Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Помогите пожалуйста расшифровать

alina11
 Поделиться

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



QuarantineFile('C:\Users\шеф\appdata\roaming\digitalsites\updateproc\updatetask.exe','');

 QuarantineFile('C:\Users\шеф\AppData\Local\PriceMeter\pricemeterd.exe','');

 QuarantineFile('C:\Users\0141~1\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE','');

 QuarantineFile('C:\Users\0141~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');

 QuarantineFile('C:\Users\0141~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','');

 QuarantineFile('C:\Windows\system32\drivers\yfnqneut.sys','');

 QuarantineFile('C:\Windows\system32\drivers\yfdjgzsc.sys','');

 QuarantineFile('C:\Windows\system32\drivers\vaibmmac.sys','');

 QuarantineFile('C:\Windows\system32\drivers\sxdlyhbi.sys','');

 QuarantineFile('C:\Windows\system32\drivers\rwqjcuhd.sys','');

 QuarantineFile('C:\Windows\system32\drivers\nrggilcm.sys','');

 QuarantineFile('C:\Windows\system32\drivers\ljrqydns.sys','');

 DeleteService('yfnqneut');

 DeleteService('yfdjgzsc');

 DeleteService('vaibmmac');

 DeleteService('sxdlyhbi');

 DeleteService('rwqjcuhd');

 DeleteService('nrggilcm');

 DeleteService('ljrqydns');

 QuarantineFile('C:\Windows\system32\drivers\bqujhfhr.sys','');

 DeleteService('bqujhfhr');

 QuarantineFile('C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe','');

 DeleteService('pricemeterliveUpdatem');

 DeleteService('pricemeterliveUpdate');

 TerminateProcessByName('c:\program files\pricemeterliveupdate\update\pricemeterliveupdate.exe');

 QuarantineFile('c:\program files\pricemeterliveupdate\update\pricemeterliveupdate.exe','');

 DeleteFile('c:\program files\pricemeterliveupdate\update\pricemeterliveupdate.exe','32');

 DeleteFile('C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe','32');

 DeleteFile('C:\Windows\system32\drivers\bqujhfhr.sys','32');

 DeleteFile('C:\Windows\system32\drivers\ljrqydns.sys','32');

 DeleteFile('C:\Windows\system32\drivers\nrggilcm.sys','32');

 DeleteFile('C:\Windows\system32\drivers\rwqjcuhd.sys','32');

 DeleteFile('C:\Windows\system32\drivers\sxdlyhbi.sys','32');

 DeleteFile('C:\Windows\system32\drivers\vaibmmac.sys','32');

 DeleteFile('C:\Windows\system32\drivers\yfdjgzsc.sys','32');

 DeleteFile('C:\Windows\system32\drivers\yfnqneut.sys','32');

 DeleteFile('C:\Users\0141~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','32');

 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');

 DeleteFile('C:\Users\0141~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');

 DeleteFile('C:\Windows\Tasks\DigitalSite.job','32');

 DeleteFile('C:\Users\0141~1\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE','32');

 DeleteFile('C:\Windows\Tasks\Price Meter Updater.job','32');

 DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job','32');

 DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job','32');

 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');

 DeleteFile('C:\Windows\system32\Tasks\DigitalSite','32');

 DeleteFile('C:\Windows\system32\Tasks\PC SpeedUp Service Deactivator','32');

 DeleteFile('C:\Windows\system32\Tasks\Price Meter Updater','32');

 DeleteFile('C:\Windows\system32\Tasks\pricemeterdownloader','32');

 DeleteFile('C:\Users\шеф\AppData\Local\PriceMeter\pricemeterd.exe','32');

 DeleteFile('C:\Windows\system32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore','32');

 DeleteFile('C:\Windows\system32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA','32');

 DeleteFile('C:\Users\шеф\appdata\roaming\digitalsites\updateproc\updatetask.exe','32');



 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.
Компьютер перезагрузится.

 


Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)


 

Сделайте новые логи по правилам
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kashey
      Поймал шифровальщик LoKi Locker помогите пожалуйста
      Автор Kashey
      Добрый день только поставил чистый сервер 2012 r2, и в течении полу дня поймали шифровальщика, "Loki Locker", по неопытности просканил KRD и удалил все намеки на вирус, но проблема соответственно не решилась, переустановил ОС и опять ничего ))) Как бы и было это и было ясно с самого начало, но попытка не пытка ))) На других локальных дисках была очень важная информация.
      Помогите пожалуйста.
      ОС Переустанавливал
      Зашифрованные файлы.7z Far Bar result files.7z Файл с требованиями.7z
    • Gardens
      Помогите расшифровать файлы [darkmask@mailfence.com][auto].[D480B2A9-D7B702E4]
      Автор Gardens
      Добрый день.
      Несколько лет назад на один из пользовательских ПК попал шифровальщик,  а так как с него был выход на сетевое хранилище, в котором некоторые папки не были защищены паролем, шифратор проник и туда.
      Обращались по этому вопросу ранее, но не было дешифратора.
      Может быть теперь уже имеется возможность расшифровать? 
      GE_key-card_maket.ai[ darkmask@mailfence.com].rar
    • Эльнар
      [РЕШЕНО] Помогите пожалуйста удалить вирус
      Автор Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • besdelnick
      Добрый день. Поймали шифровальщика по RDP. Помогите пожалуйста
      Автор besdelnick
      MS_AgentSigningCertificate.cer.rar
    • Orbeatt
      Прошу помочь расшифровать. Есть Исходник и расшифрованный вариант от злоумышленника.
      Автор Orbeatt
      В архиве 2 файла упакованные шифровальщиком и они же расшифрованные злоумышленником. Прошу помочь со средством для расшифровки остальных файлов
      files2.rar
       
×
×
  • Создать...