Перейти к содержанию

Рекомендуемые сообщения

Всем привет! Прошу Вашей помощи! Сегодня к моей сестре на почту пришло письмо по работе! Она открыла и запустила файл который..в общем во вложении прикрепляю фото рабочего стола на котором сообщение:

 Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почту

и т.д.

 

так же высылаю логи..

post-35608-0-82288700-1440416581_thumb.jpg

post-35608-0-77251800-1440416608_thumb.jpg

CollectionLog-2015.08.24-14.29.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\system32\nethtsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\hfpapi.dll','');
DelBHO('{09b9ffd2-3f38-4aaa-9155-b8412e2dc13e}');
DelBHO('{7d45bd15-9bad-46f6-824f-65efc5e1eba0}');
DelBHO('{85db5603-362a-4e8a-83d9-2e3fbd5bb09a}');
DelBHO('{959c2af5-1a3b-4c70-aa27-e31374691712}');
DelBHO('{b11d97ef-3c26-4035-89fe-d28648afdb2d}');
DelBHO('{ba02b147-b95c-491e-8ac7-037d0837133f}');
DelBHO('{c0014dbd-e7a5-459e-84a8-8fda848f25bb}');
DelBHO('{d85e41b1-6a89-4382-b4d2-1ef8de7e84d8}');
DelBHO('{e02f3229-1a26-4c25-b42b-680d7c43cd19}');
QuarantineFile('C:\Program Files\MediaBuzzV1\MediaBuzzV1mode8206\ie\MediaBuzzV1mode8206.dll','');
QuarantineFile('C:\Program Files\MediaWatchV1\MediaWatchV1home328\ie\MediaWatchV1home328.dll','');
QuarantineFile('C:\Program Files\MediaViewV1\MediaViewV1alpha3753\ie\MediaViewV1alpha3753.dll','');
QuarantineFile('C:\Program Files\MediaViewerV1\MediaViewerV1alpha1035\ie\MediaViewerV1alpha1035.dll','');
QuarantineFile('C:\Program Files\RichMediaViewV1\RichMediaViewV1release1129\ie\RichMediaViewV1release1129.dll','');
QuarantineFile('C:\Program Files\MediaViewV1\MediaViewV1alpha2761\ie\MediaViewV1alpha2761.dll','');
QuarantineFile('C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha501\ie\MediaPlayerV1alpha501.dll','');
QuarantineFile('C:\Program Files\VideoPlayerV3\VideoPlayerV3beta4682\ie\VideoPlayerV3beta4682.dll','');
QuarantineFile('C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3037\ie\TrustMediaViewerV1alpha3037.dll','');
QuarantineFile('C:\Program Files\explore.exe','');
DeleteFile('C:\Program Files\explore.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
DeleteFile('C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3037\ie\TrustMediaViewerV1alpha3037.dll','32');
DeleteFile('C:\Program Files\VideoPlayerV3\VideoPlayerV3beta4682\ie\VideoPlayerV3beta4682.dll','32');
DeleteFile('C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha501\ie\MediaPlayerV1alpha501.dll','32');
DeleteFile('C:\Program Files\MediaViewV1\MediaViewV1alpha2761\ie\MediaViewV1alpha2761.dll','32');
DeleteFile('C:\Program Files\RichMediaViewV1\RichMediaViewV1release1129\ie\RichMediaViewV1release1129.dll','32');
DeleteFile('C:\Program Files\MediaViewerV1\MediaViewerV1alpha1035\ie\MediaViewerV1alpha1035.dll','32');
DeleteFile('C:\Program Files\MediaViewV1\MediaViewV1alpha3753\ie\MediaViewV1alpha3753.dll','32');
DeleteFile('C:\Program Files\MediaWatchV1\MediaWatchV1home328\ie\MediaWatchV1home328.dll','32');
DeleteFile('C:\Program Files\MediaBuzzV1\MediaBuzzV1mode8206\ie\MediaBuzzV1mode8206.dll','32');
DeleteFile('C:\WINDOWS\system32\hfpapi.dll','32');
DeleteFile('C:\WINDOWS\system32\nethtsrv.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты
Re: Вирус-шифратор [KLAN-3076964782]
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

hfpapi.dll

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

nethtsrv.exe - Trojan-Downloader.Win32.Agent.aaaje

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.    

hfpapi.dll

An unknown file has been received. It will be sent to the Virus Lab.

nethtsrv.exe - Trojan-Downloader.Win32.Agent.aaaje

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700   http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
Sent: 8/24/2015 12:11:02 PM
To: newvirus@kaspersky.com
Subject: Вирус-шифратор



Отправляю к вам логи

Теперь повторно логи сформировать и прикрепить сюда?

Ссылка на сообщение
Поделиться на другие сайты

Вот сохранил результат..а в программе надо нажимать на кнопку УДАЛИТЬ ВЫБРАННОЕ? Кстати..логи пустые получились...


Logi.zip

post-35608-0-10849900-1440482682_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты

Сохранить, но ничего пока не удалять.

