Перейти к содержимому


Фотография
- - - - -

.id-06309B78.[Harmahelp73@gmx.de].harma

harma

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 13

#1 OFF   Sampti

Sampti

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 05 Сентябрь 2019 - 12:41

Здравствуйте!
Поймал вирус-шифровальщик, наверняка через rdp. Прошу помощи в расшифровке файлов!

 


Сообщение отредактировал Sampti: 05 Сентябрь 2019 - 12:42

  • 0

#2 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 137

Отправлено 05 Сентябрь 2019 - 12:43

Здравствуйте!

Расшифровки скорее всего нет. Если нужна помощь в очистке от вируса и его следов, выполните Порядок оформления запроса о помощи
  • 0
Изображение

#3 OFF   Sampti

Sampti

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 05 Сентябрь 2019 - 12:47

Странно, при создании темы прикреплял логи...
Вот

Прикрепленные файлы


  • 0

#4 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 137

Отправлено 05 Сентябрь 2019 - 13:40

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\rdp\downloads\e5m99s_payload.exe');
 StopService('KProcessHacker3');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\rdp\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('c:\users\rdp\downloads\e5m99s_payload.exe', '');
 QuarantineFile('C:\Users\rdp\Downloads\processhacker-2.39-bin\x64\kprocesshacker.sys', '');
 QuarantineFile('C:\Windows\System32\E5M99S_payload.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\rdp\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 DeleteFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('c:\users\rdp\downloads\e5m99s_payload.exe', '32');
 DeleteFile('C:\Users\rdp\Downloads\processhacker-2.39-bin\x64\kprocesshacker.sys', '64');
 DeleteFile('C:\Windows\System32\E5M99S_payload.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteService('KProcessHacker3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\rdp\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', 'x64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.

Сообщение отредактировал Sandor: 05 Сентябрь 2019 - 13:42

  • 1
  • Спасибо x 1
  • Показать
Изображение

#5 OFF   Sampti

Sampti

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 05 Сентябрь 2019 - 15:11

KLAN-10985726291

 

 

Прикрепленные файлы


Сообщение отредактировал Sampti: 05 Сентябрь 2019 - 15:11

  • 0

#6 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 137

Отправлено 05 Сентябрь 2019 - 15:17

KLAN-10985726291

Сам ответ (словами) тоже сообщите, пожалуйста.

Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#7 OFF   Sampti

Sampti

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 05 Сентябрь 2019 - 15:47

 

KLAN-10985726291

Сам ответ (словами) тоже сообщите, пожалуйста.

Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы и ссылки были проверены в автоматическом режиме В следующих файлах обнаружен вредоносный код: E5M99S_payload.exe - Trojan-Ransom.Win32.Crusis.to E5M99S_payload_0.exe - Trojan-Ransom.Win32.Crusis.to e5m99s_payload.exe - Trojan-Ransom.Win32.Crusis.to E5M99S_payload_1.exe - Trojan-Ransom.Win32.Crusis.to В антивирусных базах информация по присланным вами файлам отсутствует: Info.hta Info_0.hta Info_1.hta Info_2.hta В антивирусных базах информация по присланным вами ссылкам отсутствует: hxxps://forum[.]kasperskyclub[.]ru/index.php?showtopic=63639&hl= Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.


 Прикрепляю результат сканирования

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   30,4К   скачиваний 1
  • Прикрепленный файл  FRST.txt   56,47К   скачиваний 1

  • 0

#8 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 137

Отправлено 05 Сентябрь 2019 - 16:10

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    2019-09-05 13:46 - 2019-09-05 13:46 - 000094720 _____ C:\Users\rdp\AppData\Roaming\E5M99S_payload.exe
    2019-09-04 20:16 - 2019-09-05 13:47 - 000000230 _____ C:\Users\rdp\Desktop\FILES ENCRYPTED.txt
    2019-09-04 20:16 - 2019-09-04 20:16 - 000000230 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-09-04 20:16 - 2019-09-04 20:16 - 000000230 _____ C:\FILES ENCRYPTED.txt
    2019-09-04 19:44 - 2019-09-04 20:02 - 000000000 ____D C:\Users\rdp\AppData\Roaming\Process Hacker 2
    2019-09-04 19:40 - 2019-09-04 20:14 - 000000000 ____D C:\Users\rdp\Downloads\processhacker-2.39-bin
    swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#9 OFF   Sampti

Sampti

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 05 Сентябрь 2019 - 16:48

Прикрепил
Про расшифровку стоит забыть? Или есть надежда?

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   1,74К   скачиваний 1

Сообщение отредактировал Sampti: 05 Сентябрь 2019 - 16:52

  • 0

#10 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 137

Отправлено 05 Сентябрь 2019 - 16:54

Маловероятно.

Смените пароли на RDP.
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
Изображение

#11 OFF   Sampti

Sampti

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 05 Сентябрь 2019 - 17:01

Прикрепил

Прикрепленные файлы


  • 0

#12 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 137

Отправлено 05 Сентябрь 2019 - 17:03

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19155 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50907.0 Внимание! Скачать обновления
K-Lite Codec Pack 13.1.0 Full v.13.1.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 16.04 (x64) v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.4.44498 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 144 (64-bit) v.8.0.1440.1 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u221-windows-x64.exe)^
Java 8 Update 144 v.8.0.1440.1 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u221-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.25.0.0.134 Внимание! Скачать обновления
Adobe Shockwave Player 12.2 v.12.2.8.198 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
swMSM v.12.0.0.1 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.


Читайте Рекомендации после удаления вредоносного ПО
  • 0
  • Спасибо x 1
  • Показать
Изображение

#13 OFF   Sampti

Sampti

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 05 Сентябрь 2019 - 17:08

После обновления и удаления нежелательных и устаревших программ процесс лечения завершен?


  • 0

#14 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 137

Отправлено 05 Сентябрь 2019 - 17:08

Да.
  • 0
Изображение





Темы с аналогичными тегами: harma

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных