Перейти к содержанию
Конкурс на лучшую идею по развитию продукта Kaspersky для Android и/или iOS

Зашифрованные файлы вирус от 10.2014

мфв
 Share

Рекомендуемые сообщения

мфв Новичок

мфв

Опубликовано
Опубликовано

все файлы имеют вид

Сан-эпид..doc.id-{RLXLYKVHSFPBMYLVHSDPAMXJTFPBMXHUFQAM-08.10.2014 14@19@289182866}-email-mserbinov@onionmail.in-ver-4.0.0.0.cbf

 

действовал по инструкции

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

в итоге нашел шифровщик и 6 папок с логами, расшифровать файлы тремя утилитами не получилось  RannohDecryptor.exe XoristDecryptor RectorDecryptor

 

запустил AutoLogger [regist & Drongo] 3.03.2015

 

 

выкладываю результат

 

заранее благодарю за помощь

 

 

CollectionLog-2015.03.10-19.23.zip

report2.log

report1.log

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\PROGRA~1\WEBMAS~1\INSTALL.LOG','');
 QuarantineFile('C:\PROGRA~1\WEBMAS~1\UNWISE.EXE','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\system32\Tasks\jj','32');
 DeleteFile('C:\Windows\system32\Tasks\vikl','32');
 DeleteFile('C:\Windows\system32\Tasks\viklu','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\26639151','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Shell','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2ff866f6e2a3403b95ab885093885cdf79d84ea9775e','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 3).
 
+
приложите логи Farbar Recovery Scan Tool

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты
мфв Новичок

мфв

Опубликовано
  • Автор
Опубликовано

делаю все по методике. после первого скрипта перегружается. потом второй запусксаю - пишет "скрипт выполнен без ошибок", но никакого архива Quarantine.zip в папке нет


есть папка  Quarantine и в ней еще одна с датой, а в той несколько файлов с расширением .ini


хотя после первого скрипта были красные записи о предстоящем удалении каких-то файлов после перезагрузки


этих файлов не нашел на винте

 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\system32\Tasks\jj','32');
 DeleteFile('C:\Windows\system32\Tasks\vikl','32');
 DeleteFile('C:\Windows\system32\Tasks\viklu','32');


8 файлов .ini

вот что внутри последнего

 

[infectedFile]
Src=\??\C:\Users\sneipas\AppData\Local\Temp\26638917FdOh
Infected=bcqr00008.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034
Ссылка на комментарий
Поделиться на другие сайты
мфв Новичок

мфв

Опубликовано
  • Автор
Опубликовано

еще раз запустил AutoLogger [regist & Drongo] 3.03.2015

 

он не создал архив. странно. и комп все время что-то перелопачивает. 

винт гудит не останавливаясь


не проводится поиск маскировки процессов (пункт. 1.4) - драйвер не загружен.

второй раз комп перегружается и снова запускается одно и тоже.

это нормально?

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

выполните такой скрипт для создания карантина.

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

 


Сделайте новые логи по правилам (только пункт 3).   + приложите логи Farbar Recovery Scan Tool http://forum.kaspers...611?do=findComment&comment=647696
Ссылка на комментарий
Поделиться на другие сайты
мфв Новичок

мфв

Опубликовано
  • Автор
Опубликовано

еще раз запустил AutoLogger [regist & Drongo] 3.03.2015  - архив лгов создался
скинул его  на портал Kaspersky Virus Desk.
 



выполните такой скрипт для создания карантина.

 
выполнил, архив внутри пустой
 

Сделайте новые логи по правилам (только пункт 3).   + приложите логи Farbar Recovery Scan Tool

 
сделал.
сюда кинуть не могу, пропало вложение файлов к сообщениям (((

нашел. прикрепляю

комп молотит не переставая. красный светодиод винта мигает круглые сутки

 

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте карантин на форум. Файл удалён.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


нашел. прикрепляю

не карантин, а логи автологгера.
 

\\

что в этих файлах?

