Перейти к содержанию

Рекомендуемые сообщения

Добрый день! На почту поступило письмо от неизвестного с зип-архивным файлом, после его открытия произошло заражение компьютера вирусом, т.е. все документы офиса и рисунки были зашифрованы. при открытии браузера появилась страница с требованиями заплатить деньги за расшифровку

 

FRST.txt

 

Прикрепляю файлы которые были зашифрованы, а также логи программ проверки предложенных на сайте

 

 

 

Addition.txt

report1.log

report2.log

Акт на инвентаризацию 2015.docx

График дежурства в общежитии.docx

post-43527-0-82985800-1484550766_thumb.jpg

Изменено пользователем Helen_86
Ссылка на сообщение
Поделиться на другие сайты

Необходим лог вида CollectionLog-yyyy.mm.dd-hh.mm.zip, где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2014.07.14-21.04.zip
Для того чтобы убедиться, что нет активной угрозы.

Ссылка на сообщение
Поделиться на другие сайты

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    Zip: C:\Users\МарчукЕН\AppData\Local\Temp\15aaeeb0-ed08-9291-9fcc-7f07fc80ff5e.exe;C:\Users\МарчукЕН\AppData\Local\Temp\goodtdeaasdgb54.exe;C:\Users\МарчукЕН\AppData\Roaming\442942118
    File: C:\Users\МарчукЕН\Downloads\LI_97c416c1f6939102bff7be0f2deab6f4.exe
    2017-01-13 09:06 - 2017-01-13 10:08 - 01982600 _____ C:\Users\МарчукЕН\AppData\Roaming\442942118
    C:\Users\Администратор\AppData\Local\Temp\15aaeeb0-ed08-9291-9fcc-7f07fc80ff5e.exe
    C:\Users\Администратор\AppData\Local\Temp\ReimagePackage.exe
    C:\Users\МарчукЕВ1\AppData\Local\Temp\magentsetup.exe
    C:\Users\МарчукЕН\AppData\Local\Temp\15aaeeb0-ed08-9291-9fcc-7f07fc80ff5e.exe
    C:\Users\МарчукЕН\AppData\Local\Temp\goodtdeaasdgb54.exe
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


<дата>_<время>.zip (где <дата> - текущая дата, <время> - текущее время ) с рабочего стола отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Ссылка на сообщение
Поделиться на другие сайты

Отправляли архив на проверку?

 

<дата>_<время>.zip (где <дата> - текущая дата, <время> - текущее время  с рабочего стола отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Ссылка на сообщение
Поделиться на другие сайты

Да, отправили.

________________________________________________________________________________________

Запрос KLAN-5660705746 в сообщении:

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Мы не смогли распаковать эти архивы:
16_01_2017_13_36.zip

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

________________________________________________

 

Мы не смогли отправить просто заархивированный файл, пришлось его запаролить и только тогда письмо дошло до адресата. Пароль архива указали в письме.

Ссылка на сообщение
Поделиться на другие сайты

Видимо архив пустой.

Пробуйте создать запрос если есть лицензия на продукты ЛК https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Ссылка на сообщение
Поделиться на другие сайты

Нет, архив не пустой 82КБ, архив просто запаролен, автоматическая система поэтому и не смогла его вскрыть. А если отправлять без пароля, то письмо автоматически откланяется их системой и не доставляется адресату. Запрос в тех. поддержку создали, зашифрованные файлы отправили.

Ссылка на сообщение
Поделиться на другие сайты

Ответ на запрос о помощи из службы технической поддержки:

 

Уважаемый, Клиент!

Анализ предоставленных Вами файлов показал, что файлы были зашифрованы модификацией Trojan-Ransom.Win32.Spora.
Данная модификация трояна использует криптографически стойкие алгоритмы.

К сожалению, расшифровка на данный момент не возможна.

Мы сохраняем информацию о запросах, в которых не удалось расшифровать данные (номер инцидента, образцы зашифрованных файлов, дополнительные данные). Если расшифровка станет возможна, мы переоткроем обращение и пришлём Вам утилиту-декриптор.

Можем ли мы закрыть запрос, до момента создания утилиты?

Большое спасибо

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • Александр Соколов
      От Александр Соколов
      В интернете словил майнер,грузит процессор на 100 и видеокарту на 100,прошу помощи
    • swagoutbaby
      От swagoutbaby
      Начал играть в PUBG стал замечать сильные фризы и просадок фпс до 20-40 при стабильном 140, просканировал комп dr.web'ом обычным, нашлось 3 трояна и chromium:page.malware.url, просто нажал обезвредить и всё. 1, 2 дня так поиграл без лагов, потом всё по новой, просканировал ещё раз chromium:page.malware.url опять нашёлся. Здесь же на форуме пытался так сказать вылечить комп, сначала помогло, потом по новой. Переустановил винду, всё тоже самое, вирус никуда не делся.
      cureit.log CollectionLog-2024.03.19-17.14.zip report1.log report2.log
    • depston
      От depston
      Доброго времени суток.
      Поймал что-то, doctor web cureit ругается на C:\Users\depston\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences , но не лечиться. adwcleaner_8.4.2 же видит browser hijack, но при последующей перезагрузки все по новой.
      Прикрепил логи с adwcleaner и от First64 Addition.txtFRST.txt
      AdwCleaner[S00].txt AdwCleaner[C00].txt AdwCleaner_Debug.log
×
×
  • Создать...