Перейти к содержанию

Ваши файлы были зашифрованны

IMANHATEP
 Share

Рекомендуемые сообщения

IMANHATEP Новичок

IMANHATEP

Опубликовано
Опубликовано (изменено)

Добрый день.

После заражения черный экран, пишет ваши файлы были зашифрованы, все файлы стали с расширением .breaking_bad

перепробовал кучу способов  ничего не помогает.

Откат не возможен  , не в обычном не в безопасном режиме, пропали точки восстановления

прилагаю скрин рабочего стола и установленного антивируса 

это несколько файлов зараженных в обменнике

https://dropmefiles.com/urVmg

 

post-36520-0-98267400-1448584237_thumb.png

post-36520-0-29672400-1448584243_thumb.png

CollectionLog-2015.11.27-05.11.zip

Изменено пользователем IMANHATEP
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

 QuarantineFile('C:\Users\Lenovo\AppData\Local\IVNsoft\TcpApiLibs.dll','');

 QuarantineFile('C:\Users\Lenovo\AppData\Local\Odics\svrctrlMusic24.dll','');

 QuarantineFile('C:\Users\Lenovo\AppData\Local\IVNsoft\A457E89A.exe','');

 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');

 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');

 DeleteFile('C:\Users\Lenovo\AppData\Local\IVNsoft\A457E89A.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IVNsoft','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');

 DeleteFile('C:\Users\Lenovo\AppData\Local\Odics\svrctrlMusic24.dll','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odics','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Upmedia','command');

 DeleteFile('C:\Users\Lenovo\AppData\Local\IVNsoft\TcpApiLibs.dll','32');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Смените все пароли

 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты
IMANHATEP Новичок

IMANHATEP

Опубликовано
  • Автор
Опубликовано (изменено)

ребят как понял новый сбор логером делать после того, как ответят с newvirus@kaspersky.com

или прям сейчас

и по поводу пофиксить, в инструкции указанно укажите строки, а какие именно ставить, или опять таки позже 

то что вы написали сделал и отослал

и вот пришло письмо

Re: Запрос на исследование вредоносного файла [KLAN-3398164387

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

С уважением, Лаборатория Касперского

у меня вроде все отправлено и касперский не ругнулся

Изменено пользователем IMANHATEP
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-3873001402-3271944274-3806578644-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text={searchTerms}

HKU\S-1-5-21-3873001402-3271944274-3806578644-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text={searchTerms}

SearchScopes: HKU\S-1-5-21-3873001402-3271944274-3806578644-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text={searchTerms}

SearchScopes: HKU\S-1-5-21-3873001402-3271944274-3806578644-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text=

CHR Extension: (Стартовая — Яндекс) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdkihdhlegcdggknokfekoemkjjnjhgi [2015-08-30]

CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx

OPR Extension: (Dolka.ru) - C:\Users\Lenovo\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-06-16]

2015-11-19 23:20 - 2015-11-30 04:09 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Odics

2015-11-19 23:20 - 2015-11-27 03:41 - 00000000 ____D C:\Users\Lenovo\AppData\Local\IVNsoft

2015-11-19 23:17 - 2015-11-19 23:17 - 03148854 _____ C:\Users\Lenovo\AppData\Roaming\C46865E4C46865E4.bmp

2015-11-19 22:29 - 2015-11-23 17:11 - 00000000 __SHD C:\Users\Все пользователи\Windows

2015-11-19 22:29 - 2015-11-23 17:11 - 00000000 __SHD C:\ProgramData\Windows

ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://poisk-googlee.ru"  <==== ATTENTION

ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://poisk-googlee.ru"  <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.

 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

В п.5 предоставьте:

 

1. Файл Readme.txt

2. Несколько зашифрованных файлов в архиве.

Ссылка на комментарий
Поделиться на другие сайты
IMANHATEP Новичок

IMANHATEP

Опубликовано
  • Автор
Опубликовано (изменено)

это который после заражения появился , с описанием типа кому что заплатить, верно?

вот этот

README1.txt

Изменено пользователем IMANHATEP
Ссылка на комментарий
Поделиться на другие сайты
IMANHATEP Новичок

IMANHATEP

Опубликовано
  • Автор
Опубликовано

уточнил а то мало ли )) тут столько операций нужно было сделать )) что может еще куда что то припрятолось)) их на рабочем столе штук 20 ))


и еще прошу прощения по той ссылке как создавать , запрос вошел , пытаюсь посмотреть изображения , в пояснении как писать обращение , она меня отпинывает и пишет , несмотря на то что я авторизован и так не нашел где коды прикреплять, как раз по этой причине

У Вас нет прав на использование данной функции. Возможно, что Вы не вошли под своим именем пользователя. Если это так, пожалуйста, сделайте это.


все это решил и понял , что все эти коды совсем в другом месте , вот только там нужно буквенный код вносить а у меня файловый , он жесть короче , а не трабл


пи... ц там нет моего продукта при обращении , это корпоративная версия...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • vishnevskiyy
      Некоторыми параметрами управляет ваша организация
      От vishnevskiyy
      Не могу избавиться от этой надписи: Некоторыми параметрами управляет ваша организация.
      Все решения подобной проблемы заблокированы в самих параметрах Windows.

    • Yappiny
      С недавних пор появилось "Вашим браузером управляет организация"
      От Yappiny
      С недавних пор появилась надпись "Вашим браузером управляет организация". Перепробовал кучу вариантов решения проблемы и удалял политику через реестр и сканировал разными антивирусами, к слову антивирусы не определяют эту политику как вирус. Даже переустановил Windows, но это не помогло. После перезагрузки компьютера политика снова появляется в реестре, даже если Гугл Хром не установлен, не запускается она только в диагностическом режиме. Пока что проблем от этого не обнаружил, но это очень напрягает
      CollectionLog-2025.01.19-01.51.zip
    • SAVXNNXH
      [РЕШЕНО] два файла dwm.exe
      От SAVXNNXH
      При включении ПК запускается два файла dwm.exe, один из которых нагружает ПК на 70%, но при запуске Диспетчера задач файл снижает нагрузку до 0%. Путь двух dwm введет к оригинальному файлу. Антивирусы не видят этот файл
      CollectionLog-2025.01.15-20.17.zip
    • Gistap
      Два файла Dwm.exe
      От Gistap
      Когда я включаю пк у меня он начинает сильно шуметь и проц грузиться очень сильно, и грееться до 70 градусов на рабочем столе. Когда я открываю диспетчер задач до 2 dwm.exe который походу майнер снижает моментально нагрузку с цп, но его задачу можно снять и он не будет грузить систему будет только 1 dwm.exe файл. И ещё у того dwm exe который грузит цп путь такой же как и у оригинального, что мне в этом случае делать я уже всё антивирусы перепробовал и в безопасном режиме их прогонял что только я не делал, не должен же себя так вести себя dwm exe почему когда я открываю диспетчер задач нагрузка моментально падает это же не нормально. Я думал что это майнер, антивирусы находили трояны я их удалял в безопасном режиме. Почему их воопще 2 может эта ошибка системы?

    • 577kar
      Файлы заархивированы с паролем
      От 577kar
      Добрый день, обнаружили заархивированные с паролем файлы. Текстовый файл с адресом для запроса пароля для выкупа.
      Был открыт RDP порт на роутере для удаленного подключения на сервер, предположительно взлом или подбор паролей.
      FRST.7z Mail.7z
×
×
  • Создать...