Перейти к содержанию
Правила раздела

Смс вымогатель

vit9696

Автор vit9696
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

vit9696 Гигант мысли

vit9696

Опубликовано
Опубликовано (изменено)

У друга - проблема вылезла такая "вещь" и никуда, мой поиск по сайтам разблокировок дал результат, но активировав одно - появилось второе: подтверите, что вам 18 лет. Телефон 9800 смс 3458 45, почти все варианты испробовал инета - нет, логи будут, когда разблокируем...

 

Появилось при установке Flash Player 10

 

Подобраны ключи:

Вначале на номер 9800 с кодом 3459 45

4479927959

Потом на номер 9800 с кодом 3458 45

8694287294

Логи скоро будут!

Изменено пользователем vit9696
Ссылка на комментарий
Поделиться на другие сайты
Alexvl89 Постоялец

Alexvl89

Опубликовано
Опубликовано (изменено)

Может это не от Flash Player 10? плеер позволяет в основном воспроизводить! и где оно появляется: в браузере или может перед всеми окнами windows?

Изменено пользователем Alexvl89
Ссылка на комментарий
Поделиться на другие сайты
vit9696 Гигант мысли

vit9696

Опубликовано
  • Автор
Опубликовано
Может это не от Flash Player 10? и где оно появляется: в браузере или может перед всеми окнами windows?

Windows, понятно то что не сам Flash Player, а левый установщик...

Ссылка на комментарий
Поделиться на другие сайты
kav Опытный

kav

Опубликовано
Опубликовано

vit9696

обновление плеера на рабочем столе вылезло? ни чего подозрительного да?

Alexvl89

перед всеми окнами

P.S. тоже когда такое окно вылезло, кис'ом проверил диск С, там пусто, но обновлять не стал, просто закрыл

Ссылка на комментарий
Поделиться на другие сайты
Мизантроп Профи

Мизантроп

Опубликовано
Опубликовано

Вот мне это помогло:

1) В папке c:\Program Files\ - удаляем файл plugin.exe;

2) Удаляем его же запуск из автозагрузки (через реестр или Пуск-выполнить-msconfig);

3) В папке C:\WINDOWS\system32\ ищем и удаляем файл netprotocol.dll

Ссылка на комментарий
Поделиться на другие сайты
vit9696 Гигант мысли

vit9696

Опубликовано
  • Автор
Опубликовано

Не помогло. Хватит флуда, ждите логи!

 

Логи!

 

Удалось запустить Каспера, нашел заразу - удаляем, логи переделаю!

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

Выполните скрипт в avz

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Tasks\Windows Update.job');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\hyct.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\xxzla.tmp','');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\xxzla.tmp');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\hyct.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты
vit9696 Гигант мысли

vit9696

Опубликовано
  • Автор
Опубликовано (изменено)

Это было сделано Каспером, логи сейчас, повторю.

 

Вот логи.

Можно побыстрее, а то у меня друг опаздывает...

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем vit9696
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • norma.ekb
      Шифровальщик-вымогатель .FONL
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Antchernov
      Шифровальщик-вымогатель C77L ZerSrv@mail2tor.co
      Автор Antchernov
      Здравствуйте. Словили шифровальщик через RDP, файл шифровальщика удалось найти на рабочем столе учетки Администратора. Зашифровать успел не все, но важным документам и базам 1С досталось. Осложняется все тем, что админ приходящий и он в текущей ситуации стал "очень занят". Прошу помочь с лечением системы и по возможности с расшифровкой, т.к. неизвестно есть ли бэкапы. Систему не лечили никак, логи FRST, зашифрованные фалы и записку прилагаю. Есть нешифрованные версии некоторых файлов, если понадобятся. 
      Addition.txt FRST.txt Zersrv.zip
    • KL FC Bot
      Как видеокамера может помочь вымогателям | Блог Касперского
      Автор KL FC Bot
      Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
      Анатомия атаки
      Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
      Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
      Камера стала прекрасной мишенью для атакующих по нескольким причинам:
      устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
       
      View the full article
    • Rome0
      Шифровальщик-вымогатель .kwx8
      Автор Rome0
      15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8
      Без Вашей помощи не обойтись явно.
      Desktop.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      Автор Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
×
×
  • Создать...