Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

Вирус на почту

Drew56

Автор Drew56
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Drew56 Новичок

Drew56

Опубликовано
Опубликовано (изменено)

Здравствуйте, по своей глупости открыл файл пришедший с почты. Теперь на рабочем столе заставка с требованием отправить на почту moshixa@aol.com 1 зашифрованный файл. Имя у всех файлов теперь стало вот таким-

email-moshiax@aol.com.ver-CL 1.0.0.0.id-VBIOUBGNUAGLRYCIPUAFMRXDIOUAFLRWCIOT-04.10.2015 7@00@272353014.randomname-AGLRXDIOUZEKQVBGMRWCINTZEKPUAG.LRX.cbf

 

КТО не знает Informer - это образец файла пришедшего вируса..Будьте осторожны!

 

Сообщение от модератора Капрал
Удалил вложение, так как палится даже 6.0.4.1611 с вердиктом
http://securelist.social-kaspersky.com/ru/descriptions/Trojan.Win32.Yakes.mqyv
Изменено пользователем Kapral
Ссылка на комментарий
Поделиться на другие сайты
Drew56 Новичок

Drew56

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте, получил и открыл по ошибке файл из почты. Замаскировали под деловое письмо. В последствии при перезагрузке на рабочем столе появилась заставка что все файлы зашифрованы и необходимо один из зашифрованных файлов отправить на почту moshiax@aol.com, иначе все файлы через неделю зашифруются навсегда(((. По инструкции порядка оформления запросов все сделал.

Имя файлов теперь выглядит вот так - email-moshiax@aol.com.ver-CL 1.0.0.0.id-VBIOUBGNUAGLRYCIPUAFMRXDIOUAFLRWCIOT-04.10.2015 7@00@272353014.randomname-EMRXDIOUZEKQWAGMRWCHNSYEJPUAGL.QWC.cbf

CollectionLog-2015.10.09-13.51.zip

Изменено пользователем Drew56
Ссылка на комментарий
Поделиться на другие сайты
Drew56 Новичок

Drew56

Опубликовано
  • Автор
Опубликовано (изменено)

При просмотре файла может возникнуть вопрос по поводу дат на компьютере..потому что дата была переведена.. вирус был закачен вчера, активирован сегодня при включении..по сути он с 10.10.15, но в имени файла прописана дата 04.10.2015.. ..если это как то повлияет на решение проблемы..


На всякий случай высылаю файлы FRST, Additional


??? 


Ребят?! Мне кто нибудь поможет? я тут в панике уже..((( на компе все!! вся жизнь..

FRST.txt

Addition.txt

Изменено пользователем Drew56
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Не надо присылать отчеты, которые никто не просил пока делать! 

 

 



Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Drew56 Новичок

Drew56

Опубликовано
  • Автор
Опубликовано

Все сделал как сказали...но программа создала три файла quarantine, adwcleaner(s3), adwcleaner(c1)

скидываю который запросили


кстати написал злоумышленникам, запросили на расшифровку 15000 руб., после небольшого торга скинули до 10000 руб.


огромные деньги..(((

AdwCleanerC1.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

В вашем случае никаких шансов.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [pr] => C:\Program Files\explore.exe
Toolbar: HKU\S-1-5-21-746137067-1614895754-1801674531-1004 -> No Name - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} -  No File
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Documents and Settings\PC 2014\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-04-22]
S2 MgAssistService; C:\Program Files\Mobogenie\MgAssist.exe [X]
2015-10-04 07:35 - 2015-10-04 07:35 - 00927422 _____ C:\Program Files\desk.bmp
2015-10-04 07:00 - 2015-10-04 07:35 - 00000080 _____ C:\Program Files\KUSZEKUWPO.MNA
2015-10-04 04:46 - 2015-10-04 04:46 - 00000000 ____D C:\Program Files\ESET
2015-10-04 04:41 - 2015-10-04 04:41 - 00000064 _____ C:\Program Files\KBSBYZRYZB.RCN
2015-10-03 23:43 - 2015-10-03 23:43 - 00000065 _____ C:\Program Files\BYDGNETQPI.CFQ
2015-10-03 23:40 - 2015-10-03 23:40 - 00000000 ____D C:\Program Files\Compressed data archive
2015-10-03 23:43 - 2015-10-03 23:43 - 0000065 _____ () C:\Program Files\BYDGNETQPI.CFQ
2015-10-04 07:35 - 2015-10-04 07:35 - 0927422 _____ () C:\Program Files\desk.bmp
2015-10-04 07:35 - 2015-10-04 07:35 - 0149120 _____ () C:\Program Files\desk.jpg
2015-10-04 04:41 - 2015-10-04 04:41 - 0000064 _____ () C:\Program Files\KBSBYZRYZB.RCN
2015-10-04 07:00 - 2015-10-04 07:35 - 0000080 _____ () C:\Program Files\KUSZEKUWPO.MNA
Folder: C:\FRST\Quarantine
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты
Drew56 Новичок

Drew56

Опубликовано
  • Автор
Опубликовано

Все сделал...

Скажите а как вы думаете, стоит тогда платить злоумышленникам? (нужен совет, на компе вся моя жизнь:((()

И подскажите какой антивирус лучше купить? ведь даже у касперского есть и internet securiti и просто антивирус..в чем различие?

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Проверьте эти файлы на virustotal 
C:\FRST\Quarantine\C\Program Files\Compressed data archive\one simply informer\explore.exe
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 
 

Скажите а как вы думаете, стоит тогда платить злоумышленникам?

 

Платить или нет - решать Вам. Обычно после оплаты высылают все необходимое для расшифровки.

 

И подскажите какой антивирус лучше купить?

http://www.kaspersky.ru/kav-vs-kis

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Hikobana
      Взлом почты, телеграмма, Steam
      Автор Hikobana
      Началось все с того, что 17.03 я обнаружила, что средства с Steam были потрачены путем покупки через торговую площадку. Доступа к аккаунту нет ни у кого, защита не подала никаких видов. Я поменяла пароль. В то же время, я заподозрила неладное с несколькими почтами от mail. Так же нигде не сработал аунтификатор. Везде поменяла пароли. На следующий день все повторилось и так продолжалось 3 дня. Итогом стало, что я поставила новую винду с 0. Все хорошо,  вроде прекратилось, случилось то, что взломали аккаунт Телеграмм. Вчера от меня началась рассылка в Дискорде, при том, что я сама находилась в нем. Никакая защита совершенно не сработала. После дискорда, пришло уведомление на WatsApp о попытки зайти на аккаунт. 
      CollectionLog-2025.05.02-06.01.zip
    • Sergey_user
      Почта для выкупа kelianydo
      Автор Sergey_user
      Здравствуйте! Столкнулись с этой же проблемой, что и автор темы.
      Почта для выкупа та же kelianydo[собака]gmail.com.
      Не появилось у вас решения данного шифровальщика?список файлов.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • KL FC Bot
      Как работает мошенническая схема с ботом «Почты России» в Telegram | Блог Касперского
      Автор KL FC Bot
      Мошенники регулярно изобретают новые схемы разводов, которые легко узнать по одному характерному признаку: они практически всегда прямо или косвенно касаются «Госуслуг». Сегодняшний случай не стал исключением. Рассказываем, как взламывают аккаунты на «Госуслугах» с помощью фейкового бота «Почты России».
      Как действуют мошенники
      Первое. Звонят потенциальной жертве. Причем чаще всего — не по обычному номеру телефона, а через мессенджер. Здороваются по имени-отчеству, представляются сотрудниками «Почты России» и начинают цирковое представление.
      — Вам пришло письмо от Федеральной налоговой службы (ФНС). Сегодня последний день его хранения на сортировочном складе. В адресе допущена небольшая ошибка, нужно внести изменения, тогда я смогу отправить вам письмо курьером в течение часа.
      — Да, конечно, давайте изменим адрес. Что нужно делать?
      — Вы пользуетесь Telegram? Там нужно найти официального бота «Почты России», авторизоваться через «Госуслуги» и вручную изменить адрес.
      — А как найти бота?
      — Пишите его никнейм прямо в Telegram: @ya_razvodila_i_moshennik. Вот, нашли? Это официальный бот техподдержки.
      Мошеннический бот «Почты России» в Telegram практически невозможно отличить от настоящего. Для большей убедительности злоумышленники добавляют в описание бота случайные номера регистрации в РКН
       
      View the full article
    • ВладиславFox
      KSMG как установить (а точнее интегрировать) с уже работающей почтой, на одном сервере, без виртуалок.
      Автор ВладиславFox
      Звиняюсь за форму подачи информации (это был запрос в поддержку, помощи по которому я жду уже второй день, а сроки горят)
      Если кто то ставил уже ksmg не как отдельную систему (физическую или логическую), а интегрированно в сам почтовый сервер физический/логический (одна и та же ос, без виртуалок, гипервизоров и тд) прошу подсказать.


      Не видит постфикс на шаге интеграции с почтовым сервером
      предлогает только ручную интеграцию (которая не описана в инструкции)

      Пункт инструкции:
      Если Postfix отсутствует в списке доступных почтовых серверов для интеграции, но при этом он установлен на сервере, необходимо вернуть конфигурационный файл /etc/postfix/master.cf в исходное состояние и повторно запустить скрипт первоначальной настройки.

      Проблема в том что мы не изменяли конфигурационный файл.


      (напоминание ос Debian 12, почтовое решение Iredmail, postfix, dovecoat, sogo, nginx, clamav -шли одним установочным комплектом. Требуется чтоб антивирусное решение Касперсокого (KMSG) стояло на том же сервере, в той же системе и защищало почту)
      Выполненые шаги скрипта установки:
      Select web server [1]:
      [1] Nginx
      [2] Abort setup
      > 1

      Setup will use the following web server configuration:
      | type: Nginx
      | config_dir: /etc/nginx
      | config_file: nginx.conf
      | systemd_name: nginx
      | binary_name: /usr/sbin/nginx
      | sites_dir: /etc/nginx/conf.d
      | user: www-data
      Continue setup using this configuration? [1]:
      [1] Continue setup
      [2] Abort setup
      > 1

      Specify IP address of the current node
      The IP address will be used to communicate with other nodes [10.10.0.10]:
      >

      Specify the port number of the current node
      The port number will be used to communicate with other nodes [9045]:
      >

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      >
      Port 443 is already in use.

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      > 445

      Select MTA [1]:
      [1] Manual integration
      Note that by selecting "Manual integration", you will skip automatic integration with an MTA, so you will have to change the MTA configuration files manually.
      > 1

      при запуске всех служб ksmg отключаются все системы удаленного управления cockpit/webmin, так и должно быть ?
      но прописанный в скрипте установке порт веб интерфейса ksmg (в нашем случае 445) ничего не выводит ни удаленно, ни с самого сервера.

      среди ошибок есть что то про лицензию (как и куда прописать код нашей лицензии)

      и все та же проблема что пр установке скрипт, не видит почтового сервера(ПО) postfix, только мануальная интеграция. как говорил ранее мы не меняли конфиг постфикса, он изначально шел комплектом с кучей других пакетов (и они уже интегрированы друг в друга).

      напомню нашу ситуацию
      у нас всего один сервер и одна ос (никаких вирутальных машин, гипервизоров, кластеров)
      и почтовый сервер и ksmg должны стоять на одном и том же сервере и в одной и той же ос.
      setup-250415-102638.log traceback-250415-105029.txt master.txt
    • Dava
      Вирус
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
×
×
  • Создать...