Перейти к содержанию

Зашифрованные файлы вирус от 10.2014

мфв
 Поделиться

Рекомендуемые сообщения

мфв

мфв

Опубликовано
Опубликовано

все файлы имеют вид

Сан-эпид..doc.id-{RLXLYKVHSFPBMYLVHSDPAMXJTFPBMXHUFQAM-08.10.2014 14@19@289182866}-email-mserbinov@onionmail.in-ver-4.0.0.0.cbf

 

действовал по инструкции

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

в итоге нашел шифровщик и 6 папок с логами, расшифровать файлы тремя утилитами не получилось  RannohDecryptor.exe XoristDecryptor RectorDecryptor

 

запустил AutoLogger [regist & Drongo] 3.03.2015

 

 

выкладываю результат

 

заранее благодарю за помощь

 

 

CollectionLog-2015.03.10-19.23.zip

report2.log

report1.log

Roman_Five

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\PROGRA~1\WEBMAS~1\INSTALL.LOG','');
 QuarantineFile('C:\PROGRA~1\WEBMAS~1\UNWISE.EXE','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\system32\Tasks\jj','32');
 DeleteFile('C:\Windows\system32\Tasks\vikl','32');
 DeleteFile('C:\Windows\system32\Tasks\viklu','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\26639151','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Shell','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2ff866f6e2a3403b95ab885093885cdf79d84ea9775e','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 3).
 
+
приложите логи Farbar Recovery Scan Tool

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

мфв

мфв

Опубликовано
  • Автор
Опубликовано

делаю все по методике. после первого скрипта перегружается. потом второй запусксаю - пишет "скрипт выполнен без ошибок", но никакого архива Quarantine.zip в папке нет


есть папка  Quarantine и в ней еще одна с датой, а в той несколько файлов с расширением .ini


хотя после первого скрипта были красные записи о предстоящем удалении каких-то файлов после перезагрузки


этих файлов не нашел на винте

 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\system32\Tasks\jj','32');
 DeleteFile('C:\Windows\system32\Tasks\vikl','32');
 DeleteFile('C:\Windows\system32\Tasks\viklu','32');


8 файлов .ini

вот что внутри последнего

 

[infectedFile]
Src=\??\C:\Users\sneipas\AppData\Local\Temp\26638917FdOh
Infected=bcqr00008.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034
мфв

мфв

Опубликовано
  • Автор
Опубликовано

еще раз запустил AutoLogger [regist & Drongo] 3.03.2015

 

он не создал архив. странно. и комп все время что-то перелопачивает. 

винт гудит не останавливаясь


не проводится поиск маскировки процессов (пункт. 1.4) - драйвер не загружен.

второй раз комп перегружается и снова запускается одно и тоже.

это нормально?

Roman_Five

Roman_Five

Опубликовано
Опубликовано

выполните такой скрипт для создания карантина.

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

 


Сделайте новые логи по правилам (только пункт 3).   + приложите логи Farbar Recovery Scan Tool http://forum.kaspers...611?do=findComment&comment=647696
мфв

мфв

Опубликовано
  • Автор
Опубликовано

еще раз запустил AutoLogger [regist & Drongo] 3.03.2015  - архив лгов создался
скинул его  на портал Kaspersky Virus Desk.
 



выполните такой скрипт для создания карантина.

 
выполнил, архив внутри пустой
 

Сделайте новые логи по правилам (только пункт 3).   + приложите логи Farbar Recovery Scan Tool

 
сделал.
сюда кинуть не могу, пропало вложение файлов к сообщениям (((

нашел. прикрепляю

комп молотит не переставая. красный светодиод винта мигает круглые сутки

 

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте карантин на форум. Файл удалён.

Addition.txt

FRST.txt

Roman_Five

Roman_Five

Опубликовано
Опубликовано

 

 


нашел. прикрепляю

не карантин, а логи автологгера.
 

\\

что в этих файлах?

2015-03-05 21:26 - 2015-03-05 21:26 - 01831041 _____ () C:\Users\Userfiles.rar
2015-03-05 21:08 - 2015-03-05 21:08 - 01827326 _____ () C:\Users\Users.rar
2015-03-05 20:49 - 2015-03-05 20:50 - 02652001 _____ () C:\Users\Cryakl.rar
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

