Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус-шифратор

benjoy
 Поделиться

Рекомендуемые сообщения

benjoy Новичок

benjoy

Опубликовано
Опубликовано

Привет всем!

 

Собственно говоря вот проблема

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
85A9337EEF31914401B2|0
на электронный адрес decode0987@gmail.com или decode098@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

CollectionLog-2015.06.17-21.50.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Карина\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\Карина\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Карина\AppData\Roaming\Browsers\exe.emorhc.bat','');
DeleteFile('C:\Users\Карина\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Карина\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Карина\AppData\Roaming\Browsers\exe.resworb.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
benjoy Новичок

benjoy

Опубликовано
  • Автор
Опубликовано (изменено)

KLAN-2879295200

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

exe.emorhc.bat,
exe.erolpxei.bat,
exe.resworb.bat

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

ClearLNK-17.06.2015_23-27.log

Addition.txt

FRST.txt

Изменено пользователем benjoy
Ссылка на комментарий
Поделиться на другие сайты
benjoy Новичок

benjoy

Опубликовано
  • Автор
Опубликовано

логи по правилам, что это значит,может я чего-то не понимаю? я после проверки, сделал еще раз логи по скрипту, что Вы присылали, но архив не появился.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
2015-06-05 21:16 - 2015-06-05 21:16 - 06220854 _____ C:\Users\Карина\AppData\Roaming\A7628396A7628396.bmp
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README9.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README8.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README7.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README6.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README5.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README4.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README3.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README2.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README10.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README1.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README9.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README8.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README7.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README6.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README5.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README4.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README3.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README2.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README10.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README1.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README9.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README8.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README7.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README6.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README5.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README4.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README3.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README2.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README10.txt
2015-06-05 14:00 - 2015-06-07 16:55 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-05 14:00 - 2015-06-07 16:55 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Карина\AppData\Roaming\Browsers
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
С расшифровкой не поможем.

 

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...