Перейти к содержанию

По почте пришел вирус, который зашифровал файлы

andrew1966
 Поделиться

Рекомендуемые сообщения

andrew1966

andrew1966

Опубликовано
Опубликовано

Здравствуйте уважаемые консультанты!

 

Наш сотрудник по неопытности открыл письмо с вирусом. В результате работы вируса зашифровались файлы документов на компьютере и на сетевом устройстве (сервере), к которому он был в это время подключен. Имена файлов стали иметь вид: email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-VWWXYZABBBCDEEFFGGHIJJKKLLMNOOOPQQRS-21.09.2015 9@23@348638788.randomname-ADEFHIJJJKLMNNNOPQRRRSTUUVWWXX.ZAA.cbf

 

Вирус изменил картинку рабочего стола с указанием адреса эл. почты (Seven_Legion2@aol.com).

 

Компьютер был отключен от локальной сети, проверен утилитами CureIt и Kaspersky Virus Removal Tool 2015. Найденные вирусы удалены.

 

Автолог выполнялся также на компьютере отключенном от сети, т.к. не было уверенности что утилиты удалили все вирусы.

 

Прикрепляю коллекцию логов и картинку рабочего стола.

 

Помогите разшифровать файлы!

Заранее СПАСИБО.

 

Андрей.

 

CollectionLog-2015.09.21-14.58.zip

post-35905-0-78259900-1442839986_thumb.jpg

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
DeleteFile('C:\Windows\system32\wesGoneekas_mB.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MqEKSqiTDwDaQsRxvlmJHnsJFC');
DeleteFile('C:\Users\0D04~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
DeleteFile('C:\PROGRA~2\Mozilla\tozkafe.exe','32');
DeleteFile('C:\Windows\system32\Tasks\kwhycpa','32');
ExecuteSysClean;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

mike 1

mike 1

Опубликовано
Опубликовано

Пока выполняйте рекомендации из 2 сообщения. 

thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2015-09-21 12:14 - 2015-09-21 12:14 - 0927422 _____ () C:\Program Files\desk.bmp
2015-09-21 12:14 - 2015-09-21 12:14 - 0153845 _____ () C:\Program Files\desk.jpg
2015-09-21 10:03 - 2015-09-21 10:03 - 0000064 _____ () C:\Program Files\GLUDYWUMUB.PNE
2015-09-21 09:23 - 2015-09-21 09:23 - 0000064 _____ () C:\Program Files\VVVCZKMYWX.AVK
2015-09-21 11:41 - 2015-09-21 12:14 - 0000081 _____ () C:\Program Files\ZUQFYXQEHI.ACV
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.

andrew1966

andrew1966

Опубликовано
  • Автор
Опубликовано

А компьютер в сетку можно включать? Зараза вся убита?

thyrex

thyrex

Опубликовано
Опубликовано

Активного шифровальщика в логах уже не было

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lina_ko
      KVRT не может удалить троян.
      Автор Lina_ko
      Добрый день, о великие. Прошу вас о помощи. Когда устанавливала пиратскую игру получила что-то наподобие недоделанного винлокера, который после перезапуска компа пропал. Проверила комп KVRT и он нашёл троян. После лечения с перезапуском он нашёл два трояна. После перезапуска с лечением снова, он снова нашёл два трояна. Так-же, при действии по инструкции я пошла отключать встроенный защитник windows и обнаружила что панели нет. Скрин и логи прилагаю. Помогите, кто чем может.

      CollectionLog-2026.01.18-10.05.zip report1.log report2.log
    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
    • Romchik45
      вирус закрывает антивирус
      Автор Romchik45
      1. Удалил антивирус 360 security.
      2. Захожу в антивирус винды (чтобы восстановить нужный мне файл) -журнал защиты и хочу восстановить один файл, в итоге там появляется непонятный файл и антивирус сам закрывается.
      3. Провел полное сканирование с помощью dr web cureit и обнаружились угрозы, переместились в карантин.
      После этого всего всеравно антивирус закрывается как на видео.
      Прилагаю еще скриншот с двумя непонятными программами которые установлены на пк.
      у меня виндовс 10 на пк
      https://www.youtube.com/watch?v=j5aPu8TweZI

      CollectionLog-2026.01.14-20.08.zip Архив ZIP - WinRAR.zip
    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
×
×
  • Создать...