HKU\S-1-5-21-3081095649-4093069345-1553879287-1000\...\Winlogon: [Shell] 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 - (No Name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} -  No File
BHO: Megaupload Toolbar -> {A057A204-BACC-4D26-C39E-35F1D2A32EC8} ->  No File
Toolbar: HKLM - Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} -  No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 -> Megaupload Toolbar
Toolbar: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 -> Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} -  No File
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
Gyazo-2.3.0.exe
2015-03-05 19:43 - 2015-03-05 19:43 - 00000000 ____D () C:\Users\sneipas\AppData\Roaming\Gyazo
2015-03-05 19:42 - 2015-03-05 20:44 - 00000000 ____D () C:\Program Files\Gyazo
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\Users\Public\Desktop\Gyazo.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\Users\Public\Desktop\Gyazo GIF.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\ProgramData\Desktop\Gyazo.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\ProgramData\Desktop\Gyazo GIF.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gyazo
2015-03-05 19:41 - 2015-03-05 19:42 - 09698760 _____ (Nota Inc. ) C:\Users\sneipas\Downloads\Gyazo-2.3.0.exe
HKU\S-1-5-21-3081095649-4093069345-1553879287-1000\...\Run: [Gyazo] => C:\Program Files\Gyazo\GyStation.exe [3095840 2014-10-27] (Nota Inc.)
Task: {68896F2C-FFB8-436E-9280-85F73348DDF7} - \viklu No Task File <==== ATTENTION
Task: {8D7E7A36-E760-44A4-A8C8-96DBACF8A5AB} - \jj No Task File <==== ATTENTION
Task: {F09D320A-2FB3-4467-A926-8FC031F004F5} - \vikl No Task File <==== ATTENTION
Task: {F8EB512E-BDF4-41BC-9FDA-A468FC5839AA} - \At1 No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:0C1EFF69
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
мфв

мфв

Опубликовано
  • Автор
Опубликовано

что в этих файлах?

2015-03-05 21:26 - 2015-03-05 21:26 - 01831041 _____ () C:\Users\Userfiles.rar

2015-03-05 21:08 - 2015-03-05 21:08 - 01827326 _____ () C:\Users\Users.rar

2015-03-05 20:49 - 2015-03-05 20:50 - 02652001 _____ () C:\Users\Cryakl.rar

 

 
 
это запаролленные архивы
два архива зашифрованных файлов- 6 расширений и один архив того самого вируса.
я вам их отсылал.
 
сейчас на компе работает какая-то прога - "randoms system informations toola - rabdom/random"
не знаю откуда появилась

 "random's system information tool - random/random"

 
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

 

 

 

 

не видит fixlist.txt  - хотя они в одной папке на рабочем столе размещены. странно

упс, пробел в имени в начале оказался 

прикрепляю фикслог.

 

Спасибо!

 

Fixlog.txt

Roman_Five

Roman_Five

Опубликовано
Опубликовано

 

 


не карантин, а логи автологгера.

так и не прикрепили.

мфв

мфв

Опубликовано
  • Автор
Опубликовано

от меня что-нибудь еще нужно кроме терпения?


комп не выключаю, но он перестал молотить... притих...

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Shell','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\26639151','command');
DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
DeleteFile('C:\Windows\system32\Tasks\At1','32');
DeleteFile('C:\Windows\Tasks\At1.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Сделайте новые логи по правилам

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • decoy4ik
      Вирусом зашифрованы важные файлы.
      Автор decoy4ik
      Добрый день, поймали вирус-шифровальщик, есть ли возможность расшифровки? Логи и архив с файлами прикреплен. Файл с требованием к сожалению был сразу удален.Addition.txtFRST.txt
      Desktop.rar
    • barss2001
      Вирус-шифровальщик зашифровал файлы Файл "7DYEDHQU59C"
      Автор barss2001
      Сервер после перезагрузки и входе в учетную запись показал сообщение о выкупе программы дешифратора на рабочем столе и дисках появились  зашифрованые файлы 
      virus.rar FRST64.rar
    • Kemel
      Вирус зашифровал файлы с расширением .Frank
      Автор Kemel
      Your ID: EBF7F3B5F6C0398D
      If you want your files back, contact us at the email addresses shown below.
      Frank1850@mailum.com
      Frank1850@firemail.de
      ((*** Your ID must be included in the subject line of your email or we WILL NOT answer ***))
      This notification shows that your system has been hacked.
      Your files have not been damaged or infected by viruses; they are just locked with the Frank suffix.
      We saved your data on our servers,
      and if you don't contact us, we'll extract your sensitive information and put it on the darknet, where anybody can view it.
      We have no political goals and are not trying to harm your reputation.
      This is our business. Money and our reputation are the only things that matter to us.
      There is no software or company on the internet that can recover your locked files; we are the only ones who can help you.
      Do Not Change These Locked Files; if you want to do it anyway, make a backup of your files first.
      Frank_Help.txt Зашифрованные файлы.rar
×
×
  • Создать...