Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Важные файлы зашифрованны

Радий Логачёв

Автор Радий Логачёв
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Радий Логачёв Новичок

Радий Логачёв

Опубликовано
Опубликовано (изменено)

Здравствуйте, поймал вирус, зашифровались все файлы! на рабочем столе поставилась заставка "Внимание! Все важные файлы на всех дисках были зашифрованы. Подробности вы можете прочитать в файлах readme.txt, которые можно найти на дисках."

CollectionLog-2015.07.09-00.38.zip

Изменено пользователем Радий Логачёв
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebhelper.exe');
 TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebapp.exe');
 TerminateProcessByName('c:\program files (x86)\24seven savings\24seven_savings_notification_service.exe');
 TerminateProcessByName('c:\program files (x86)\cinemaplus-3.2cv21.04\936023c0-5f54-4371-97a0-5398219cf5ab-10.exe');
 TerminateProcessByName('c:\program files (x86)\cinemaplus-3.2cv21.04\936023c0-5f54-4371-97a0-5398219cf5ab-1-6.exe');
 SetServiceStart('TS888x64', 4);
 SetServiceStart('SPDRIVER_1.42.0.1779', 4);
 SetServiceStart('QMUdisk', 4);
 StopService('AdBlockerService');
 QuarantineFile('c:\program files (x86)\kingsoft\kingsoft antivirus\uni0nst.exe','');
 QuarantineFile('C:\Users\user\AppData\Roaming\luckysearches\*','');
 QuarantineFile('C:\PROGRA~2\YOUTUB~1*','');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\*','');
 QuarantineFile('C:\Program Files (x86)\SensePlus\*','');
 QuarantineFile('C:\Program Files (x86)\iWebar\*','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\*','');
 QuarantineFile('C:\Program Files (x86)\24Seven savings\*','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files (x86)\AdBlocker\*','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Smb_driver_Intel.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\innfd_1_10_0_13.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TS888x64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','');
 QuarantineFile('C:\WINDOWS\system32\CCL.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\SmartWeb\*','');
 QuarantineFile('c:\program files (x86)\cinemaplus-3.2cv21.04\*','');
 DeleteFileMask('c:\program files (x86)\cinemaplus-3.2cv21.04\','*', true, '');
 DeleteDirectory('c:\program files (x86)\cinemaplus-3.2cv21.04\ ',' ');
 DeleteFileMask('C:\Program Files (x86)\Tencent\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\Tencent\ ',' ');
 DeleteFileMask('C:\Program Files (x86)\ShopperPro\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\ShopperPro\ ',' ');
 DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.resworb.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\WINDOWS\Tasks\24seven_savings_notification_service.job','64');
 DeleteFileMask('C:\Program Files (x86)\24Seven savings\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\24Seven savings\ ',' ');
 DeleteFile('C:\WINDOWS\Tasks\24seven_savings_updating_service.job','64');
 DeleteFile('C:\WINDOWS\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-10_user.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
 DeleteFileMask('C:\Program Files (x86)\AnyProtectEx\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\AnyProtectEx\ ',' ');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-7.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5_user.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-7.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5_user.job','64');
 DeleteFileMask('C:\Program Files (x86)\iWebar\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\iWebar\ ',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\24seven_savings_notification_service','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\24seven_savings_updating_service','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-10_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5_user','64');
 DeleteFileMask('C:\Program Files (x86)\SensePlus\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\SensePlus\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\ShopperPro','64');
 DeleteFileMask('C:\Program Files (x86)\ShopperPro\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\ShopperPro\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\ShopperProJSUpd','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\YTAUpdate','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\YTAUpdate_logon','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SPDriver','64');
 DeleteFileMask('C:\PROGRA~2\YOUTUB~1\','*', true, '');
 DeleteDirectory('C:\PROGRA~2\YOUTUB~1\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\{17BF5D82-C054-48AD-83C6-A098FA086CA2}','64');
 DeleteFileMask('C:\Users\user\AppData\Roaming\luckysearches\','*', true, '');
 DeleteDirectory('C:\Users\user\AppData\Roaming\luckysearches\ ',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\{E3536241-02A2-4379-B32D-B2A5ED23FF8C}','64');
 DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\uni0nst.exe','32');
 DeleteFileMask('c:\program files (x86)\adblocker\','*', true, '');
 DeleteDirectory('c:\program files (x86)\adblocker\ ',' ');
 DeleteFileMask('C:\Users\user\appdata\local\smartweb\','*', true, '');
 DeleteDirectory('C:\Users\user\appdata\local\smartweb\ ',' ');
 DeleteFile('C:\WINDOWS\system32\ccl.dll','32');
 DelBHO('0633EE93-D776-472f-A0FF-E1416B8B2E3D');
 DelBHO('FCE3FA8B-BA81-467C-81D8-E43C00D1BC71');
 DelCLSID('754DF2CE-51E8-4895-B53C-6381418B84AE');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
 DeleteService('TS888x64');
 DeleteService('SPDRIVER_1.42.0.1779');
 DeleteService('QMUdisk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: YTAHelperBHO - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - (no file)
O4 - HKLM\..\Run: [SmartWeb] C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe
O4 - Startup: SmartWeb.lnk = C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
 
