Перейти к содержимому


Фотография
- - - - -

Еще один шифровальщик

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 7

#1 OFF   axel2019

axel2019

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 26 Апрель 2019 - 09:33

Здравствуйте  принесли посмотреть системный блок с заявленной неисправностью - не открываются файлы типа doc, xls, jpg. Загрузив систему и просмотрев папки с файлами увидел, что они имеют расширение .systems32x. Причем самое интересное, что вредоносная программа создала дубликаты также exe файлов, но оригиналы не удалила, т.е в папке может быть оригинальный файл с расширением exe, копия этого файла с расширением systems32x и сгенерированный файл с расширением .txt, где вымогатель, - автор вируса указывает почтовый адрес systems32x@gmail.com, @yahoo и т.п. и ключ, инструкции для пробной расшифровки, типа вышлите два файла размером не более 1 мегабайта.

Прикрепляю лог сделанный по инструкции https://forum.kasper...showtopic=43640. Также могу выслать образцы зашифрованный файлов и текстового документа с интструкцией данной вредоносной программы. Т.к. данный компьютер используется в учебном заведении скорее всего заразу получили по почте. 

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 786

Отправлено 26 Апрель 2019 - 10:00

Здравствуйте!

Расшифровки этого типа вымогателя нет. Будет только очистка следов и рекламного мусора.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player
Амиго
Кнопка "Яндекс" на панели задач


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\.D0169387EB562C92B2D5', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\.D0169387EB562C92B2D5', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#3 OFF   axel2019

axel2019

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 26 Апрель 2019 - 13:23

KLAN-9969079151

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
.D0169387EB562C92B2D5
_0.D0169387EB562C92B2D5
_1.D0169387EB562C92B2D5

Файлы переданы на исследование.

Вот еще прикрепляю повторный log

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 786

Отправлено 26 Апрель 2019 - 13:30

Включён AVZPM

Настройки AVZ без необходимости менять не нужно. Отключите.

Далее:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#5 OFF   axel2019

axel2019

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 26 Апрель 2019 - 14:54

Вот, держите.

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 786

Отправлено 26 Апрель 2019 - 15:16

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#7 OFF   axel2019

axel2019

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 26 Апрель 2019 - 16:58

Применил и перезагрузил. Хозяева просят переустановить систему и желательно скорее т.к данный системник нужен для работы. Все равно огромное спасибо.

Прикрепленные файлы


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 786

Отправлено 27 Апрель 2019 - 15:25

просят переустановить систему

Раз так, то и нет смысла продолжать.
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных