Перейти к содержанию

На другом ПК открыли заражённое письмо.

Admin_FO
 Share

Рекомендуемые сообщения

Admin_FO Новичок

Admin_FO

Опубликовано
Опубликовано

Admin_FO и как, помогло?

Пока держится.

ОС переустанавливал после форматирования всех дисков ПК.

На другом ПК открыли заражённое письмо.

Предупреждения на чёрном экране ещё нет, но некоторые файлы уже зашифрованы и так же на дисках несколько файлов Readme.txt с таким сообщением:

 

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
1FE91ECBF91EE77C0D51|0
на электронный адрес files1147@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
1FE91ECBF91EE77C0D51|0
to e-mail address files1147@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
Логи собрал.
 
С этим ПК переустановка не прокатит...  :ded:

CollectionLog-2015.12.09-11.33.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('TSSK', 4);
 SetServiceStart('TS888', 4);
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll','');
 QuarantineFile('C:\Users\1\AppData\Local\Host installer\3570203222_installcube.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\26930\Updater.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMUdisk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TS888.sys','32');
 DeleteFile('C:\Windows\system32\tssk.sys','32');
 DeleteFile('C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32');
 DeleteFile('C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
 DeleteFile('C:\Users\1\AppData\Local\26930\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
 DeleteFile('C:\Users\1\AppData\Local\Host installer\3570203222_installcube.exe','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg','command');
 DeleteService('QMUdisk');
 DeleteService('TS888');
 DeleteService('TSSK');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
O4 - HKLM\..\Run: [gpuminer] C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd
O4 - Startup: csrss.lnk = C:\ProgramData\Windows\csrss.exe
 
Сделайте новые логи по правилам (только пункт 2).

+ логи FRST
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты
Admin_FO Новичок

Admin_FO

Опубликовано
  • Автор
Опубликовано (изменено)

В процессе.

Прошу прощения за дилетантский вопрос, но

[/b] логи FRST[/b]

Это что за логи?

 

Upd.: разобрался, делаю.

Изменено пользователем Admin_FO
Ссылка на комментарий
Поделиться на другие сайты
Admin_FO Новичок

Admin_FO

Опубликовано
  • Автор
Опубликовано

Отчёт ClearLNK ClearLNK-11.12.2015_11-01.log

Ответ портала Kaspersky Virus Desk:

 

Здравствуйте,


Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

sgminer.cmd

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

Новые логи: CollectionLog-2015.12.11-11.40.zip

Логи FRST: FRST.txt

Файл Addition: Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • vovalist
      Как открыть LAN порты на роутере
      От vovalist
      Подскажите, роутер мгтс sercomm 6699. Хочу включить четыре lan порта для проводного интернета, чтобы интернет розетки заработали, не получается, инструкцию нигде не нашел. Как включить LAN порты?
    • Сергей рнд
      скачал и открыл файл, зашифровались данные
      От Сергей рнд
      Добрый день, нужна помощь в расшифровке ,прислали счет на оплату, я даже не понял от кого и естественно открыл,после чего зашифровалось все что было на компе,а на экране вылетело сообщение об оплате,откатывал систему не помогло,сбил виндовс и дальше продолжил работу,однако хотелось бы востановить клиентскую базу)вложу архив с запиской вымогателя,так же могу прикрепиShortcut.txtFRST.txtAddition.txtть почту с которой мне писали.. не понял только как выполнить это действие??вложите в сообщение логи, собранные Farbar Recovery Scan Tool,
      максим.rar
    • KL FC Bot
      Удаляем метаданные из фотографий, видео и других файлов: зачем и как | Блог Касперского
      От KL FC Bot
      Практически ежедневно мы делимся фотографиями, видео и документами, отправляем голосовые сообщения, письма по электронной почте, но практически никогда не задумываемся, что при этом передаем гораздо больше данных, чем предполагаем. Дело в том, что каждый файл содержит метаданные — служебную информацию о самом файле, в которой можно найти множество интересного и вовсе не предназначенного для чужих глаз: например, время и место съемки фото, историю редактирования документа, информацию о вашем устройстве, ваш IP-адрес, геолокацию и многое другое. И все это вместе с безобидным селфи или презентацией попадает в руки адресата, выкладывается в соцсети или публикуется на сайтах.
      Сегодня поговорим о пользе и вреде метаданных и расскажем о способах их удаления.
      Что такое метаданные и зачем они нужны
      Если говорить простым языком, то метаданные — это дополнительная информация о содержимом файла, добавляемая приложениями, создающими или обрабатывающими эти файлы, операционными системами или самими пользователями. В большинстве случаев метаданные создаются и обновляются автоматически: например, для файлов это могут быть такие атрибуты, как дата его создания, дата последнего изменения, тип, владелец и так далее. А когда мы делаем фотографию своим смартфоном или камерой, то в файл, помимо самого изображения, записываются дата и место съемки, параметры экспозиции, модель смартфона и другая информация, предусмотренная форматом EXIF. Набор этих данных может различаться в зависимости от модели и настроек камеры или смартфона.
      Некоторые метаданные находятся «на виду», и их легко отредактировать. Так, в аудиофайлах содержатся специальные теги, рассказывающие о содержимом: об авторе, исполнителе, альбоме, названии композиции, жанре, и их легко изменить практически в любом плеере.
       
      View the full article
    • Ilya
      Встречи фан-клубовцев в других городах
      От Ilya
      Друзья, как Вы все знаете, мы провели первую встречу участников фан-клуба Лаборатории Касперского, которая прошла Москве. Можно сказать, что это была встреча московского филиала фан-клуба.
       
      Как на счет других городов? Кто подхватит эстафету и порадует нас своими фото- и видео-отчетами?
       
      Уверен, фаны Антивируса Касперского есть везде и их нас много! Так давайте же больше общаться и получше узнаем друг друга.
       
      Пишите о своих инициативах здесь или созавайте отдельные ветки.
      ЛК со своей стороны готова всячески содействовать процессу этому
    • Alex Mor
      БД 1С и часть других файлов перемещены в RAR архив с паролем
      От Alex Mor
      Добрый день, Коллеги, столкнулся проблемой произошла утечка реквизитов одной из УЗ администраторов на win сервере, после чего злоумышленники подключились по RDP и переместили файлы БД 1С в запароленный RAR архив, в письме у злоумышленников указаны требования выкупа пароля и контакт:  kelianydo@gmail.com, если сталкивались, прошу помочь.
      пароль к архиву - копия (107) — копия — копия — копия — копия.txt
      CHANGES.txt NOTICE.txt
×
×
  • Создать...