 
Сделайте новые логи по правилам (только пункт 2).

+ логи MBAM и ADwCleaner

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Что важно знать о CVSS для эффективной защиты своих ИТ-активов
      Автор KL FC Bot
      В этом году исполнилось 20 лет системе CVSS — Common Vulnerability Scoring System, ставшей общепризнанным стандартом описания уязвимостей. Несмотря на десятилетия использования и четыре поколения стандарта (на сегодня внедрена версия 4.0), рейтингом CVSS продолжают пользоваться неправильно, а вокруг самой системы порой бушуют серьезные споры. Что важно знать о CVSS для эффективной защиты своих ИТ-активов?
      База CVSS
      Как пишут в документации CVSS разработчики системы, CVSS — инструмент описания характеристик и серьезности уязвимостей в программном обеспечении. CVSS поддерживается форумом специалистов по ИБ и реагированию на инциденты (FIRST) и была создана для того, чтобы эксперты говорили об уязвимостях на одном языке, а данные о программных дефектах было легче обрабатывать автоматически. Практически каждая уязвимость, опубликованная в реестрах уязвимостей (CVE, БДУ, EUVD, CNNVD), содержит оценку серьезности по шкале CVSS.
      Эта оценка состоит из двух основных компонентов:
      числовой рейтинг (CVSS score), отражающий серьезность уязвимости по шкале от 0 до 10, где 10 — максимально опасная, критическая уязвимость; вектор — стандартизованная текстовая строка, описывающая основные характеристики уязвимости: можно ли ее эксплуатировать по сети или только локально, нужны ли для этого повышенные привилегии, насколько сложно эксплуатировать уязвимость, на какие характеристики уязвимой системы влияет эксплуатация уязвимости (доступность, целостность конфиденциальность) и так далее. Вот как выглядит в этой нотации опасная и активно эксплуатировавшаяся уязвимость CVE-2021-44228 (Log4Shell):
      Base score 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
       
      View the full article
    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
    • Serhio0606
      Проверка файла
      Автор Serhio0606
      Здравствуйте, хотел скачать игру, но «Касперский» посчитал, что в файле-установщике есть вирус ( UDS:DangerousObject.Multi.Generic ). Я почитал про это в интернете и узнал, что он не всегда бывает вирусом, и чтобы проверить, можно отправить файл на форум, где специалисты вручную проверят его на наличие вирусов. Помогите, пожалуйста!
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
       
      Строгое предупреждение от модератора Mark D. Pearlstone На форуме запрещено размещать вредоносные и потенциально вредоносные файлы и ссылки на них.
       
    • Sgorick
      Переписанные файлы
      Автор Sgorick
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv я с помощью роликов переделал. bits существует в двух экземплярах, один из которых был bkp, но потом стал обычным.
      FRST.txt Addition.txt CollectionLog-2025.06.07-20.41.zip
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
×
×
  • Создать...