2015-03-05 21:26 - 2015-03-05 21:26 - 01831041 _____ () C:\Users\Userfiles.rar
2015-03-05 21:08 - 2015-03-05 21:08 - 01827326 _____ () C:\Users\Users.rar
2015-03-05 20:49 - 2015-03-05 20:50 - 02652001 _____ () C:\Users\Cryakl.rar
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

HKU\S-1-5-21-3081095649-4093069345-1553879287-1000\...\Winlogon: [Shell] 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 - (No Name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} -  No File
BHO: Megaupload Toolbar -> {A057A204-BACC-4D26-C39E-35F1D2A32EC8} ->  No File
Toolbar: HKLM - Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} -  No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 -> Megaupload Toolbar
Toolbar: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 -> Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} -  No File
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
Gyazo-2.3.0.exe
2015-03-05 19:43 - 2015-03-05 19:43 - 00000000 ____D () C:\Users\sneipas\AppData\Roaming\Gyazo
2015-03-05 19:42 - 2015-03-05 20:44 - 00000000 ____D () C:\Program Files\Gyazo
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\Users\Public\Desktop\Gyazo.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\Users\Public\Desktop\Gyazo GIF.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\ProgramData\Desktop\Gyazo.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\ProgramData\Desktop\Gyazo GIF.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gyazo
2015-03-05 19:41 - 2015-03-05 19:42 - 09698760 _____ (Nota Inc. ) C:\Users\sneipas\Downloads\Gyazo-2.3.0.exe
HKU\S-1-5-21-3081095649-4093069345-1553879287-1000\...\Run: [Gyazo] => C:\Program Files\Gyazo\GyStation.exe [3095840 2014-10-27] (Nota Inc.)
Task: {68896F2C-FFB8-436E-9280-85F73348DDF7} - \viklu No Task File <==== ATTENTION
Task: {8D7E7A36-E760-44A4-A8C8-96DBACF8A5AB} - \jj No Task File <==== ATTENTION
Task: {F09D320A-2FB3-4467-A926-8FC031F004F5} - \vikl No Task File <==== ATTENTION
Task: {F8EB512E-BDF4-41BC-9FDA-A468FC5839AA} - \At1 No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:0C1EFF69
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
мфв Новичок

мфв

Опубликовано
  • Автор
Опубликовано

что в этих файлах?

2015-03-05 21:26 - 2015-03-05 21:26 - 01831041 _____ () C:\Users\Userfiles.rar

2015-03-05 21:08 - 2015-03-05 21:08 - 01827326 _____ () C:\Users\Users.rar

2015-03-05 20:49 - 2015-03-05 20:50 - 02652001 _____ () C:\Users\Cryakl.rar

 

 
 
это запаролленные архивы
два архива зашифрованных файлов- 6 расширений и один архив того самого вируса.
я вам их отсылал.
 
сейчас на компе работает какая-то прога - "randoms system informations toola - rabdom/random"
не знаю откуда появилась

 "random's system information tool - random/random"

 
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

 

 

 

 

не видит fixlist.txt  - хотя они в одной папке на рабочем столе размещены. странно

упс, пробел в имени в начале оказался 

прикрепляю фикслог.

 

Спасибо!

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Shell','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\26639151','command');
DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
DeleteFile('C:\Windows\system32\Tasks\At1','32');
DeleteFile('C:\Windows\Tasks\At1.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Kemel
      Вирус зашифровал файлы с расширением .Frank
      От Kemel
      Your ID: EBF7F3B5F6C0398D
      If you want your files back, contact us at the email addresses shown below.
      Frank1850@mailum.com
      Frank1850@firemail.de
      ((*** Your ID must be included in the subject line of your email or we WILL NOT answer ***))
      This notification shows that your system has been hacked.
      Your files have not been damaged or infected by viruses; they are just locked with the Frank suffix.
      We saved your data on our servers,
      and if you don't contact us, we'll extract your sensitive information and put it on the darknet, where anybody can view it.
      We have no political goals and are not trying to harm your reputation.
      This is our business. Money and our reputation are the only things that matter to us.
      There is no software or company on the internet that can recover your locked files; we are the only ones who can help you.
      Do Not Change These Locked Files; if you want to do it anyway, make a backup of your files first.
      Frank_Help.txt Зашифрованные файлы.rar
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • Максим Ivanov
      Файлы были зашифрованы .want_to_cry
      От Максим Ivanov
      Файлы с расширением .want_to_cry. Kaspersky Small Office Security вируса не обнаружил, при этом не все файлы на диске были зашифрованы, только одна папка. Во вложении все необходимое.
      Addition.txt FRST.txt Файлы.rar
    • Azward
      Зашифровались файлы hop_dec
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
×
×
  • Создать...