Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик

tostester
 Поделиться

Рекомендуемые сообщения

tostester

tostester

Опубликовано
Опубликовано

Добрый день.

Отработал шифровальщик, файлы зашифрованы. контакт - post8881@gmail.com

Лог прилагаю.

Заранее благодарю!

 

CollectionLog-2015.08.04-16.50.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-5.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-11.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-10.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-7.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe','');
QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-5.exe','');
QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-11.exe','');
QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-10.exe','');
QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-1-7.exe','');
QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-1-6.exe','');
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','');
QuarantineFile('C:\Program Files\Alpha Shopper\alpha_shopper_helper_service.exe','');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
DelBHO('{2dd0916f-60de-4413-8198-d3c9d9b959d1}');
QuarantineFile('C:\Program Files\Browser Good\BrowserGoodbho.dll','');
SetServiceStart('{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w', 4);
DeleteService('{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w');
SetServiceStart('{b2f8ce07-8f89-4e49-8c2d-1824051845da}w', 4);
DeleteService('{b2f8ce07-8f89-4e49-8c2d-1824051845da}w');
SetServiceStart('{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w', 4);
DeleteService('{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w');
SetServiceStart('{83d61599-0efb-4f42-943e-3fde87e711f5}w', 4);
DeleteService('{83d61599-0efb-4f42-943e-3fde87e711f5}w');
SetServiceStart('{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w', 4);
DeleteService('{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w');
SetServiceStart('{62469e06-7e58-4462-b250-e2bdf049adec}w', 4);
DeleteService('{62469e06-7e58-4462-b250-e2bdf049adec}w');
SetServiceStart('{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w', 4);
DeleteService('{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w');
SetServiceStart('{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w', 4);
DeleteService('{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w');
SetServiceStart('{54742081-917b-4bcc-81f0-2e513917f7e3}w', 4);
DeleteService('{54742081-917b-4bcc-81f0-2e513917f7e3}w');
SetServiceStart('{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w', 4);
DeleteService('{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w');
SetServiceStart('{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w', 4);
DeleteService('{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w');
SetServiceStart('{1cd3f706-5219-4089-9f86-6d8cc40aacac}w', 4);
DeleteService('{1cd3f706-5219-4089-9f86-6d8cc40aacac}w');
SetServiceStart('{155269df-e342-42e1-af8a-a92196148922}w', 4);
DeleteService('{155269df-e342-42e1-af8a-a92196148922}w');
SetServiceStart('{155269df-e342-42e1-af8a-a92196148922}Gw', 4);
DeleteService('{155269df-e342-42e1-af8a-a92196148922}Gw');
SetServiceStart('innfd_1_10_0_13', 4);
DeleteService('innfd_1_10_0_13');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
SetServiceStart('Util Browser Good', 4);
DeleteService('Util Browser Good');
SetServiceStart('Update Browser Good', 4);
DeleteService('Update Browser Good');
SetServiceStart('insvc_1.10.0.13', 4);
DeleteService('insvc_1.10.0.13');
SetServiceStart('IHProtect Service', 4);
DeleteService('IHProtect Service');
SetServiceStart('BasementDuster', 4);
DeleteService('BasementDuster');
QuarantineFile('C:\Windows\system32\drivers\{c8576b75-cc46-4cd3-80ad-eb9418cd1f02}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{b2f8ce07-8f89-4e49-8c2d-1824051845da}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{83d61599-0efb-4f42-943e-3fde87e711f5}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{62469e06-7e58-4462-b250-e2bdf049adec}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{54742081-917b-4bcc-81f0-2e513917f7e3}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{1cd3f706-5219-4089-9f86-6d8cc40aacac}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{155269df-e342-42e1-af8a-a92196148922}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{155269df-e342-42e1-af8a-a92196148922}Gw.sys','');
QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_13.sys','');
QuarantineFile('C:\Users\Матвей\AppData\Local\SmartWeb\swhk.dll','');
QuarantineFile('C:\Program Files\XTab\SupTab.dll','');
QuarantineFile('C:\Program Files\IGS\BasementDusterCert.dll','');
QuarantineFile('C:\Program Files\globalUpdate\Update\1.3.25.0\goopdate.dll','');
TerminateProcessByName('c:\program files\browser good\bin\utilbrowsergood.exe');
QuarantineFile('c:\program files\browser good\bin\utilbrowsergood.exe','');
TerminateProcessByName('c:\users\Матвей\appdata\local\gmsd_ru_150\upgmsd_ru_150.exe');
QuarantineFile('c:\users\Матвей\appdata\local\gmsd_ru_150\upgmsd_ru_150.exe','');
TerminateProcessByName('c:\program files\browser good\updatebrowsergood.exe');
QuarantineFile('c:\program files\browser good\updatebrowsergood.exe','');
TerminateProcessByName('c:\users\Матвей\appdata\local\smartweb\smartwebhelper.exe');
QuarantineFile('c:\users\Матвей\appdata\local\smartweb\smartwebhelper.exe','');
TerminateProcessByName('c:\users\Матвей\appdata\local\smartweb\smartwebapp.exe');
QuarantineFile('c:\users\Матвей\appdata\local\smartweb\smartwebapp.exe','');
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
TerminateProcessByName('c:\program files\xtab\protectservice.exe');
QuarantineFile('c:\program files\xtab\protectservice.exe','');
TerminateProcessByName('c:\users\Матвей\appdata\local\kometa\kometaup.exe');
QuarantineFile('c:\users\Матвей\appdata\local\kometa\kometaup.exe','');
TerminateProcessByName('c:\program files\infonaut_1.10.0.13\service\insvc.exe');
QuarantineFile('c:\program files\infonaut_1.10.0.13\service\insvc.exe','');
TerminateProcessByName('c:\program files\gmsd_ru_180\gmsd_ru_180.exe');
QuarantineFile('c:\program files\gmsd_ru_180\gmsd_ru_180.exe','');
