Перейти к содержанию

Шифровальщик harma

hook009
 Поделиться

Рекомендуемые сообщения

hook009

hook009

Опубликовано
Опубликовано (изменено)

Добрый день. Вирус вымогатель защифровал данные, на конце расширение harma. Стоял антивирус Kaspersky internet security. ориентировочная дата шифрования 03 августа 2019г. где то в обед.KVRT и cureit не дает запустить. Снял автологером отчет.Отчет прилагаю. в папках есть encrypted.txt указан почтовый ящик для переписки bitcoin1@foxmail.com

Изменено пользователем thyrex
шрифт
  • Ответов 32
  • Создана
  • Последний ответ

Топ авторов темы

  • hook009

    17

  • Sandor

    16

Топ авторов темы

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Вероятно не нажали кнопку "Загрузить".

Изменено пользователем Sandor
hook009

hook009

Опубликовано
  • Автор
Опубликовано

Добрый день. Вирус вымогатель защифровал данные, на конце расширение harma. Стоял антивирус Kaspersky internet security. ориентировочная дата шифрования 03 августа 2019г. где то в обед.KVRT и cureit не дает запустить. Снял автологером отчет.Отчет прилагаю. в папках есть encrypted.txt указан почтовый ящик для переписки bitcoin1@foxmail.com

CollectionLog-2019.08.05-10.07.zip

Sandor

Sandor

Опубликовано
Опубликовано

Не цитируйте всё предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Driver Booster 2.2

Google Toolbar for Internet Explorer

SpyHunter4

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1bitc.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1bitc.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^1bitc.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

Следы бывшей установки Avast очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

hook009

hook009

Опубликовано
  • Автор
Опубликовано

Проблема в том, что системный профиль Администратор поменен на по умолчанию. Изза этого с панель управления не могу удалить Driver Booster 2.2

Google Toolbar for Internet Explorer
SpyHunter4

Что сделать,как удалить?может с live usb запустить KVRT?Спасибо!

Sandor

Sandor

Опубликовано
Опубликовано

Пробуйте удалить через Geek Uninstaller

Хочу предупредить, что расшифровки этой версии вымогателя нет. Мы чистим активное заражение и его следы.

hook009

hook009

Опубликовано
  • Автор
Опубликовано

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

KLAN-10760862470

Sandor

Sandor

Опубликовано
Опубликовано

Продолжайте

Я подразумевал очистку следов Avast и новый CollectionLog.
Sandor

Sandor

Опубликовано
Опубликовано

касперский тоже удалить?

Нет, не нужно.
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • merlin_hal
      id-70FAE858.[3048664056@qq.com] WALLET
      Автор merlin_hal
      Практически все файлы были зашифрованы и теперь имеют вид: *.docx.id-70FAE858.[3048664056@qq.com] Затронут как пакет MSOffice, так и *.jpg, *.pdf и т.п. Так же на локальном диске был создан файл с содержанием: 
      Your documents, photos, databases, save games and other important data has been encrypted. Data recovery requires decoder. To obtain decoder, please contact me by email: 3048664056@qq.com or patrik.swize@gmx.de or through the service https://bitmsg.me, and send me a message to the address: BM-2cWpwwPT9bqLv7D1VMSFUNJZgQ1mKBRgxK Компьютер в домене и был затронут частично сетевой диск CollectionLog-2017.04.12-14.06.zip
    • Эдуард Пятницкий
      Шифровальшик volantem_diem@aol.com
      Автор Эдуард Пятницкий
      Добрый день!

      Вирус зашифровал множество файлов Program Files Антивирус kaspersky endpoint security 10 его пропустил.

      Помогите пожалуйста расшифровать. Прикрепляю сам вирус и пару зараженных файлов

       


      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные и потенциально вредоносные ссылки и файлы на форуме.
    • SergeyKomarov
      вирус Wallet (Satan-stn)
      Автор SergeyKomarov
      Утром пришли на работу, увидели, что один из серверов зашифрован вирусом wallet
      Все файлы имеют расширение: r.id-A7C85580.[satan-Stn@bitmessage.ch].wallet
      Удалённый доступ был блокирован desktop lock express
      От него избавились, а вот от wallet - нет.
      Зашифрованы все файлы на сервере, где хранится 1С, в том числе и в ProgramFiles.
      Кроме того, зашифрован внешний жёсткий диск с бэкапом и второй копьютер с 1С
      CollectionLog-2017.04.13-12.23.zip
    • Асылбек
      зашифрованые файлы (.WALLET)
      Автор Асылбек
      Здравствуйте! я поймал вирус шифровальщик (.WALLET) т.е ко всем файлам на компьютере добавилось расширение  .WALLET, а исходные файлы имеют размер 0кб. 
       
      Есть ли решение по дешифровке файлов?
       
      во вложении файл оригинал и зашифрованный.
         
      зашифрованый файл.rar
    • Print1972g
      Зашифровано шифровальщиком
      Автор Print1972g
      поймали шифровальщик, после зашифровки появился файл на диске D с ключем и ссылкой на сай для покупки дешифратора
      CollectionLog-2017.04.10-10.52.zip
×
×
  • Создать...