mspuz Опубликовано 12 июля, 2015 Опубликовано 12 июля, 2015 (изменено) Добрый день. Принесли ноутбук, на котором зашифрованы файлы (в основном изображения и документы). Что я сделал: 1. Очистил от всех временных файлов. 2. Почистил автозагрузку, службы, планировщик. 3. Прошелся CureIt 4. Собрал логи. На данный момент подозрительной активности не заметно, но основная проблема - попытаться расшифровать файлы, возможно ли это? Спасибо. В файлах Readme написана вот такая инфа: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 406D46D2AAF6030133D1|272|2|15 на электронный адрес post8881@gmail.com или post24932@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. На всякий случай прилагаю логи и от FRST. CollectionLog-2015.07.12-15.56.zip frst.rar Изменено 12 июля, 2015 пользователем mspuz
thyrex Опубликовано 12 июля, 2015 Опубликовано 12 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\User\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Windows\system32\drivers\wfd_1_10_0_19.sys',''); DeleteService('wfd_1_10_0_19'); DeleteFile('C:\Windows\system32\drivers\wfd_1_10_0_19.sys','32'); DeleteFile('C:\Users\User\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Windows\Tasks\At1.job','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи
mspuz Опубликовано 12 июля, 2015 Автор Опубликовано 12 июля, 2015 @thyrex, Выполнил скрипт, после перезагрузки выполнил скрипт формирования quarantine.zip. В результате получил пустой архив. После этого проделал манипуляции с ClearLNK. Снова выполнил сбор логов. CollectionLog-2015.07.12-21.51.zip ClearLNK-12.07.2015_21-34.log
mspuz Опубликовано 13 июля, 2015 Автор Опубликовано 13 июля, 2015 Вот, сделал новые логи. И хотел уточнить, а все эти логи помогут в расшифровке или даже не надеяться? Спасибо. frst.zip
thyrex Опубликовано 13 июля, 2015 Опубликовано 13 июля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1435847505&z=eccda5f0ba2e53ff956c48egdz2c3webdw1geg4ebo&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1435847505&z=eccda5f0ba2e53ff956c48egdz2c3webdw1geg4ebo&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1435847505&z=eccda5f0ba2e53ff956c48egdz2c3webdw1geg4ebo&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1435847505&z=eccda5f0ba2e53ff956c48egdz2c3webdw1geg4ebo&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms} HKU\S-1-5-21-28039425-2071745047-2723515337-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1435847563&z=0e64b8615d5cd734676b4d0g8z2cdw1bbw7g4g0q5e&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms} SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> AB96EF7121787A06494539E673223D6B URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {2B4A686F-1C15-42C6-B95A-32FF992E0B5C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {8D7BCC95-4B3A-4597-B533-7B32EBE22488} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {9AA004CF-1E45-457A-BC7D-C50740405F16} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms} BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9e9a25261139f17be728e297ec511577&text= <==== ATTENTION Tcpip\..\Interfaces\{33ED3E17-98FC-4BBC-8165-8B3D3C453984}: [NameServer] 37.10.116.203,8.8.8.8 FF Extension: Универсальный перевод для FireFox - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3jovdkb7.default\Extensions\translator@zoli.bod [2015-07-02] 2015-07-08 15:58 - 2015-07-08 15:58 - 04320054 _____ C:\Users\User\AppData\Roaming\706AF632706AF632.bmp 2015-07-05 11:22 - 2015-07-05 11:22 - 00000175 _____ C:\Users\User\Desktop\Искать в Интернете.url 2015-07-05 11:22 - 2015-07-05 11:22 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт 2015-07-05 11:37 - 2015-07-05 11:37 - 00000000 ____D C:\Users\User\AppData\Roaming\TSearch 2015-07-05 11:23 - 2015-07-05 11:28 - 00000000 ____D C:\Users\User\AppData\Roaming\Obnovi Soft 2015-07-02 13:42 - 2015-07-12 15:32 - 00000000 ____D C:\Users\User\AppData\Local\ExtensionInstaller_14 2015-07-02 13:42 - 2015-07-10 01:28 - 00000000 ____D C:\Users\User\AppData\Roaming\ASPackage 2015-07-02 13:42 - 2009-06-11 01:00 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak 2015-07-02 13:41 - 2015-07-12 15:32 - 00000000 ____D C:\Users\User\AppData\Roaming\eTranslator C:\ProgramData\help.bat C:\Users\Все пользователи\help.bat Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти