Перейти к содержанию

Дескриптор

Сергей Малюгин

Автор Сергей Малюгин
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Сергей Малюгин

Сергей Малюгин

Опубликовано
Опубликовано

Помогите с этой заразой:

Покупка декриптора: perfect.mind@aol.com
Ключ хранится 3 суток. (до 24.12.2013)
Обращения после 24.12.2013 будут игнорироваться.
В теме письма укажите ваш ID:450154665604
Стоимость ключа будет увеличиваться ежедневно.
Торга нет и не будет.

Действия, которые могут привести к удалению ключа:
- Оскорбления
- Угрозы
- Запрос платежных реквизитов без последующей оплаты


Данные AVZ:

Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 29.12.2013 01:41:36
Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 28.12.2013 16:00
Загружены микропрограммы эвристики: 405
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 630585
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=169B00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83A40000
SDT = 83BA9B00
KiST = 83ABE43C (401)
Функция NtAlertResumeThread (0D) перехвачена (83D1EDA3->88A92B38), перехватчик не определен
Функция NtAlertThread (0E) перехвачена (83C71CC7->88A780B0), перехватчик не определен
Функция NtAllocateVirtualMemory (13) перехвачена (83C6ACBC->88CC5278), перехватчик не определен
Функция NtConnectPort (3B) перехвачена (83CB90A0->88C02B80), перехватчик не определен
Функция NtCreateKey (46) перехвачена (83C42009->83A40FEC), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный
Функция NtCreateMutant (4A) перехвачена (83C5135A->88692FC0), перехватчик не определен
Функция NtCreateThread (57) перехвачена (83D1CFDA->88E7DB70), перехватчик не определен
Функция NtFreeVirtualMemory (83) перехвачена (83AF982C->88F5E0B0), перехватчик не определен
Функция NtImpersonateAnonymousToken (91) перехвачена (83C36970->88AAB2E8), перехватчик не определен
Функция NtImpersonateThread (93) перехвачена (83CBA992->88A99BE0), перехватчик не определен
Функция NtMapViewOfSection (A8) перехвачена (83C875F1->88664710), перехватчик не определен
Функция NtOpenEvent (B1) перехвачена (83C50D56->88AAB668), перехватчик не определен
Функция NtOpenKey (B6) перехвачена (83C8C8D2->83A40FF1), перехватчик C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный
Функция NtOpenProcessToken (BF) перехвачена (83CA537F->88A1C0B0), перехватчик не определен
Функция NtOpenThreadToken (C7) перехвачена (83CB967B->8866D6D8), перехватчик не определен
Функция NtProtectVirtualMemory (D7) перехвачена (83C83651->94D216B0), перехватчик C:\Windows\system32\drivers\wpsdrvnt.sys, драйвер опознан как безопасный
Функция NtResumeThread (130) перехвачена (83CB16D2->88819710), перехватчик не определен
Функция NtSetContextThread (13C) перехвачена (83D1E84F->88A15098), перехватчик не определен
Функция NtSetInformationProcess (14D) перехвачена (83C79875->88EF0480), перехватчик не определен
Функция NtSetInformationThread (14F) перехвачена (83CAAE36->88662E10), перехватчик не определен
Функция NtSuspendProcess (16E) перехвачена (83D1ECDF->88AC2648), перехватчик не определен
Функция NtSuspendThread (16F) перехвачена (83CD61CB->88A5C938), перехватчик не определен
Функция NtTerminateProcess (172) перехвачена (83C9BD9A->88839240), перехватчик не определен
Функция NtTerminateThread (173) перехвачена (83CB96CB->889FAA08), перехватчик не определен
Функция NtUnmapViewOfSection (181) перехвачена (83CA59BA->88879A40), перехватчик не определен
Функция NtWriteVirtualMemory (18F) перехвачена (83CA0A97->8868D4A0), перехватчик не определен
Проверено функций: 401, перехвачено: 26, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [bC95616D] C:\Windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [bC955FC2] C:\Windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Анализ для процессора 2
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [bC95616D] C:\Windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [bC955FC2] C:\Windows\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=308, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 308)
Маскировка процесса с PID=532, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 532)
Маскировка процесса с PID=1016, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1016)
Маскировка процесса с PID=1752, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1752)
Маскировка процесса с PID=1980, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1980)
Маскировка процесса с PID=1340, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1340)
Маскировка процесса с PID=2092, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2092)
Маскировка процесса с PID=2156, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2156)
Маскировка процесса с PID=2188, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2188)
Маскировка процесса с PID=2240, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2240)
Маскировка процесса с PID=2272, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2272)
Маскировка процесса с PID=2556, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2556)
Маскировка процесса с PID=2604, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2604)
Маскировка процесса с PID=2984, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2984)
Маскировка процесса с PID=3192, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3192)
Маскировка процесса с PID=3332, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3332)
Маскировка процесса с PID=3376, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3376)
Маскировка процесса с PID=3384, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3384)
Маскировка процесса с PID=3440, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3440)
Маскировка процесса с PID=3704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3704)
Маскировка процесса с PID=3712, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3712)
Маскировка процесса с PID=3940, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3940)
Маскировка процесса с PID=3440, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3440)
Маскировка процесса с PID=3896, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3896)
Маскировка процесса с PID=2084, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2084)
Маскировка процесса с PID=2952, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2952)
Маскировка процесса с PID=3032, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3032)
Маскировка процесса с PID=4108, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4108)
Маскировка процесса с PID=4324, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4324)
Маскировка процесса с PID=4372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4372)
Маскировка процесса с PID=4944, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4944)
Маскировка процесса с PID=5148, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5148)
Маскировка процесса с PID=5328, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5328)
Маскировка процесса с PID=5396, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5396)
Маскировка процесса с PID=5456, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5456)
Маскировка процесса с PID=5548, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5548)
Маскировка процесса с PID=5580, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5580)
Маскировка процесса с PID=5616, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5616)
Маскировка процесса с PID=5636, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5636)
Маскировка процесса с PID=5656, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5656)
Маскировка процесса с PID=5688, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5688)
Маскировка процесса с PID=5696, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5696)
Маскировка процесса с PID=5816, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5816)
Маскировка процесса с PID=2560, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2560)
Маскировка процесса с PID=2276, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2276)
Маскировка процесса с PID=4620, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4620)
Маскировка процесса с PID=4996, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4996)
Маскировка процесса с PID=5704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5704)
Маскировка процесса с PID=5608, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5608)
Маскировка процесса с PID=3296, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3296)
Маскировка процесса с PID=1772, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1772)
Маскировка процесса с PID=1640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1640)
Маскировка процесса с PID=2512, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2512)
Маскировка процесса с PID=4976, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4976)
Маскировка процесса с PID=5336, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5336)
Маскировка процесса с PID=1492, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1492)
Маскировка процесса с PID=5704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5704)
Маскировка процесса с PID=2288, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2288)
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 78
Количество загруженных модулей: 763
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\ProgramData\Symantec\SRTSP\Quarantine\APQ45DC.tmp
Прямое чтение C:\ProgramData\Symantec\SRTSP\Quarantine\APQ631D.tmp
Прямое чтение C:\ProgramData\Symantec\SRTSP\Quarantine\APQ89BE.tmp
Прямое чтение C:\ProgramData\Symantec\SRTSP\Quarantine\APQF6F3.tmp
Прямое чтение C:\Users\Сергей\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.tmp
D:\Игры\Новая папка\ArcheAge\Bin32\awesomiumprocess.exe >>> подозрение на Trojan.Win32.Vapsup.mka ( 0A413B5B 0836EC59 001D2664 00203B29 344064)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nvinit.dll"
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe]
Подозрение на скрытый автозапуск - HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NextLive="C:\Windows\system32\rundll32.exe "C:\Users\Сергей\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l"
>>> C:\Users\Сергей\appdata\roaming\digita~1\update~1\update~1.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
Проверка завершена
Просканировано файлов: 207561, извлечено из архивов: 104142, найдено вредоносных программ 0, подозрений - 1
Сканирование завершено в 29.12.2013 02:17:48
Сканирование длилось 00:36:15
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/