TerminateProcessByName('c:\program files\gmsd_ru_150\gmsd_ru_150.exe');
QuarantineFile('c:\program files\gmsd_ru_150\gmsd_ru_150.exe','');
TerminateProcessByName('c:\program files\cinema plus pro 3.2cv30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe');
QuarantineFile('c:\program files\cinema plus pro 3.2cv30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
TerminateProcessByName('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe');
QuarantineFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe','');
TerminateProcessByName('c:\program files\igs\basementduster.exe');
QuarantineFile('c:\program files\igs\basementduster.exe','');
TerminateProcessByName('c:\program files\alpha shopper\alpha_shopper_helper_service.exe');
QuarantineFile('c:\program files\alpha shopper\alpha_shopper_helper_service.exe','');
DeleteFile('c:\program files\alpha shopper\alpha_shopper_helper_service.exe','32');
DeleteFile('c:\program files\igs\basementduster.exe','32');
DeleteFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe','32');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\program files\cinema plus pro 3.2cv30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe','32');
DeleteFile('c:\program files\gmsd_ru_150\gmsd_ru_150.exe','32');
DeleteFile('c:\program files\gmsd_ru_180\gmsd_ru_180.exe','32');
DeleteFile('c:\program files\infonaut_1.10.0.13\service\insvc.exe','32');
DeleteFile('c:\users\Матвей\appdata\local\kometa\kometaup.exe','32');
DeleteFile('c:\program files\xtab\protectservice.exe','32');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('c:\users\Матвей\appdata\local\smartweb\smartwebapp.exe','32');
DeleteFile('c:\users\Матвей\appdata\local\smartweb\smartwebhelper.exe','32');
DeleteFile('c:\program files\browser good\updatebrowsergood.exe','32');
DeleteFile('c:\users\Матвей\appdata\local\gmsd_ru_150\upgmsd_ru_150.exe','32');
DeleteFile('c:\program files\browser good\bin\utilbrowsergood.exe','32');
DeleteFile('C:\Program Files\globalUpdate\Update\1.3.25.0\goopdate.dll','32');
DeleteFile('C:\Program Files\IGS\BasementDusterCert.dll','32');
DeleteFile('C:\Program Files\XTab\SupTab.dll','32');
DeleteFile('C:\Users\Матвей\AppData\Local\SmartWeb\swhk.dll','32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_13.sys','32');
DeleteFile('C:\Windows\system32\drivers\{155269df-e342-42e1-af8a-a92196148922}Gw.sys','32');
DeleteFile('C:\Windows\system32\drivers\{155269df-e342-42e1-af8a-a92196148922}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{1cd3f706-5219-4089-9f86-6d8cc40aacac}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{54742081-917b-4bcc-81f0-2e513917f7e3}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{62469e06-7e58-4462-b250-e2bdf049adec}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{83d61599-0efb-4f42-943e-3fde87e711f5}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{b2f8ce07-8f89-4e49-8c2d-1824051845da}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{c8576b75-cc46-4cd3-80ad-eb9418cd1f02}w.sys','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_4D0606CFD11FDE41EF305353BAB81BB7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_150');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_180');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','kometaupremove');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_150.exe');
DeleteFile('C:\Program Files\Browser Good\BrowserGoodbho.dll','32');
DeleteFile('C:\Program Files\Alpha Shopper\alpha_shopper_helper_service.exe','32');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32');
DeleteFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-1-6.exe','32');
DeleteFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-1-7.exe','32');
DeleteFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-10.exe','32');
DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-11.job','32');
DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-10_user.job','32');
DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-1-7.job','32');
DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-1-6.job','32');
DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\alpha_shopper_helper_service.job','32');
DeleteFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-5.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-7.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-10.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-11.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-5.exe','32');
DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-5_user.job','32');
DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-5.job','32');
DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-11.job','32');
DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-10_user.job','32');
DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-1-7.job','32');
DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.job','32');
DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-5_user.job','32');
DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-5.job','32');
DeleteFile('C:\Windows\Tasks\ONZVDIB.job','32');
DeleteFile('C:\Windows\Tasks\QCNB.job','32');
DeleteFile('C:\Windows\system32\Tasks\alpha_shopper_helper_service','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','32');
DeleteFile('C:\Windows\system32\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-1-6','32');
DeleteFile('C:\Windows\system32\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-1-7','32');
DeleteFile('C:\Windows\system32\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-11','32');
DeleteFile('C:\Windows\system32\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-5','32');
DeleteFile('C:\Windows\system32\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6','32');
DeleteFile('C:\Windows\system32\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-1-7','32');
DeleteFile('C:\Windows\system32\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-11','32');
DeleteFile('C:\Windows\system32\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-5','32');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
DeleteFile('C:\Users\Матвей\appdata\roaming\mystartsearch\uninstallmanager.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
tostester

