Перейти к содержанию

Все фотографии и другие файлы изменили своё расширение

Михаил Соловьёв

От Михаил Соловьёв
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Михаил Соловьёв Новичок

Михаил Соловьёв

Опубликовано
Опубликовано

Здравствуйте. Проблема точно такая же. Все фотографии и другие файлы изменили своё расширение. Подскажите, что нужно сделать что бы вам отправить логи, и я всё сделаю. Надеюсь только на вас

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы
Ссылка на комментарий
Поделиться на другие сайты
Михаил Соловьёв Новичок

Михаил Соловьёв

Опубликовано
  • Автор
Опубликовано

Особенности: я работаю в программе TeamViewer (удаленное управление), с компьютером моего отца. Навыков работы с форумом, и программами он не имеет. Расширение файлов - xtbl. Обои изменились, теперь на рабочем столе, красуется надпись 

 

1. Kaspersky Virus Removal Tool 2011 - данной программой я воспользовался для проверки ПК. Было обнаружено 2 трояна 

2. Содержимое временных папок очистил, воспользовавшись инструкцией.

3. Перед запуском программы post-33853-0-95745700-1425738204_thumb.png и работа программыpost-33853-0-82160300-1425738208_thumb.png. В момент работы, программе потребовалось моё согласие ("I accept"), нажав на неё, программа начала устанавливаться или проверять, но вылезла ошибка (к сожалению я не сделал её скриншот).

4. CollectionLog-2015.03.07-18.27.zip

 

Если я правильно понял, то создавать новую тему мне уже не надо, ибо модератор создал новую тему, куда перенес моё сообщение. 

 

Спасибо заранее Вам.

post-33853-0-58147400-1425737569_thumb.png

post-33853-0-72994000-1425737652_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

move.gif

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

А также

 

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
DeleteFile('c:\programdata\windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Михаил Соловьёв Новичок

Михаил Соловьёв

Опубликовано
  • Автор
Опубликовано

А также

 

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
DeleteFile('c:\programdata\windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Боюсь, что не смогу выполнить скрипт в AVZ, моему отцу (компьютеру с которым я работаю) нужен интернет. В инструкции написано что надо выключить... Если иного выхода нет, то я буду вынужден его научить сделать скрипт (несколько часов)

Ссылка на комментарий
Поделиться на другие сайты
Михаил Соловьёв Новичок

Михаил Соловьёв

Опубликовано
  • Автор
Опубликовано

Скачал ClearLNK, сохранил и распоковал.
Вот отчёт:

 


Скачал ClearLNK, сохранил и распоковал.
Вот отчёт:

*распаковал


А также

 

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
DeleteFile('c:\programdata\windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Сделайте новые логи по правилам? Т.е. мне нужно ещё раз запустить AutoLogger?


Прислали на почту, после того, как я отправил запрос на проверку файла команде Касперского.


И вот два файла. Логи Farbar Recovery Scan Tool:

 

 

 

ClearLNK-10.03.2015_08-17.log

post-33853-0-88561300-1425963960_thumb.png

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
HKU\S-1-5-21-425235011-3301523467-1703254800-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
HKU\S-1-5-21-425235011-3301523467-1703254800-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
HKU\S-1-5-21-425235011-3301523467-1703254800-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
SearchScopes: HKU\S-1-5-21-425235011-3301523467-1703254800-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = http://webalta.ru/search?q={searchTerms}&from=IE
CHR Extension: (No Name) - C:\Users\павр\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-01-27]
CHR Extension: (No Name) - C:\Users\павр\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-01-27]
CHR Extension: (No Name) - C:\Users\павр\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2014-08-28]
CHR Extension: (No Name) - C:\Users\павр\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-01-27]
CHR Extension: (No Name) - C:\Users\павр\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-01-27]
CHR Extension: (No Name) - C:\Users\павр\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj [2014-01-27]
CHR Extension: (No Name) - C:\Users\павр\AppData\Local\Google\Chrome\User Data\Default\Extensions\dcnejhigcbpjmkoohckmmlgoonfngkjd [2014-09-24]
CHR Extension: (No Name) - C:\Users\павр\AppData\Local\Google\Chrome\User Data\Default\Extensions\jagncdcchgajhfhijbbhecadmaiegcmh [2014-01-27]
CHR Extension: (No Name) - C:\Users\павр\AppData\Local\Google\Chrome\User Data\Default\Extensions\jaocgokledfmfebefgbeokdodbbdjhdd [2014-01-28]
CHR Extension: (No Name) - C:\Users\павр\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkockghdbjojnengdjpdfjcjbaolidfp [2014-12-31]
CHR Extension: (No Name) - C:\Users\павр\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-01-27]
CHR Extension: (No Name) - C:\Users\павр\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-01-27]
CHR Extension: (No Name) - C:\Users\павр\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman [2014-01-27]
2014-01-26 21:54 - 2014-01-26 21:54 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2015-02-02 16:09 - 2015-02-02 16:09 - 0005039 _____ () C:\ProgramData\wmzddnmb.cix
Reboot:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

пофиксите в Hijackthis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R3 - Default URLSearchHook is missing
O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files (x86)\Ticno\Tabs\TicnoTabsBho111217.dll
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

новый лог приложите.