 

Сообщение от модератора Mark D. Pearlstone
Перенесено из темы http://forum.kasperskyclub.ru/index.php?showtopic=9405
mike 1

mike 1

Опубликовано
Опубликовано

+ Перед диагностикой отключите драйвер расширенного мониторинга процессов AVZPM. 

Сергей Малюгин

Сергей Малюгин

Опубликовано
  • Автор
Опубликовано

+ Перед диагностикой отключите драйвер расширенного мониторинга процессов AVZ

как это сделать?

mike 1

mike 1

Опубликовано
Опубликовано
Отключите

- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

 




begin

SetAVZPMStatus(false);

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера.

 

После перезагрузки делайте логи по правилам раздела. 

Сергей Малюгин

Сергей Малюгин

Опубликовано
  • Автор
Опубликовано

 

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
SetAVZPMStatus(false);
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 
После перезагрузки делайте логи по правилам раздела. 

 

нет востоновления, вирус как был так и сидит

 

 

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
SetAVZPMStatus(false);
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 
После перезагрузки делайте логи по правилам раздела. 

 

нет востоновления, вирус как был так и сидит

 

к примеру

Сергей Малюгин

Сергей Малюгин

Опубликовано
  • Автор
Опубликовано

было фото, стал Файл "PERFECT" (.perfect)


 

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
SetAVZPMStatus(false);
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 
После перезагрузки делайте логи по правилам раздела. 

 

нет именений(

mike 1

mike 1

Опубликовано
Опубликовано

Логи по правилам раздела где? 

Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано

@Сергей Малюгин

Сообщение от модератора Mark D. Pearlstone
Если вы не выполните правила раздела, то тема будет закрыта.
Сергей Малюгин

Сергей Малюгин

Опубликовано
  • Автор
Опубликовано

я прошу о помощи, а вы мне про разделы и логи, так и скажите, что бессильным perfect.mind@aol.com

Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано

Сообщение от модератора Mark D. Pearlstone
Тема закрыта.
  • Улыбнуло 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем
×
×
  • Создать...