Перейти к содержанию

Поймал вирус-шифровальщик

Newdjeen
 Share

Рекомендуемые сообщения

  • 2 weeks later...
Newdjeen Новичок

Newdjeen

Опубликовано
  • Автор
Опубликовано (изменено)

Поймал вирус-шифровальщик email-panterra322@gmail.com

Файлы приняли вид:

Открыть для просмотра названия файла:

email-panterra322@gmail.com.ver-CL 1.2.0.0.id-OOPQRRSSTTTTUUVVWXXXXYYZZAABBCCCCDDE-16.11.2015 14@53@032135734.randomname-QSSSTTUUVWWXXXXYYZZAABBBBCCDDE.FFG.cbf

 

 

Логи AutoLogger (первый и второй способ) и Farbar Recovery  прилагаю

 

PS Извиняюсь за задержку - я из Крыма, у нас перебои со светом

Addition.txt

CollectionLog-2015.12.01-01.49.zip

CollectionLog-2015.12.01-01.55.zip

FRST.txt

Изменено пользователем Newdjeen
Ссылка на комментарий
Поделиться на другие сайты
Newdjeen Новичок

Newdjeen

Опубликовано
  • Автор
Опубликовано (изменено)

https://www.virustotal.com/en/file/3c13be48105569ae6305815cf3c62f646b6c8b23ae3a6b044de6d93edba04bb0/analysis/1448971533/

 

 

Вот еще скрин с отчета о сканировании KVRT2015 (не разобрался как вытащить лог в txt, поэтому сделал print screen)

 

6c2dfb69a6b6.png

Изменено пользователем Newdjeen
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2015-11-16 14:52 - 2015-11-16 14:52 - 0563200 _____ () C:\Program Files\1с_converter.exe
2015-11-16 14:53 - 2015-11-16 16:24 - 0000081 _____ () C:\Program Files\TYQYEXQJRR.LDM
Task: {7A56ED08-FC9D-40D6-B6DA-4CB7D4D1913B} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {84466975-15D3-426A-9061-3283E91F66B3} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
ShortcutWithArgument: C:\Users\Виктория\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /C "c:\program files\google\chrome\chrome.bat" <==== ATTENTION
ShortcutWithArgument: C:\Users\Виктория\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /C "c:\program files\internet explorer\iexplore.bat" <==== ATTENTION
ShortcutWithArgument: C:\Users\Виктория\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /C "c:\users\Виктория\appdata\local\yandex\yandexbrowser\application\browser.bat" <==== ATTENTION
AlternateDataStreams: C:\Users\Виктория:id
AlternateDataStreams: C:\ProgramData\TEMP:0B4227B4
AlternateDataStreams: C:\Users\Все пользователи\TEMP:0B4227B4
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
Newdjeen Новичок

Newdjeen

Опубликовано
  • Автор
Опубликовано

Спасибо за то, что хотя-бы попытались помочь

PS Уважаемый, thyrex, как Вы считаете - стоит ли обратиться в службу поддержки лаборатории касперского (действующая лицензия имеется) или же Ваш приговор окончательный, и с файлами можно попрощаться?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Можете попробовать обратиться в ТП вот так http://forum.kaspersky.com/index.php?showtopic=337288, но шанс мизерный
Если все сложится удачно, сообщите результат

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      От BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • Dmitriy_23
      [РЕШЕНО] Поймали вирусы, переименовались службы
      От Dmitriy_23
      Windows Server 2019, провели проверку утилитой KVRT. Утилита нашла в системе 2 угрозы: Trojan.Multi.BroSubsc.gen (System Memory), HEUR:Trojan.Multi.Agent.gen (C:\Windows\System32\Tasks\dialersvc64). Для первой угрозы предложено Лечить, для второй Удалить. Пока не выполняли действий над угрозами. Также в системе было обнаружено переименование служб:
      wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp
      Файлы логов AutoLogger, FRST в вложении.
       
      FRST64.7z CollectionLog-2025.01.22-21.20.zip CollectionLog-2025.01.22-21.01.7z FRST64.7z
    • Evgen001
      Поймал вирусы, переименовались службы
      От Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
×
×
  • Создать...