Перейти к содержимому


Фотография
- - - - -

Файлы зашифрованы veracrypt@foxmail.com

veracrypt@foxmail.com

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 17

#1 OFF   Danila_BodroFF

Danila_BodroFF

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 24 Апрель 2019 - 17:54

Здравствуйте!

 

Прокрался шифровальшик и выполнил свою злобную часть дела. Поразил три машины, на двух из которых было все подчитсую снесено и установлено заново, но вот на третей машине стоит ОПС BOLID и там шалофливым форматированием пользоваться нельзя. Поэтому прошу помощи в спасении системы.

 

Фалы шифруются я так понимаю [veracrypt@foxmail.com] и именам файлов назначаются имена вида файл.расширение.id-CA9D47C4.[veracrypt@foxmail.com]

 

К сожалению после работы Autologger и перезапуска ПК все содержимое C:\Autologger-test тоже зашифровано

 

Что сделать для полноценной подачи логов и их рассмотрения.

 

Спасибо!

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 265

Отправлено 24 Апрель 2019 - 20:18

Здравствуйте!

Нужен не report.log, а архив с именем CollectionLog.
Если в обычном режиме не получится, сделайте в безопасном.
  • 0
Изображение

#3 OFF   Danila_BodroFF

Danila_BodroFF

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 25 Апрель 2019 - 05:20

Спасибо!

 

Вся загвоздка была в том что я после работы автологгера перезагружался также в безопасный режим. Логи собрались только при запуске в обычном режиме, и все же перед этим пробежался KVRT который посносил модули CRYSISa попрятанные в разных местах (файл 1Vera.exe)

 

Логи во вложении!

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 265

Отправлено 25 Апрель 2019 - 08:46

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\1Vera.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\1Vera.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^1Vera.exe', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^1Vera.exe', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1Vera.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#5 OFF   Danila_BodroFF

Danila_BodroFF

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 25 Апрель 2019 - 14:58

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).


 
[KLAN-9964061567]
Входящие
x
profile_mask2.png
newvirus@kaspersky.com
16:47 (0 минут назад)
 
 
cleardot.gif
cleardot.gif
кому: я
cleardot.gif
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
Info.hta

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 265

Отправлено 25 Апрель 2019 - 15:03

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#7 OFF   Danila_BodroFF

Danila_BodroFF

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 28 Апрель 2019 - 03:17

После сканирования было предложено очистить найденные угрозы. пока что оставил как есть. или стоит почистить?

Прикрепленные файлы


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 265

Отправлено 28 Апрель 2019 - 09:18

1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 1
  • Спасибо x 1
  • Показать
Изображение

#9 OFF   Danila_BodroFF

Danila_BodroFF

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 29 Апрель 2019 - 03:00

1) отчеты повторные AdwCleaner


2) loga после сканирования FRST

 

 

Прикрепленные файлы


  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 265

Отправлено 29 Апрель 2019 - 12:18

отчеты повторные AdwCleaner

Отчёт об очистке содержит в имени файла символ [Cxx], а не [Sxx].
  • 0
Изображение

#11 OFF   Danila_BodroFF

Danila_BodroFF

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 29 Апрель 2019 - 22:48

 

отчеты повторные AdwCleaner

Отчёт об очистке содержит в имени файла символ [Cxx], а не [Sxx].

 

 

 

Может в настройках что?

Прикрепленные файлы


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 265

Отправлено 30 Апрель 2019 - 14:15

x - это любая цифра. На вашем скрине есть файл AdwCleaner[C00].txt - его и покажите.
  • 0
Изображение

#13 OFF   Danila_BodroFF

Danila_BodroFF

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 01 Май 2019 - 04:37

Извините, это стоило мне первой половины полушария...

 

 

Прикрепленные файлы


  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 265

Отправлено 01 Май 2019 - 14:27

Ярлыки запуска программ придется пересоздать вручную.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
  • Спасибо x 1
  • Показать
Изображение

#15 OFF   Danila_BodroFF

Danila_BodroFF

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 02 Май 2019 - 03:11

SecurityCheck.txt во вложении.

Прикрепленные файлы


  • 0





Темы с аналогичными тегами: veracrypt@foxmail.com

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных