Перейти к содержанию

Зашифрованные файлы вирус от 10.2014


Рекомендуемые сообщения

все файлы имеют вид

Сан-эпид..doc.id-{RLXLYKVHSFPBMYLVHSDPAMXJTFPBMXHUFQAM-08.10.2014 14@19@289182866}-email-mserbinov@onionmail.in-ver-4.0.0.0.cbf

 

действовал по инструкции

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

в итоге нашел шифровщик и 6 папок с логами, расшифровать файлы тремя утилитами не получилось  RannohDecryptor.exe XoristDecryptor RectorDecryptor

 

запустил AutoLogger [regist & Drongo] 3.03.2015

 

 

выкладываю результат

 

заранее благодарю за помощь

 

 

CollectionLog-2015.03.10-19.23.zip

report2.log

report1.log

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\PROGRA~1\WEBMAS~1\INSTALL.LOG','');
 QuarantineFile('C:\PROGRA~1\WEBMAS~1\UNWISE.EXE','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\system32\Tasks\jj','32');
 DeleteFile('C:\Windows\system32\Tasks\vikl','32');
 DeleteFile('C:\Windows\system32\Tasks\viklu','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\26639151','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Shell','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2ff866f6e2a3403b95ab885093885cdf79d84ea9775e','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 3).
 
+
приложите логи Farbar Recovery Scan Tool

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты

делаю все по методике. после первого скрипта перегружается. потом второй запусксаю - пишет "скрипт выполнен без ошибок", но никакого архива Quarantine.zip в папке нет


есть папка  Quarantine и в ней еще одна с датой, а в той несколько файлов с расширением .ini


хотя после первого скрипта были красные записи о предстоящем удалении каких-то файлов после перезагрузки


этих файлов не нашел на винте

 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\system32\Tasks\jj','32');
 DeleteFile('C:\Windows\system32\Tasks\vikl','32');
 DeleteFile('C:\Windows\system32\Tasks\viklu','32');


8 файлов .ini

вот что внутри последнего

 

[infectedFile]
Src=\??\C:\Users\sneipas\AppData\Local\Temp\26638917FdOh
Infected=bcqr00008.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034
Ссылка на комментарий
Поделиться на другие сайты

еще раз запустил AutoLogger [regist & Drongo] 3.03.2015

 

он не создал архив. странно. и комп все время что-то перелопачивает. 

винт гудит не останавливаясь


не проводится поиск маскировки процессов (пункт. 1.4) - драйвер не загружен.

второй раз комп перегружается и снова запускается одно и тоже.

это нормально?

Ссылка на комментарий
Поделиться на другие сайты

выполните такой скрипт для создания карантина.

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

 


Сделайте новые логи по правилам (только пункт 3).   + приложите логи Farbar Recovery Scan Tool http://forum.kaspers...611?do=findComment&comment=647696
Ссылка на комментарий
Поделиться на другие сайты

еще раз запустил AutoLogger [regist & Drongo] 3.03.2015  - архив лгов создался
скинул его  на портал Kaspersky Virus Desk.
 



выполните такой скрипт для создания карантина.

 
выполнил, архив внутри пустой
 

Сделайте новые логи по правилам (только пункт 3).   + приложите логи Farbar Recovery Scan Tool

 
сделал.
сюда кинуть не могу, пропало вложение файлов к сообщениям (((

нашел. прикрепляю

комп молотит не переставая. красный светодиод винта мигает круглые сутки

 

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте карантин на форум. Файл удалён.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

 

 


нашел. прикрепляю

не карантин, а логи автологгера.
 

\\

что в этих файлах?

2015-03-05 21:26 - 2015-03-05 21:26 - 01831041 _____ () C:\Users\Userfiles.rar
2015-03-05 21:08 - 2015-03-05 21:08 - 01827326 _____ () C:\Users\Users.rar
2015-03-05 20:49 - 2015-03-05 20:50 - 02652001 _____ () C:\Users\Cryakl.rar
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

HKU\S-1-5-21-3081095649-4093069345-1553879287-1000\...\Winlogon: [Shell] 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 - (No Name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} -  No File
BHO: Megaupload Toolbar -> {A057A204-BACC-4D26-C39E-35F1D2A32EC8} ->  No File
Toolbar: HKLM - Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} -  No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 -> Megaupload Toolbar
Toolbar: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 -> Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} -  No File
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
Gyazo-2.3.0.exe
2015-03-05 19:43 - 2015-03-05 19:43 - 00000000 ____D () C:\Users\sneipas\AppData\Roaming\Gyazo
2015-03-05 19:42 - 2015-03-05 20:44 - 00000000 ____D () C:\Program Files\Gyazo
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\Users\Public\Desktop\Gyazo.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\Users\Public\Desktop\Gyazo GIF.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\ProgramData\Desktop\Gyazo.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\ProgramData\Desktop\Gyazo GIF.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gyazo
2015-03-05 19:41 - 2015-03-05 19:42 - 09698760 _____ (Nota Inc. ) C:\Users\sneipas\Downloads\Gyazo-2.3.0.exe
HKU\S-1-5-21-3081095649-4093069345-1553879287-1000\...\Run: [Gyazo] => C:\Program Files\Gyazo\GyStation.exe [3095840 2014-10-27] (Nota Inc.)
Task: {68896F2C-FFB8-436E-9280-85F73348DDF7} - \viklu No Task File <==== ATTENTION
Task: {8D7E7A36-E760-44A4-A8C8-96DBACF8A5AB} - \jj No Task File <==== ATTENTION
Task: {F09D320A-2FB3-4467-A926-8FC031F004F5} - \vikl No Task File <==== ATTENTION
Task: {F8EB512E-BDF4-41BC-9FDA-A468FC5839AA} - \At1 No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:0C1EFF69
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

что в этих файлах?

2015-03-05 21:26 - 2015-03-05 21:26 - 01831041 _____ () C:\Users\Userfiles.rar

2015-03-05 21:08 - 2015-03-05 21:08 - 01827326 _____ () C:\Users\Users.rar

2015-03-05 20:49 - 2015-03-05 20:50 - 02652001 _____ () C:\Users\Cryakl.rar

 

 
 
это запаролленные архивы
два архива зашифрованных файлов- 6 расширений и один архив того самого вируса.
я вам их отсылал.
 
сейчас на компе работает какая-то прога - "randoms system informations toola - rabdom/random"
не знаю откуда появилась

 "random's system information tool - random/random"

 
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

 

 

 

 

не видит fixlist.txt  - хотя они в одной папке на рабочем столе размещены. странно

упс, пробел в имени в начале оказался 

прикрепляю фикслог.

 

Спасибо!

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Shell','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\26639151','command');
DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
DeleteFile('C:\Windows\system32\Tasks\At1','32');
DeleteFile('C:\Windows\Tasks\At1.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...