Перейти к содержанию
Конкурс на лучшую идею по развитию продукта Kaspersky для Android и/или iOS

вирус - шифровальшик 2 .vault

jimearthworm
 Share

Рекомендуемые сообщения

jimearthworm Новичок

jimearthworm

Опубликовано
Опубликовано

Помогите расшифровать 2й комп.

 

Прогнал autologgerom, логи во вложении.

Прогнал AdwCleaner, логи во вложении.

Прогнал Farbar Recovery Scan Tool.

AdwCleanerR0.txt

CollectionLog-2015.03.30-14.54.zip

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Irina\AppData\Roaming\sweet-page\UninstallManager.exe','');
SetServiceStart('IePluginServices', 4);
DeleteService('IePluginServices');
TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');
DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
DeleteFile('C:\Users\Irina\AppData\Roaming\sweet-page\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{C8F8117F-7E8C-42D2-A3BF-D33F6B1E9DF9}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для со-глашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запуще-на программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, при-крепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKU\S-1-5-21-4224973103-1474849671-3368138367-1000\...\Run: [AdobeBridge] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1408675975&from=cor&uid=ST3500320AS_9QM0ENZBXXXX9QM0ENZB&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1408675975&from=cor&uid=ST3500320AS_9QM0ENZBXXXX9QM0ENZB&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1408675975&from=cor&uid=ST3500320AS_9QM0ENZBXXXX9QM0ENZB&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1408675975&from=cor&uid=ST3500320AS_9QM0ENZBXXXX9QM0ENZB&q={searchTerms}
HKU\S-1-5-21-4224973103-1474849671-3368138367-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-4224973103-1474849671-3368138367-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
CHR HKLM-x32\...\Chrome\Extension: [mofegfedamndhcgbkpdjiohddkjgbnhd] - C:\Users\Irina\AppData\Local\Temp\mofegfedamndhcgbkpdjiohddkjgbnhd.crx [Not Found]
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Синтезит
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Синтезит
      Здравствуйте, помогите пожалуйста расшифровать.
      Ссылка на зашифрованные файлы от платформы 1с
      https://dropmefiles.com/8aGW7 пароль 0uJxTd
       
      Чистые файлы из архива Windows
      https://dropmefiles.com/PzSaC пароль ecUlCq
      Addition.txt FRST.txt
    • RusLine
      Помогите нарвался на шифровальшика.
      От RusLine
      Здравствуйте помогите чем сможете. Скачал с nnmclub total commander попользовался а утром зашифровало все фото файлы важные. Подскажите что делать ?
        



    • Obivan
      [РЕШЕНО] Вирус или скрипт.
      От Obivan
      Есть несколько проблем которые я заметил в работе своего компа после того как на новогодних каникулах в него поиграли детишки. В браузере хром невозможно ничего скачать, всегда обнаружен вирус, даже там где его не может быть. Заблочились обновления виндовс. Винда 11 про 22н2. Все, что на форумах обычно пишут сделать- делал, ничего не помогло. Антивирус стоит Касперский эндпоинт секурити. Сканировал куреит, авз, малвар и пр, что-то там нашлось, удалилось и вылечилось, но эффекта не дало. Кто знает, что делать? Давайте разбираться!
      CollectionLog-2025.01.16-19.59.zip
    • TloBeJluTeJlb
      Вирус John
      От TloBeJluTeJlb
      Здравствуйте, перед обращением прошерстил темы похожих проблем, но не нашёл своей. John каким-то совершенно непостижимым образом почти не влиял на работоспособность системы, а заметил я его исключительно из-за пропажи доступа к файлам Касперского, который полностью перестал запускаться. 

      Побился об ближайшую стену, подумал, прошёлся KVRT, которым ничего не нашло, подумал ещё немного, включил AV_block_remover. Он нашёл, сделал своё дело, но доступ к папке антивируса я всё ещё не получил :D! FRST, от нечего делать, тоже был задействован, но немного опосля. Короче говоря, я, даже после удаления злополучного майнера из системы, не могу получить доступ к своим же файлам.



       

      FRST.txt Fixlog.txt Addition.txt AV_block_remove_2025.01.20-07.45.log
    • jiil
      [РЕШЕНО] Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

×
×
  • Создать...