Перейти к содержанию

Проблема с вирусом шифровальщиком AES256

Arturko
 Поделиться

Рекомендуемые сообщения

Roman_Five

Roman_Five

Опубликовано
Опубликовано

удалите папки

C:\Documents and Settings\User\Application Data\Mail.RU NewGamesT
2014-09-30 06:55:00 ----D---- C:\Documents and Settings\User\Application Data\tor
2014-09-30 06:54:53 ----D---- C:\Documents and Settings\User\Application Data\Microsoft DB
2014-09-29 20:53:22 ----D---- C:\Documents and Settings\User\Application Data\GemWare
2014-09-29 20:51:24 ----D---- C:\Documents and Settings\User\Application Data\Tor Project
2014-09-29 20:51:09 ----D---- C:\Documents and Settings\User\Application Data\ICL
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Program Files\Opera\launcher.exe.bat','');
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','');
 QuarantineFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','');
 DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Program Files\Opera\launcher.exe.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1
 
Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
>> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы
 
Сделайте новые логи по правилам.
 

Приложите лог FixerBro

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647404

mike 1

mike 1

Опубликовано
Опубликовано

+ Напишите ваш id и hashkey до 17 октября. 

Arturko

Arturko

Опубликовано
  • Автор
Опубликовано

а какой пароль на архив? после скрипта

"begin

CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');


end."

mike 1

mike 1

Опубликовано
Опубликовано

 

 

а какой пароль на архив?

virus

Arturko

Arturko

Опубликовано
  • Автор
Опубликовано

Ок спасибо!

но я не имею активационного ключа от продуктов Касперского 

Arturko

Arturko

Опубликовано
  • Автор
Опубликовано

Ето прислали мне с Лаборатории Касперского

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 

chrome.exe.bat,

iexplore.exe.bat,

launcher.exe.bat

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

сделал лог AutoLogger

и

FixerBro

 

CollectionLog-2014.10.15-14.38.zip

FixerBro_20141015.txt

Roman_Five

Roman_Five

Опубликовано
Опубликовано

какие расширения, кроме Avasta, Download master, google wallet и mail.ru, стоят в Хроме?

Roman_Five

Roman_Five

Опубликовано
Опубликовано

приложите ID и HashKey из сообщения злоумышленника.
есть шанс расшифровать файлы

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • BSss
      Проблема (?) вирус
      Автор BSss
      В простое видеокарта загружается до 100, включаются вентиляторы, запускаешь диспетчер задач  - успокаивается.. как бы от этого избавиться? 
    • kaje_14
      Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
    • sater123
      Вирус шифровальщик
      Автор sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Vital888
      Вирус шифровальщик
      Автор Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
    • dgluhov
      Вирус-шифровальщик
      Автор dgluhov
      Зашифрованы все файлы на компьютере. Имена файлов типа: z52weovl6gu8t9c-Mail(itservicerec@zohomail.eu)-ID(89547642786312).trfsqa. Расширения разные
      Обнаружил папку DecryptionKey на каждом из дисков. Утилиту FIRST.exe запустить смог только с диска восстановления
      Логи во вложении
      DecryptionKey.zip FRST.zip
×
×
  • Создать...