Перейти к содержанию

Шифровальщик maxcrypt@foxmail2

ScorpOfRus
 Поделиться

Рекомендуемые сообщения

ScorpOfRus Новичок

ScorpOfRus

Опубликовано
Опубликовано

Всем привет

Пришло письмо на почту открыл его и соответственно получил

зашифрованные файлы

Файл шифровальщика сохранился

Лог прикрепил

CollectionLog-2015.10.04-17.08.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\965A~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceStream','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceWebExtensionUpdater','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\System Security Application','command');
DeleteFile('C:\Users\965A~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64');
DeleteFile('C:\Windows\Tasks\DigitalSite.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
ScorpOfRus Новичок

ScorpOfRus

Опубликовано
  • Автор
Опубликовано

Всем привет

Не удалось отправить файл quarantine.zip по адресу newvirus@kaspersky.com

Вернее он оказался пустым

Заново собрал и выкладываю логи

CollectionLog-2015.10.07-15.38.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Удалите в МВАМ все, кроме

PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Архиваторы\PowerArchiver 2010 Professional 11.62.04\Crack\Patch.exe, , [d57a6c4aafdbc86e616852b535cbf60a], 
Trojan.Dropped, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Графика\XnView 1.97.4 Final\XnView 1.97.4 Final Complete version(Plugins & NConvert)\q_B_XnViewFull.1.97.4.exe, , [dd728036a2e8dc5a19f8d8b5857df709], 
RiskWare.Tool.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\DivX Plus v8.0 Pro Build v1.0.1.25\Keygen\Keygen.exe, , [7cd3ab0b0c7e41f59c481532ed15a45c], 
Backdoor.Generic, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\USeesoft Total Video Converter v1.5.1.6\USeeSoft.Total.Video.Converter\mr.dll, , [d37c4b6bfe8c1e18218f2cbdcc3954ac], 
Trojan.Agent.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\vsoConvertXtoDVD4\Keygen.exe, , [ada2853194f64ceaa1d329a0659d5ea2], 
PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Офисные программы\PDF2Office Professional 5.0\Crack\Patch.exe, , [bb9475410981ce68c5049c6b8c74c43c], 
RiskWare.Tool.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Программы для CD и DVD устройств\Запись, Копирование\UltraISO Premium Edition 9.3.6 Build 2750\keygen.exe, , [143b7145d9b10531fda0c523b9484bb5], 
Trojan.Spy.Agent, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Системные утилиты для Windows\Документация\Установка Windows Xp.exe, , [a0affcba1a70cf6773ff5fb329d7dd23], 
PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Утилиты\Easy File & Folder Protector 5.0\Crack\Patch.exe, , [aea14a6cc0ca75c1e0e96f98cc34d729], 
RiskWare.Tool.HCK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Утилиты\TuneUp Utilities 2010 v.9.0.4100.54 Final rus\TuneUp Utilities 2010 v9.0.4200.54\Лечение\Keymaker.Only-CORE\keygen.exe, , [16395561c4c6ca6c84968d28f012827e], 
Adware.WhenU, C:\UazUP\daemon4091-x64.exe, , [7cd3a214107abe78988fa39a9a6ce719], 
Adware.WhenU, C:\UazUP\daemon4091-x86.exe, , [b7989521a6e49c9ad057d16c58aeb848], 
Ссылка на комментарий
Поделиться на другие сайты
ScorpOfRus Новичок

ScorpOfRus

Опубликовано
  • Автор
Опубликовано

 

Удалите в МВАМ все, кроме

PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Архиваторы\PowerArchiver 2010 Professional 11.62.04\Crack\Patch.exe, , [d57a6c4aafdbc86e616852b535cbf60a], 
Trojan.Dropped, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Графика\XnView 1.97.4 Final\XnView 1.97.4 Final Complete version(Plugins & NConvert)\q_B_XnViewFull.1.97.4.exe, , [dd728036a2e8dc5a19f8d8b5857df709], 
RiskWare.Tool.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\DivX Plus v8.0 Pro Build v1.0.1.25\Keygen\Keygen.exe, , [7cd3ab0b0c7e41f59c481532ed15a45c], 
Backdoor.Generic, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\USeesoft Total Video Converter v1.5.1.6\USeeSoft.Total.Video.Converter\mr.dll, , [d37c4b6bfe8c1e18218f2cbdcc3954ac], 
Trojan.Agent.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\vsoConvertXtoDVD4\Keygen.exe, , [ada2853194f64ceaa1d329a0659d5ea2], 
PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Офисные программы\PDF2Office Professional 5.0\Crack\Patch.exe, , [bb9475410981ce68c5049c6b8c74c43c], 
RiskWare.Tool.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Программы для CD и DVD устройств\Запись, Копирование\UltraISO Premium Edition 9.3.6 Build 2750\keygen.exe, , [143b7145d9b10531fda0c523b9484bb5], 
Trojan.Spy.Agent, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Системные утилиты для Windows\Документация\Установка Windows Xp.exe, , [a0affcba1a70cf6773ff5fb329d7dd23], 
PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Утилиты\Easy File & Folder Protector 5.0\Crack\Patch.exe, , [aea14a6cc0ca75c1e0e96f98cc34d729], 
RiskWare.Tool.HCK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Утилиты\TuneUp Utilities 2010 v.9.0.4100.54 Final rus\TuneUp Utilities 2010 v9.0.4200.54\Лечение\Keymaker.Only-CORE\keygen.exe, , [16395561c4c6ca6c84968d28f012827e], 
Adware.WhenU, C:\UazUP\daemon4091-x64.exe, , [7cd3a214107abe78988fa39a9a6ce719], 
Adware.WhenU, C:\UazUP\daemon4091-x86.exe, , [b7989521a6e49c9ad057d16c58aeb848], 

