письмо с вложенным архивом двух счетов на оплату.  После открытия счетов на оплату были зашифрованы  файлы MS Office и PDF .
        Заражение произошло 23 января  2017 года ориентировочно в 7-40 утра.
      Запуск утилиты Dr WEB устранил 1 угрозу.
      Самостоятельно восстановила файлы MS Office и PDF находящиеся на диске С из сохранившегося архива.
      А вот файлы с диска D восстановить не смогла.CollectionLog-2017.01.27-00.42.zipRUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTMLreport2.log
    • Rusik Rusik
      От Rusik Rusik
      Здравствуйте. Есть проблема с удалением, но главное с расшифровкой файлов. Утилиты и программы с сайта Касперски, не помогли. Вирус шифрует файлы (изображения, документы)  на имя_файла.старое расширение.1txt
      Trojan-Downloader.JS.Agent.myo название вируса
       
      Могу скинуть архив с вирусом, по запросу.
×
×
  • Создать...