 


http://forum.kasperskyclub.ru/index.php?showtopic=7607&do=findComment&comment=78496

Ссылка на комментарий
Поделиться на другие сайты
Михаил Соловьёв Новичок

Михаил Соловьёв

Опубликовано
  • Автор
Опубликовано

Посмотрел как сделать скрипт. Напротив всех не смог поставить галочки, только 2 нашёл


Скидываю вам - список - тех, что смог найти. И документ.

post-33853-0-11702800-1427362335_thumb.png

post-33853-0-11453000-1427362343_thumb.png

post-33853-0-89440500-1427362350_thumb.png

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • Garand
      Зашифровали файли расширением oo4ps и диски Bitlocker
      От Garand
      Windows Server 2012 R2
      Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.
      в текстовом файле указана почта для восстановления:
      Write to email: a38261062@gmail.com
       
      Во вложении текстовый файл и несколько зашифрованных файлов
      FILES_ENCRYPTED.rar Desktop.rar
    • Alex Mor
      БД 1С и часть других файлов перемещены в RAR архив с паролем
      От Alex Mor
      Добрый день, Коллеги, столкнулся проблемой произошла утечка реквизитов одной из УЗ администраторов на win сервере, после чего злоумышленники подключились по RDP и переместили файлы БД 1С в запароленный RAR архив, в письме у злоумышленников указаны требования выкупа пароля и контакт:  kelianydo@gmail.com, если сталкивались, прошу помочь.
      пароль к архиву - копия (107) — копия — копия — копия — копия.txt
      CHANGES.txt NOTICE.txt
    • Mrak
      Конкурс осенней фотографии 2024
      От Mrak
      Друзья!
       
      Приглашаем вас погрузиться в осеннюю атмосферу и стать участниками нашего увлекательного конкурса! 🌟Делитесь своими яркими впечатлениями от этого волшебного времени года и отправляйте нам свои лучшие фотографии и позитивные эмоции. ✨ Продемонстрируйте свои навыки фотографа 📸, создайте шедевры, которые поднимут настроение всем. За каждую вашу работу вы получите баллы, которые можно обменять на уникальные сувениры в магазине клуба. Хотите добавить к своей фотографии подпись? 🎨 Великолепно! А может быть, вы готовы рассказать нам, что происходит на ваших снимках? Это тоже здорово! Жюри оценит каждую деталь вашего фото и соответствующий текст.
       
      ПРАВИЛА КОНКУРСА
      – На конкурс предоставляется фотография, созданная участником конкурса самостоятельно;
      – Каждый участник может предоставить только одну фотографию в качестве конкурсной работы;
      – Фотография не должна быть опубликована где-либо ранее, чем на этот конкурс;
      – Фотография должна быть сделана осенью 2024 года;
      – Допускается художественное редактирование вашего фото, но помните, что это конкурс фотографий, а не картин/комиксов/рисунков;
      – После завершения приёма работ фотография не должна удаляться, редактироваться, изменяться любым образом в течение 1 месяца;
      – Фотография и ее содержание не должны противоречить Правилам форума;
      – Работу нужно разместить в теме приёма работ.
      – Можно предоставить название фотографии, слоган, мем, описание её изготовления или историю, связанную с этой фотографией, которые будут оценены наряду с самой фотографией.
       
      Прием фотографий осуществляется до 20 часов 00 минут 16 ноября 2024 года (время московское). 
      Принять участие в конкурсе могут все зарегистрированные пользователи клуба "Лаборатории Касперского", кроме организаторов конкурса.
       
      НАГРАЖДЕНИЕ И ПРИЗОВОЙ ФОНД
      Распределение баллов по призовым местам:
      1-е место - 700 баллов
      2-е место - 600 баллов
      3-е место - 500 баллов
      4-е место - 400 баллов
      5-е место - 300 баллов
      6-е место - 200 баллов
      7-е место - 100 баллов
       
      В течение десяти дней после завершения приёма работ жюри выберет лучшие конкурсные фотографии. Итоги конкурса будут подведены в течение двадцати дней с момента завершения голосования членов жюри. Баллы будут начислены в течение двадцати дней с момента опубликования итогов конкурса.
       
      Все вопросы, связанные с корректностью проведения конкурса, необходимо отправлять @Elly (с обязательным включением пользователей @Mrak,  @Машуняв копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов конкурса и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.
       
      Иные вопросы по конкурсу могут быть обсуждены в данной теме.
       
      Администрация, официально уведомив, может в любой момент внести изменения в правила конкурса, перезапустить или вовсе прекратить его проведение, а также отказать участнику в получении приза в случае выявления фактов его недобросовестного участия в нем (в т.ч. выставление работ явно низкого качества, свидетельствующее об участии исключительно в целях получения поощрительного приза - манипулирование правом на участие в конкурсе) и/или нарушения правил конкурса. Любые вопросы, связанные с конкурсом, в том числе и по начислению баллов, принимаются в течение 30 дней с момента подведения его итогов.
       
      Участие в конкурсе означает безоговорочное согласие с настоящими правилами.
×
×
  • Создать...