 

Лог пустой. Переделывайте

Получилось! Высылаю лог

Лог во вложении

Logi.txt

Изменено пользователем Арсен Омаров
Ссылка на сообщение
Поделиться на другие сайты

Удалите в МВАМ все, кроме

PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Хорошо: (0), Плохо: (1),,[0cfb9479cebd4de9687fbf95689dba46]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Хорошо: (0), Плохо: (1),,[eb1cec21632830068662aba9dd288977]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[28dfe02d434873c342a7b1a3e12425db]
RiskWare.RAAmmyy, E:\Обменник\ИРИНА\ДЛЯ ИРИНЫ\Загрузки\AA_v3.5.exe, , [848326e7becdbc7ae74d8942bb4608f8], 
 
Ссылка на сообщение
Поделиться на другие сайты

 

Удалите в МВАМ все, кроме

PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Хорошо: (0), Плохо: (1),,[0cfb9479cebd4de9687fbf95689dba46]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Хорошо: (0), Плохо: (1),,[eb1cec21632830068662aba9dd288977]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[28dfe02d434873c342a7b1a3e12425db]
RiskWare.RAAmmyy, E:\Обменник\ИРИНА\ДЛЯ ИРИНЫ\Загрузки\AA_v3.5.exe, , [848326e7becdbc7ae74d8942bb4608f8], 
 

Удалил..что еще сделать?

Ссылка на сообщение
Поделиться на другие сайты

Кстати..повторил сканирование снова после удаления..он все те же вирусы нашел..короче эта программа ни чего не удалила..сейчас скачал "кор ай ти" от фирмы доктор веб и сканирую на вирусы.. Подскажете может еще что сделать?

Ссылка на сообщение
Поделиться на другие сайты

значит, не удаляли.

приложите новый лог MBAM

Да ну так именно что удалял. Он выдавал сообщения что 228 объектов попали в карантин..и по завершению выдал, что для очистки необходимо перезагрузить комп..я согласился чтобы он его перезагрузил..но после этого комп не стал перезагружатся..и программа не закрылась..внизу программы появилась кнопка большая синяя ЗАВЕРШИТЬ..ну так я и завершил..он меня перекинул на свое главное окно и все..я не закрывая программный продукт просто через пуск выбрал перезагрузку..и после перезагрузки снова поставил на проверку комп данной программой..и то же самое по второму кругу..прога не работает как надо. ОС ХРюша, запускал от имени пользователя с которого работаю, т.к. этот пользователь и является администратором.

Сейчас все еще идет проверка программой доктора веба..если будет возможным с него выгрузить лог - я его сюда залью

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Svetlana1965
      От Svetlana1965
      Здравствуйте, уважаемые сотрудники форума! Я к вам с огромной просьбой. Помогите, пожалуйста, расшифровать мои файлы после вируса - шифровальщика (как я узнала позже). Теперь все мои файлы зашифрованы с расширением .zip и имеют название "932 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash". Пожалуйста, подскажите, что мне нужно сделать. Утеряны все фотографии моих детей и внуков, файлы по работе. Так расстроена. Видео и музыка не тронуты.  
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • vaz21102
      От vaz21102
      В домене все сервера выдают сообщение "All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Smith1@mailfence.com". Рабочий стол не грузиться.К имени файлов на серверах добавился текст "id-1A54EC80.[smith11@keemail.me].Aim"
      Addition.txt FRST.txt hijackthis.log virus.rar
    • isavr
      От isavr
      Друзья, подскажите что делать? первый раз поймал шифровальщика
      sample.zip FRST.txt Addition.txt
    • thyrex
      От thyrex
      Здравствуйте, Евгений Валентинович.
       
      Вы конечно же в курсе, что недавно группа, занимавшаяся распространением вируса-шифровальщика Shade, официально объявила о завершении своей деятельности и предоставила антивирусным компаниям все ключи, необходимые для расшифровки файлов пользователей, пострадавших от их шифровальщика, коих оказалось около 750 тысяч. Ваши сотрудники оперативно обновили утилиту для расшифровки, за что им честь и хвала. Однако без ложки дегтя не обошлось: утилита по-прежнему просит от пострадавших указать путь к одному из файлов README[1-10].txt с информацией, необходимой для оперативного выбора ключа. А как быть пользователям, которые благополучно сохранили пострадавшие файлы с прицелом на будущее, переустановили систему, а файлов README не сохранили? Не могли бы Вы попросить автора утилиты ShadeDecryptor предусмотреть возможность простого перебора всех имеющихся ключей при отсутствии необходимого файла с информацией? Кроме того, службе веб-поддержки также необходимо обновить информацию  о данной утилите на сайте https://support.kaspersky.ru/viruses/utility .
       
      Спасибо за содействие.
    • me4dy
      От me4dy
      Вирус зашифровал файлы на компьютере. Расширение новых файлов .Enter
      В письме от вымогателей указана почта
      enter_software@aol.com
      enter_software@india.com
       
      Прошу помощи. Если необходимо то есть файлы .pdf до и после шифрования
      CollectionLog-2018.11.20-14.12.zip
      report1.log
      report2.log
×
×
  • Создать...