 

Сделал

А что делать с зашифрованными файлами?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
B92LqRQ.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} =>  No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-180494597-1792435425-3708071402-1000 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll No File
Toolbar: HKU\S-1-5-21-180494597-1792435425-3708071402-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-180494597-1792435425-3708071402-1000 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
FF Extension: AS Magic Player - C:\Users\адам\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\magicplayer@acestream.org [2015-03-02]
OPR Extension: (System Security Application) - C:\Users\адам\AppData\Roaming\Opera Software\Opera Stable\Extensions\epcjbhgkehdidecpfkplcclbpedaioda [2015-03-02]
2015-09-30 05:53 - 2015-09-30 05:53 - 00401830 _____ C:\Users\адам\AppData\Roaming\lock.bmp
2015-09-29 21:21 - 2014-03-28 08:08 - 00000000 ____D C:\Users\адам\AppData\Roaming\ACEStream
Task: {5440F718-4909-47DC-B5B8-222634DF79E3} - \DigitalSite -> No File <==== ATTENTION
Task: {76B23D51-55EF-439B-A309-E14A18E6F63E} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2011-05-17] () <==== ATTENTION
2015-02-27 18:08 - 2015-09-24 14:53 - 00287744 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.Core.pyd
2011-06-12 16:09 - 2011-06-12 16:09 - 00038400 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_socket.pyd
2011-06-12 16:09 - 2011-06-12 16:09 - 00720896 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_ssl.pyd
2015-02-26 14:18 - 2015-02-26 14:18 - 00018944 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.pycompat.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00287232 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_hashlib.pyd
2015-02-26 14:18 - 2015-02-26 14:18 - 02386432 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.pywebrtc.pyd
2015-02-27 18:06 - 2015-09-24 14:53 - 02889216 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.live.pyd
2014-01-23 14:37 - 2014-01-23 14:37 - 00036352 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_psutil_mswindows.pyd
2013-12-21 16:20 - 2013-12-21 16:20 - 00053248 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_blist.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00106496 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_ctypes.pyd
2013-12-21 16:20 - 2013-12-21 16:20 - 00040448 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\bitarray._bitarray.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00011776 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\select.pyd
2015-09-24 22:56 - 2015-09-24 14:53 - 00225384 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.pysegmenter.pyd
2015-09-24 22:56 - 2015-09-24 14:53 - 00112142 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\libgcc_s_dw2-1.dll
2011-01-19 00:56 - 2011-01-19 00:56 - 00334336 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\M2Crypto.__m2crypto.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00152576 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\pyexpat.pyd
2011-02-13 18:02 - 2011-02-13 18:02 - 00031232 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\Crypto.Cipher.AES.pyd
2015-02-27 18:18 - 2015-09-24 14:53 - 04072448 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.CoreApp.pyd
2012-02-07 19:37 - 2012-02-07 19:37 - 00098816 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32api.pyd
2012-02-07 19:35 - 2012-02-07 19:35 - 00110080 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\pywintypes27.dll
2012-02-07 19:38 - 2012-02-07 19:38 - 00358912 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\pythoncom27.dll
2012-02-07 19:36 - 2012-02-07 19:36 - 00111616 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32file.pyd
2012-02-07 19:36 - 2012-02-07 19:36 - 00024064 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32pdh.pyd
2010-10-11 01:23 - 2010-10-11 01:23 - 00723968 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\apsw.pyd
2013-01-29 19:20 - 2013-01-29 19:20 - 00082944 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\cpyamf.util.pyd
2011-07-15 22:37 - 2011-07-15 22:37 - 00981504 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._core_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00746496 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._gdi_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00670720 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._windows_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00966144 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._controls_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00674816 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._misc_.pyd
2015-09-24 22:56 - 2015-09-24 14:53 - 00167424 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32gui.pyd
2015-09-24 22:56 - 2015-09-24 14:53 - 00035840 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32process.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00688128 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\unicodedata.pyd
2015-02-26 14:18 - 2015-02-26 14:18 - 00061952 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\miniupnpc.pyd
2013-01-29 19:20 - 2013-01-29 19:20 - 00066048 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\cpyamf.amf0.pyd
FirewallRules: [{8B59FAB0-258F-4B8A-A593-6B7E42A26775}] => (Allow) C:\Users\адам\AppData\Roaming\ACEStream\engine\ace_engine.exe
FirewallRules: [{AC1A5B54-07EC-4326-9625-01C94813848F}] => (Allow) C:\Users\адам\AppData\Roaming\ACEStream\engine\ace_engine.exe
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты
ScorpOfRus Новичок

ScorpOfRus

Опубликовано
  • Автор
Опубликовано (изменено)

Fixlog.txt

 

Из-за ограничений на размер файла, архив выложил на яндекс диск

 

https://yadi.sk/d/lidV9NZbjebm2

 

Пароль к архиву infected

Fixlog.txt

Изменено пользователем ScorpOfRus
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kocks33
      шифровальщик JFZRZNDDZ
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Павел Ф.
      Шифровальщик KOZANOSTRA
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
    • valkovaleksandr
      Шифровальщик cyberfear
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Caine
      Шифровальщик KOZANOSTRA
      Автор Caine
      Добрый день.  
      Поймал шифровальщика KOZANOSTRA. На ПК был открыт RDP.  Прошу помощи в расшифровке данных
×
×
  • Создать...