Перейти к содержанию

Шифровальщик файлов


Рекомендуемые сообщения

На рабочем месте, через почту был запущен вирус, маскировавшийся как файл adobe reader.

Данный файл зашифровал множество файлов и документов.

Лог прилагается.

Файл шифровальщик прилагается - пароль на архив virus

Решите проблему проблему. Спасибо.

 

Сообщение от модератора Mark D. Pearlstone
Не прикрепляйте вредоносные файлы на форум. Файл удалён.

Будем знать что файл вируса не прикреплять в самом форуме.

CollectionLog-2015.11.11-19.45.zip

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 DeleteService('wsfd_1_10_0_19');
 DeleteService('QMUdisk');
 DeleteService('innfd_1_10_0_14');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\wsfd_1_10_0_19.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 DeleteFile('C:\Users\Buh1\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\Buh1\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\Tasks\Price Fountain.job','32');
 DeleteFile('C:\Windows\Tasks\PXAQZQT1.job','32');
 DeleteFile('C:\ProgramData\TomorrowGames\TomorrowGames.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\Inst_Rep','64');
 DeleteFile('C:\Windows\system32\Tasks\LaunchPreSignup','64');
 DeleteFile('C:\Windows\system32\Tasks\Price Fountain','64');
 DeleteFile('C:\Windows\system32\Tasks\PXAQZQT1','64');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\Windows\system32\Tasks\SomotoUpdateCheckerAutoStart','64');
 DeleteFile('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_323338353832373235372d7855236c575a4a5741415034','64');
ExecuteSysClean;
RebootWindows(true);
end.

 
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 

  •  
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи Автологгером. 
 

  •  
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты

Выполнены логи программами и утилитами ClearLNK, AdwCleaner, и повторные логи Автологгером.

Примечание: вся работа выполнялась удаленно через Team Viewer.


Выполнены логи программами и утилитами ClearLNK, AdwCleaner, и повторные логи Автологгером.

Примечание: вся работа выполнялась удаленно через Team Viewer.

 Запрос на исследование вредоносного файла [KLAN-3338958501]

AdwCleanerS1.txt

ClearLNK-11.11.2015_20-44.log

CollectionLog-2015.11.11-21.14.zip

Ссылка на комментарий
Поделиться на другие сайты


Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

По данному вопросу...

Работа пк была временно приостановлена через Team Viewer.

Очистка программой AdwCleaner придется заняться позже, как только окажусь на рабочем месте (примерно через 8-10 часов (msk)).

 

К сведению:

было удалено антивирусное решение от Avast (free) и установлена временная лицензия KIS2016.

 

А на счет отчета по программе AdwCleaner.

Очистка найденных объектов не предпринималась так как, вы об этом не сообщали.

Полагался на то, что по отчету вы отсечете верные и не верные программы, плагины, скрипты и тому подобное.

А уж по вашему вердикту, провел бы повторный скан на наличие зловредов, с последующим устранением.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:


CreateRestorePoint:
CloseProcesses:

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

2015-11-11 16:51 - 2015-11-11 16:51 - 04320054 _____ C:\Users\Buh1\AppData\Roaming\90CADD4190CADD41.bmp
2015-11-11 16:00 - 2015-11-11 20:28 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-11-11 16:00 - 2015-11-11 20:28 - 00000000 __SHD C:\ProgramData\Windows

Task: {C26C2F6A-A742-44E8-9FA6-D088BBBBBEE0} - \SPBIW_UpdateTask_Time_323338353832373235372d7855236c575a4a5741415034 -> No File <==== ATTENTION




Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Maximus02
      От Maximus02
      1.zip
       
      Здравствуйте!
       
      Словили шифровальшик. Пока не выяснили источник, где был произведен запуск шифровальщика. Есть зашифрованные файлы с размером и окончанием .tae7AeTe. Также есть оригинальный файл с нулевым окончанием. Зашифровано все на NAS Synology.
      Помогите пожалуйста с расшифровкой, если это возможно.
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
    • ovfilinov
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
×
×
  • Создать...