tostester

Опубликовано
  • Автор
Опубликовано

KLAN-3030886044

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

{155269df-e342-42e1-af8a-

a92196148922}Gw.sys,
{155269df-e342-42e1-af8a-a92196148922}w.sys,
{1cd3f706-5219-4089-9f86-6d8cc40aacac}w.sys,
{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w.sys,
{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w.sys,
{54742081-917b-4bcc-81f0-2e513917f7e3}w.sys,
{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w.sys,
{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w.sys,
{62469e06-7e58-4462-b250-e2bdf049adec}w.sys,
{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w.sys,
{83d61599-0efb-4f42-943e-3fde87e711f5}w.sys,
{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w.sys,
{b2f8ce07-8f89-4e49-8c2d-1824051845da}w.sys,
{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w.sys,
{c8576b75-cc46-4cd3-80ad-eb9418cd1f02}w.sys,
crossbrowse.exe,
d5dfc0ba-f544-413a-a03f-2959134f2578-10.exe,
d5dfc0ba-f544-413a-a03f-2959134f2578-11.exe,
d5dfc0ba-f544-413a-a03f-2959134f2578-1-7.exe,
ffe68d25-b42d-4388-bb97-adf8296744a8-10.exe,
ffe68d25-b42d-4388-bb97-adf8296744a8-11.exe,
innfd_1_10_0_13.sys,
upgmsd_ru_150.exe,
utility.exe
utilbrowsergood.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

alpha_shopper_helper_service.exe - not-a-virus:WebToolbar.Win32.CrossRider.aocw
d5dfc0ba-f544-413a-a03f-2959134f2578-1-6.exe,
ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe - not-a-virus:WebToolbar.Win32.CroRi.fhz
d5dfc0ba-f544-413a-a03f-2959134f2578-5.exe - not-a-virus:WebToolbar.Win32.CrossRider.absz
ffe68d25-b42d-4388-bb97-adf8296744a8-5.exe - not-a-virus:WebToolbar.Win32.CrossRider.wkj
goopdate.dll - not-a-virus:RiskTool.Win32.GlobalUpdate.dw
kometaup.exe - not-a-virus:Downloader.Win32.Agent.ebbb

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

basementduster.exe,
BasementDusterCert.dll

Вредоносный код в файлах не обнаружен.

BrowserGoodbho.dll,
updatebrowsergood.exe - not-a-virus:AdWare.MSIL.Agent.bcz
ffe68d25-b42d-4388-bb97-adf8296744a8-1-7.exe - not-a-virus:AdWare.Win32.Agent.iegx
gmsd_ru_150.exe - not-a-virus:AdWare.Win32.Eorezo.jla
gmsd_ru_180.exe - not-a-virus:AdWare.Win32.Eorezo.jnk
insvc.exe - not-a-virus:AdWare.Win32.Vitruvian.g
protectservice.exe,
SupTab.dll - not-a-virus:AdWare.Win32.SubTab.e
protectwindowsmanager.exe - not-a-virus:AdWare.Win32.ELEX.aa
smartwebapp.exe,
smartwebhelper.exe,
swhk.dll - not-a-virus:AdWare.Win32.PriceGong.a

Это файлы от рекламной системы. Детектирование файлов будет добавлено в   следующее обновление расширенного набора баз. Подробная информация о   расширенных базах: http://www.kaspersky.ru/extraavupdates

csrss.exe - Trojan.Win32.Fsysna.cbws

Детектирование файла будет добавлено в следующее обновление.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

хотел уточнить: под выполнением правил подразумевается повторное выполнение скрипта?

