Перейти к содержимому


Фотография
- - - - -

Зашифрованы файлы .id-589C6196.[veracrypt@foxmail.com].adobe

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 9

#1 OFF   Mikenp

Mikenp

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 22 Апрель 2019 - 06:42

Виру зашифровал все файлы данных изменив название файлов на

filename.id-589C6196.[veracrypt@foxmail.com].adobe

 

Создал текстовой документ FILES ENCRYPTED:

 

all your data has been locked us
You want to return?
write email veracrypt@foxmail.com

 

Сканеры KVRT и CUREIT ничего  не нашли.

 

Запустил SPUHUNTER5. Он нашел файл вируса INFO.HTA (прилагается в архиве VIRUS.RAR).

Скриншот работы SPUHUNTER5 прилагается в файле Scan.jpg

 

Выслан зараженный файл в архиве.

 

Результат работы AutoLogger прилагается.

 

Прикрепленный файл  CollectionLog-2019.04.22-07.50.zip   63,33К   скачиваний 1Прикрепленный файл  virus.rar   10,45К   скачиваний 0Прикрепленный файл  Scan.jpg   132,09К   скачиваний 0

Прикрепленный файл  зараженый файл.rar   73,62К   скачиваний 1


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 671

Отправлено 22 Апрель 2019 - 08:52

Здравствуйте!

Расшифровки этого типа вымогателя нет. Ярлыки запуска программ придется пересоздать вручную.

Если нужна очистка следов, проделайте следующее:

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 5


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#3 OFF   Mikenp

Mikenp

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 22 Апрель 2019 - 09:19

Прикрепленный файл  Addition.txt   42,34К   скачиваний 1

Здравствуйте!

Расшифровки этого типа вымогателя нет. Ярлыки запуска программ придется пересоздать вручную.

Если нужна очистка следов, проделайте следующее:

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 5


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

Скрипт в AVZ выполнил.

Отчеты:

Прикрепленный файл  FRST.txt   71,38К   скачиваний 1 Прикрепленный файл  Addition.txt   42,34К   скачиваний 1


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 671

Отправлено 22 Апрель 2019 - 09:26

Не цитируйте всё предыдущее сообщение. Используйте форму быстрого ответа внизу.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    HKU\S-1-5-21-2886344716-2538757526-1856546742-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    HKU\S-1-5-21-2886344716-2538757526-1856546742-1013\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#5 OFF   Mikenp

Mikenp

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 22 Апрель 2019 - 09:38

Высылаю

 

Прикрепленный файл  Fixlog.txt   1,73К   скачиваний 1

 

 


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 671

Отправлено 22 Апрель 2019 - 09:41

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
Изображение

#7 OFF   Mikenp

Mikenp

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 22 Апрель 2019 - 09:51

Спасибо за помощь. Высылаю:

 

Прикрепленный файл  SecurityCheck.txt   11,36К   скачиваний 1

 


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 671

Отправлено 22 Апрель 2019 - 10:21

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Восстановление системы отключено
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4493472 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5 v.4.5.50709 Внимание! Скачать обновления
Microsoft Office Access 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office Excel 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
K-Lite Mega Codec Pack 8.9.2 v.8.9.2 Внимание! Скачать обновления
Microsoft Office PowerPoint 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer 14 v.14.2.2558 Внимание! Скачать обновления
WinRAR 4.10 (32-разрядная) v.4.10.0 Внимание! Скачать обновления
Microsoft Office Word 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Access MUI (Russian) 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office Visio Professional 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком.


Рекомендации после удаления вредоносного ПО
  • 0
Изображение

#9 OFF   dm85

dm85

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 23 Апрель 2019 - 10:07

Поймал такой же вирус id-942370fd.[veracrypt@foxmail.com].adobe

Как найти сам вирус?

Сеть компов 15 файлы зашифрованы только на серверах:

1) две общие папки с доступом по сети

2) базы данных 1с на терминальном сервере

 

как найти этот вирус?

проверяли компы cureit ничего не нашли восстановили данные через день они снова зашифровались

 

так же поменяли пароли на rdp


  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 671

Отправлено 23 Апрель 2019 - 10:30

dm85, здравствуйте!

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных