Сообщений в теме: 32

[hook009]

Добрый день. Вирус вымогатель защифровал данные, на конце расширение harma. Стоял антивирус Kaspersky internet security. ориентировочная дата шифрования 03 августа 2019г. где то в обед.KVRT и cureit не дает запустить. Снял автологером отчет.Отчет прилагаю. в папках есть encrypted.txt указан почтовый ящик для переписки bitcoin1@foxmail.com

Сообщение отредактировал thyrex: 05 Август 2019 - 09:49
шрифт

[Sandor]

Здравствуйте!

Вероятно не нажали кнопку "Загрузить".

Сообщение отредактировал Sandor: 05 Август 2019 - 09:22

[hook009]

Добрый день. Вирус вымогатель защифровал данные, на конце расширение harma. Стоял антивирус Kaspersky internet security. ориентировочная дата шифрования 03 августа 2019г. где то в обед.KVRT и cureit не дает запустить. Снял автологером отчет.Отчет прилагаю. в папках есть encrypted.txt указан почтовый ящик для переписки bitcoin1@foxmail.com

Прикрепленные файлы

•  CollectionLog-2019.08.05-10.07.zip   65,8К   скачиваний 1

[Sandor]

Не цитируйте всё предыдущее сообщение. Используйте форму быстрого ответа внизу.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Driver Booster 2.2
Google Toolbar for Internet Explorer
SpyHunter4

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1bitc.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1bitc.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^1bitc.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).


Следы бывшей установки Avast очистите по соотв. инструкции:
Чистка системы после некорректного удаления антивируса.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.

[hook009]

Проблема в том, что системный профиль Администратор поменен на по умолчанию. Изза этого с панель управления не могу удалить Driver Booster 2.2

Google Toolbar for Internet Explorer
SpyHunter4

Что сделать,как удалить?может с live usb запустить KVRT?Спасибо!

[Sandor]

Пробуйте удалить через Geek Uninstaller
Хочу предупредить, что расшифровки этой версии вымогателя нет. Мы чистим активное заражение и его следы.

[hook009]

архив quarantine.zip пуста

[Sandor]

Продолжайте.

[hook009]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

KLAN-10760862470

[Sandor]

Продолжайте

Я подразумевал очистку следов Avast и новый CollectionLog.

[hook009]

Позже,я так и понял) а касперский тоже удалить?

[Sandor]

касперский тоже удалить?

Нет, не нужно.

[hook009]

Прикрепил новый collectionlog

Прикрепленные файлы

•  CollectionLog-2019.08.05-15.44.zip   64,56К   скачиваний 1

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[hook009]

FRST.txt и Addition.txt

Прикрепленные файлы

•  Addition.txt   41,64К   скачиваний 1
•  FRST.txt   186,88К   скачиваний 1