zlobr Опубликовано 3 октября, 2014 Share Опубликовано 3 октября, 2014 Добрый день! Дали посмотреть что стряслось с ноутом у подруги - там оказалось что всё файло зашифровано .AES256. Она до этого зачем-то пыталась выполнить инструкции из этой темы на форуме, в надежде что они помогут. Каковы мои дальнейшие действия? Лог автологгера прилагаю. Заранее благодарен! CollectionLog-2014.10.03-11.12.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 3 октября, 2014 Share Опубликовано 3 октября, 2014 сразу скажу, что расшифровать файлы без обращения к злоумышленникам в данный момент невозможно.какой у подруги антивирус? C:\Program Files\ESET\ESET NOD32 Antivirus\ или C:\Program Files\AVAST Software\Avast\ ? Если avast! Premier, то надо удалить остатки второго.http://kb.eset.com/esetkb/index?page=content&id=soln2289 (в безопасном режиме) Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 3 октября, 2014 Share Опубликовано 3 октября, 2014 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe.bat',''); QuarantineFileF('C:\Users\user\AppData\Roaming\ICL', '*', true, ' ', 0, 0); QuarantineFileF('C:\Users\user\AppData\Roaming\GemWare', '*', true, ' ', 0, 0); QuarantineFileF('C:\Users\user\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0); QuarantineFileF('C:\extensions', '*', true, ' ', 0, 0); DeleteFile('C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe.bat','32'); DeleteFileMask('C:\extensions', '*', true, ' '); DeleteFileMask('C:\gmr_scripts', '*', true, ' '); DeleteDirectory('C:\extensions'); DeleteDirectory('C:\gmr_scripts'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите FixerBroОбратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да В главном окне программы нажмите на кнопку "Проверить" Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt) По окончанию сканирования нажмите на кнопку "Отчет". Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме. Ссылка на комментарий Поделиться на другие сайты More sharing options...
zlobr Опубликовано 6 октября, 2014 Автор Share Опубликовано 6 октября, 2014 Вас понял, жаль что с файла ми пролёт, но надо хотябы собрать логи, если это поможет общему делу. Спасибо! Сразу отпишу как-чего. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 6 октября, 2014 Share Опубликовано 6 октября, 2014 Дополнительно пришлите несколько зашифрованных файлов для теста дешифратора. Ссылка на комментарий Поделиться на другие сайты More sharing options...
zlobr Опубликовано 9 октября, 2014 Автор Share Опубликовано 9 октября, 2014 Вот логи и заархивированные пара зашифрованных файлов. Ответ лаборотории приложу когда он придёт. Прикладываю ответ лаборотории. AdwCleanerR0.txt FixerBro_20141009.txt 0fI2Fe_dJmM.jpg.rar Re VirLabSRFMalicious file analysisM1LNRUL0 KLAN-2041196829.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 9 октября, 2014 Share Опубликовано 9 октября, 2014 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!. Подробнее читайте в этом руководстве. С расшифровкой не сможем помочь. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 16 октября, 2014 Share Опубликовано 16 октября, 2014 приложите ID и HashKey из сообщения злоумышленника.есть шанс расшифровать файлы Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти