Зашифровались файлы email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id

2 ноября, 2015

Добрый день, секретарь открыла вордовский файл от "налоговиков"

и понеслось.

email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-GHIJJKLMNOPQQRRSTUUVVWXYYZAABCCDEEFF-02.11.2015 12@00@208103872.randomname-OQRTUVWXYYZABCCDEFGGHHIJKLLMNO.PQR

Прогнал

Farbar Recovery Scan Tool

Прикрепил результаты. Так же могу прикрепить исходный файл "вордовский" и и логи почтовика.

Addition.txt

FRST.txt

2 ноября, 2015

Порядок оформления запроса о помощи

2 ноября, 2015

Добавил логи AVZ и hijackthi. Лечить не стал. Т.к. не рекомендуют лечить в данном случае.

Сообщение от модератора Mark D. Pearlstone

Файл Quarantine.rar удалён.

LOG.rar

hijackthis.log

2 ноября, 2015

Нам нужны логи, сделанные при помощи Autologger

2 ноября, 2015

Добавил

CollectionLog-2015.11.02-18.33.zip

2 ноября, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\secretar\AppData\Local\PriceMeter\pricemeterw.exe','');
QuarantineFile('C:\Users\secretar\AppData\Local\PriceMeter\TEMP\pricemeter.exe','');
QuarantineFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-5.exe','');
QuarantineFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-4.exe','');
QuarantineFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-2.exe','');
QuarantineFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-11.exe','');
QuarantineFile('C:\Program Files\1ClickMovie-Download V9.0\1ClickMovie-Download V9.0-codedownloader.exe','');
QuarantineFile('c:\progra~1\searchprotect\searchprotect\bin\spvc32loader.dll','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
DeleteFile('c:\progra~1\searchprotect\searchprotect\bin\spvc32loader.dll','32');
DeleteFile('C:\Program Files\1ClickMovie-Download V9.0\1ClickMovie-Download V9.0-codedownloader.exe','32');
DeleteFile('C:\Windows\Tasks\e12881b1-6a05-4848-98c6-9701aa538810-1.job','32');
DeleteFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-11.exe','32');
DeleteFile('C:\Windows\Tasks\e12881b1-6a05-4848-98c6-9701aa538810-11.job','32');
DeleteFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-2.exe','32');
DeleteFile('C:\Windows\Tasks\e12881b1-6a05-4848-98c6-9701aa538810-2.job','32');
DeleteFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-4.exe','32');
DeleteFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-5.exe','32');
DeleteFile('C:\Windows\Tasks\e12881b1-6a05-4848-98c6-9701aa538810-5.job','32');
DeleteFile('C:\Windows\Tasks\e12881b1-6a05-4848-98c6-9701aa538810-4.job','32');
DeleteFile('C:\Windows\Tasks\ViewPassword Update.job','32');
DeleteFile('C:\Windows\system32\Tasks\DNSMOHAWK','32');
DeleteFile('C:\Users\secretar\AppData\Local\PriceMeter\TEMP\pricemeter.exe','32');
DeleteFile('C:\Users\secretar\AppData\Local\PriceMeter\pricemeterw.exe','32');
DeleteFile('C:\Windows\system32\Tasks\pricemeterwatcher','32');
DeleteFile('C:\Windows\system32\Tasks\pricemetertask','32');
DeleteFile('C:\Windows\system32\Tasks\{F46493DD-266E-41D6-AAD1-351BD41CA48F}','32');
DeleteFile('C:\Users\secretar\AppData\Roaming\istartsurf\UninstallManager.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

2 ноября, 2015

Re: email-Seven_Legion2@aol.com [KLAN-3311117511]

newvirus@kaspersky.com

Кому: maksyrin@mail.ru

сегодня, 19:10

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

pricemeterd.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

pricemeter.exe - not-a-virus:AdWare.Win32.DealPly.ah

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи - не понял, какое мне правило выполнить?

Изменено 2 ноября, 2015 пользователем GansZ

2 ноября, 2015

Новые логи при помощи Autologger соберите

+ Сделайте лог полного сканирования МВАМ

А заодно примеры зашифрованных файлов пришлите в мою коллекцию

2 ноября, 2015

Это все хорошо, сделаю... мне бы понят, расшифруются файлы или как?

2 ноября, 2015

Я же не телепат ))

2 ноября, 2015

выполнил

CollectionLog-2015.11.02-20.08.zip

mbam.txt

2 ноября, 2015

Удалите в МВАМ все, кроме

RiskWare.MPR, C:\Program Files\Multi Password Recovery\block_reader.sys, , [0ce14fe3ec9f55e17ff1d67ff80dae52], 
Spyware.Password.HL, C:\Program Files\Multi Password Recovery\HookLib.dll, , [03eaea482d5e45f1a244f174966cc739], 
RiskWare.MPR, C:\Program Files\Multi Password Recovery\UpdateChecker.exe, , [01ecee440982f442d6eaedbe8b766b95],

Мне кажется или это я сам с собой разговариваю?

А заодно примеры зашифрованных файлов пришлите в мою коллекцию

2 ноября, 2015

Все будет... не успеваю все делать.. у меня кроме секретарского еще и общая папка частично накрылась.... Бухи, секритутки, шеф, юрики... все в паники))))

2 ноября, 2015

у меня кроме секретарского еще и общая папка частично накрылась.... Бухи, секритутки, шеф, юрики... все в паники

а кто из них так поумничал, запустив шифрование? А, вижу... Пора секретаря наказывать... при невозможности расшифровки - рублем. Ну а заодно того, кто ее не проинструктировал на предмет соблюдения элементарных правил безопасности

2 ноября, 2015

Я сохранил оригинал файла и лог, с outlook с которого все началось, могу его передать, только как это все безопасно сделать?

Ушло на почтуnewvirus@kaspersky.com

email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-GHIJJKLMNOPQQRRSTUUVVWXYYZAABCCDEEFF-02.11.2015 12@00@208103872.randomname-OQRTUVWXYYZABCCDEFGGHHIJKLLMNO.PQR.cbf

Вы не можете загружать файлы подобного типа

Зашифровались файлы email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id

Рекомендуемые сообщения

GansZ

Ссылка на комментарий

Поделиться на другие сайты

Mark D. Pearlstone

Ссылка на комментарий

Поделиться на другие сайты

GansZ

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

GansZ

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

GansZ

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

GansZ

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

GansZ

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

GansZ

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

GansZ

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum