Перейти к содержанию

На другом ПК открыли заражённое письмо.

Admin_FO
 Поделиться

Рекомендуемые сообщения

Admin_FO

Admin_FO

Опубликовано
Опубликовано

Admin_FO и как, помогло?

Пока держится.

ОС переустанавливал после форматирования всех дисков ПК.

На другом ПК открыли заражённое письмо.

Предупреждения на чёрном экране ещё нет, но некоторые файлы уже зашифрованы и так же на дисках несколько файлов Readme.txt с таким сообщением:

 

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
1FE91ECBF91EE77C0D51|0
на электронный адрес files1147@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
1FE91ECBF91EE77C0D51|0
to e-mail address files1147@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
Логи собрал.
 
С этим ПК переустановка не прокатит...  :ded:

CollectionLog-2015.12.09-11.33.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('TSSK', 4);
 SetServiceStart('TS888', 4);
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll','');
 QuarantineFile('C:\Users\1\AppData\Local\Host installer\3570203222_installcube.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\26930\Updater.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMUdisk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TS888.sys','32');
 DeleteFile('C:\Windows\system32\tssk.sys','32');
 DeleteFile('C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32');
 DeleteFile('C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
 DeleteFile('C:\Users\1\AppData\Local\26930\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
 DeleteFile('C:\Users\1\AppData\Local\Host installer\3570203222_installcube.exe','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg','command');
 DeleteService('QMUdisk');
 DeleteService('TS888');
 DeleteService('TSSK');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
O4 - HKLM\..\Run: [gpuminer] C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd
O4 - Startup: csrss.lnk = C:\ProgramData\Windows\csrss.exe
 
Сделайте новые логи по правилам (только пункт 2).

+ логи FRST
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты
Admin_FO

Admin_FO

Опубликовано
  • Автор
Опубликовано (изменено)

В процессе.

Прошу прощения за дилетантский вопрос, но

[/b] логи FRST[/b]

Это что за логи?

 

Upd.: разобрался, делаю.

Изменено пользователем Admin_FO
Ссылка на комментарий
Поделиться на другие сайты
Admin_FO

Admin_FO

Опубликовано
  • Автор
Опубликовано

Отчёт ClearLNK ClearLNK-11.12.2015_11-01.log

Ответ портала Kaspersky Virus Desk:

 

Здравствуйте,


Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

sgminer.cmd

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

Новые логи: CollectionLog-2015.12.11-11.40.zip

Логи FRST: FRST.txt

Файл Addition: Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ant1tr3nd
      Заражён шифровальщиком Hunter-X@tuta.io
      Автор ant1tr3nd
      Добрый день. Сервер был заражен шифровальщиком. 
      Все файлы он переименовал и добавил расширение
      ~$АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER
      Вот как выглядит зашифрованный файл. Раньше назывался просто АНАЛИЗ 2020
      Прошу помочь(
       
    • Vasikir
      Не могу открыть regedit (0xc0000017)
      Автор Vasikir
      Не уверен насчёт причины. Также были взломаны аккаунты telegram, discord, steam, google
      CollectionLog-2025.07.05-15.14.zip
    • KL FC Bot
      Что делать, если пришло фишинговое письмо | Блог Касперского
      Автор KL FC Bot
      Чаще всего фишинговые письма застревают в папке «Спам», потому что сегодня большинство из них легко распознаются почтовыми защитными системами. Но иногда эти системы ошибаются и в корзину попадают настоящие, не мошеннические сообщения. Сегодня расскажем, как распознать фишинговые письма и что с ними делать.
      Признаки фишинговых писем
      Существуют несколько общепринятых признаков, которые могут явно указывать на то, что письмо прислано мошенниками. Вот некоторые из них:
      Яркий заголовок. Фишинговое письмо, вероятнее всего, будет каплей в море вашего почтового ящика. Именно поэтому мошенники обычно стараются выделиться в наименовании словами-триггерами вроде «срочно», «приз», «деньги», «розыгрыш» и всем похожим, что должно побудить вас как можно скорее открыть письмо. Призыв к действию. Разумеется, в таком письме вас будут просить сделать хотя бы что-то из этого списка: перейти по ссылке, оплатить какую-нибудь ненужную вещь, посмотреть подробности во вложении. Главная цель злоумышленников — выманить жертву из почты в небезопасное пространство и заставить тратить деньги или терять доступы к аккаунтам. «Истекающий» таймер. В письме может быть таймер: «Перейдите по ссылке, она активна в течение 24 часов». Все подобные уловки — чушь, мошенникам выгодно торопить жертву, чтобы она начала паниковать и менее бережно относиться к своим деньгам. Ошибки в тексте письма. В последний год участились случаи, когда фишинговое письмо приходит сразу на нескольких языках, причем со странными ошибками. Странный адрес отправителя. Если вы живете, например, в России и вам пришло письмо с итальянского адреса — это повод насторожиться и полностью проигнорировать его содержимое. Раньше еще одним верным признаком фишингового письма было обезличенное обращение вроде «Уважаемый пользователь», но мошенники сделали шаг вперед. Теперь все чаще письма приходят адресные, с упоминанием имени жертвы. Их тоже нужно игнорировать.
       
      View the full article
    • KL FC Bot
      Фишинговое письмо с HR-гайдлайнами | Блог Касперского
      Автор KL FC Bot
      Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики.
      Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами
      Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее.
       
       
      View the full article
    • 49advan
      Как открыть карантин в андроид версии?
      Автор 49advan
      Старые способы не работают, банально нету вкладки сканер
×
×
  • Создать...