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

удалите через программы и компоненты или CCleaner следующее ПО:
 

Homepager (HKLM\...\Homepager) (Version:  - Homepager)
mystartsearch uninstall (HKLM\...\mystartsearch uninstall) (Version:  - mystartsearch) <==== ATTENTION
SmartWeb (HKLM\...\SmartWeb) (Version: 8.0.9 - SoftBrain Technologies Ltd.) <==== ATTENTION
WinZipper (HKLM\...\WinZipper) (Version: 1.5.98 - Taiwan Shui Mu Chih Ching Technology Limited.) <==== ATTENTION

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1631201641-4293155784-520780665-1000 -> 454D74BE1516AC230AEB8C64D298D900 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh [2015-05-23]
CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2015-05-23]
CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-05-23]
CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-05-23]
CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\pchfckkccldkbclgdepkaonamkignanh [2015-05-23]
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
2015-07-15 13:52 - 2015-07-15 13:52 - 00921654 _____ C:\Users\Матвей\AppData\Roaming\C6A89888C6A89888.bmp
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README9.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README8.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README7.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README6.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README5.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README4.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README3.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README2.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README10.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README1.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README9.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README8.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README7.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README6.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README5.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README4.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README3.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README2.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README10.txt
2015-08-06 11:23 - 2015-03-19 17:05 - 00000464 __RSH C:\Users\Все пользователи\ntuser.pol
2015-08-06 11:23 - 2015-03-19 17:05 - 00000464 __RSH C:\ProgramData\ntuser.pol
2015-08-06 10:17 - 2015-03-29 14:36 - 00000000 ____D C:\Program Files\globalUpdate
2015-08-05 09:17 - 2015-06-16 12:31 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-08-05 09:17 - 2015-06-16 12:31 - 00000000 __SHD C:\ProgramData\Windows
2015-08-04 16:47 - 2015-03-05 15:13 - 00000000 __SHD C:\Users\Матвей\AppData\Local\EmieUserList
2015-08-04 16:47 - 2015-03-05 15:13 - 00000000 __SHD C:\Users\Матвей\AppData\Local\EmieSiteList
2015-08-04 16:47 - 2015-03-05 15:13 - 00000000 __SHD C:\Users\Матвей\AppData\Local\EmieBrowserModeList
2015-07-19 10:32 - 2015-02-24 16:44 - 00000000 ____D C:\Users\Матвей\AppData\Local\Amigo
2015-07-19 10:29 - 2015-06-05 14:11 - 00000000 ____D C:\Users\Матвей\AppData\Local\Kometa
2015-07-15 13:52 - 2015-02-22 13:12 - 00000000 ____D C:\Users\Все пользователи\AMMYY
2015-07-15 13:52 - 2015-02-22 13:12 - 00000000 ____D C:\ProgramData\AMMYY
2015-07-15 13:52 - 2015-07-15 13:52 - 0921654 _____ () C:\Users\Матвей\AppData\Roaming\C6A89888C6A89888.bmp
2015-03-26 21:14 - 2015-03-26 21:14 - 0005542 _____ () C:\Users\Матвей\AppData\Roaming\ONZVDIB
2015-03-26 21:14 - 2015-03-26 21:14 - 0005542 _____ () C:\Users\Матвей\AppData\Roaming\QCNB
Task: {24E6ECF7-F1EE-47D0-AC24-5CFE803C3EA2} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

чисто.
смените важные пароли.

с расшифровкой не поможем.

если есть активный код к продуктам ЛК - обращайтесь в ТП ЛК.

 

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
tostester

tostester

Опубликовано
  • Автор
Опубликовано (изменено)

спасибо за работу.

вообще купленный ключ на каспера есть. подскажите, а есть вероятность что помогут в ТП ЛК?

файлы карантина нужно хранить, они могут пригодиться или шифровальщик себя потёр?

Изменено пользователем tostester
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Александр_vgau
      шифровальщик banta
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
    • vmax
      Шифровальщик 13
      Автор vmax
      Шифровальщик зашифровал все файлы, даже архивы, помогите, не знаю что делать. В архиве две заражённые картинки.
      1.jpg.id[3493C0DF-3274].[xlll@imap.cc].zip
    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...