Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус-зашифровщик

Виталий1515
 Поделиться

Рекомендуемые сообщения

Виталий1515 Новичок

Виталий1515

Опубликовано
Опубликовано

Вирус превратил все файлы на ПК в .txt  .CAB  .XTBL.

Делал восстановление системы(не помогло)

На другом форуме читал как решить проблему(не помогло)

Очень надеюсь на вашу помощь

 

 

 

 

 

P.s.Win7 64bit, за доп. информацией [почта удалена]

CollectionLog-2015.03.20-19.31.zip

README1.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\NetCrawl\NetCrawlbho.dll','');
QuarantineFile('C:\Users\дядя\appdata\local\pirritsuggestor\regfltrx86.sys','');
QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\launcher.exe','');
QuarantineFile('C:\Users\дядя\AppData\Roaming\newSI_2149\s_inst.exe','');
QuarantineFile('C:\Users\35D8~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files (x86)\click-n-mark\clandm.exe','');
QuarantineFile('C:\Program Files (x86)\click-n-mark\ClickAndMark_wd.exe','');
QuarantineFile('C:\Users\дядя\AppData\Local\storegid\storegid.exe','');
QuarantineFile('C:\Users\дядя\AppData\Local\safebrowser.bat','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll','');
QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll','');
QuarantineFile('C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe','');
QuarantineFile('C:\Program Files (x86)\Media Saver\Basement\ExtensionUpdaterService.exe','');
QuarantineFile('C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe','');
DeleteService('Util Mega Browse');
DeleteService('Update Mega Browse');
DeleteService('Update Service for Media Saver');
DeleteFile('C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe','32');
DeleteFile('C:\Program Files (x86)\Media Saver\Basement\ExtensionUpdaterService.exe','32');
DeleteFile('C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe','32');
DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll','32');
DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Program Files (x86)\baidu\baidu.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
DeleteFile('C:\Users\дядя\AppData\Local\safebrowser.bat','32');
DeleteFile('C:\Users\дядя\AppData\Local\storegid\storegid.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegidUpdater');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegid');
DeleteFile('C:\Program Files (x86)\click-n-mark\ClickAndMark_wd.exe','32');
DeleteFile('C:\Program Files (x86)\click-n-mark\clandm.exe','32');
DeleteFile('C:\Windows\Tasks\ClickAndMark Update.job','64');
DeleteFile('C:\Windows\Tasks\ClickAndMark_wd.job','64');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Users\35D8~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\дядя\AppData\Roaming\newSI_2149\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_2149.job','64');
DeleteFile('C:\Windows\system32\Tasks\ClickAndMark Update','64');
DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64');
DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\launcher.exe','32');
DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_2149','64');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
DeleteFile('C:\Users\дядя\appdata\local\pirritsuggestor\regfltrx86.sys','32');
DeleteFile('C:\Program Files (x86)\NetCrawl\NetCrawlbho.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kazakova
      вирус banta
      Автор kazakova
      Добрый день! Подверглись вирусной атаке, все необходимые файлы приложила, пароль на архив 123. Есть ли возможность восстановить файлы?
       
       
       
       
      логи.rarфайлы_зашифрованные.rarфайлы_шифровальщика.rar
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
×
×
  • Создать...