Перейти к содержанию

На другом ПК открыли заражённое письмо.


Рекомендуемые сообщения

Admin_FO и как, помогло?

Пока держится.

ОС переустанавливал после форматирования всех дисков ПК.

На другом ПК открыли заражённое письмо.

Предупреждения на чёрном экране ещё нет, но некоторые файлы уже зашифрованы и так же на дисках несколько файлов Readme.txt с таким сообщением:

 

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
1FE91ECBF91EE77C0D51|0
на электронный адрес files1147@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
1FE91ECBF91EE77C0D51|0
to e-mail address files1147@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
Логи собрал.
 
С этим ПК переустановка не прокатит...  :ded:

CollectionLog-2015.12.09-11.33.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('TSSK', 4);
 SetServiceStart('TS888', 4);
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll','');
 QuarantineFile('C:\Users\1\AppData\Local\Host installer\3570203222_installcube.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\26930\Updater.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMUdisk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TS888.sys','32');
 DeleteFile('C:\Windows\system32\tssk.sys','32');
 DeleteFile('C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32');
 DeleteFile('C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
 DeleteFile('C:\Users\1\AppData\Local\26930\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
 DeleteFile('C:\Users\1\AppData\Local\Host installer\3570203222_installcube.exe','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg','command');
 DeleteService('QMUdisk');
 DeleteService('TS888');
 DeleteService('TSSK');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
O4 - HKLM\..\Run: [gpuminer] C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd
O4 - Startup: csrss.lnk = C:\ProgramData\Windows\csrss.exe
 
Сделайте новые логи по правилам (только пункт 2).

+ логи FRST
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты

В процессе.

Прошу прощения за дилетантский вопрос, но

[/b] логи FRST[/b]

Это что за логи?

 

Upd.: разобрался, делаю.

Изменено пользователем Admin_FO
Ссылка на комментарий
Поделиться на другие сайты

Отчёт ClearLNK ClearLNK-11.12.2015_11-01.log

Ответ портала Kaspersky Virus Desk:

 

Здравствуйте,


Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

sgminer.cmd

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

Новые логи: CollectionLog-2015.12.11-11.40.zip

Логи FRST: FRST.txt

Файл Addition: Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ilya
      От Ilya
      Друзья, как Вы все знаете, мы провели первую встречу участников фан-клуба Лаборатории Касперского, которая прошла Москве. Можно сказать, что это была встреча московского филиала фан-клуба.
       
      Как на счет других городов? Кто подхватит эстафету и порадует нас своими фото- и видео-отчетами?
       
      Уверен, фаны Антивируса Касперского есть везде и их нас много! Так давайте же больше общаться и получше узнаем друг друга.
       
      Пишите о своих инициативах здесь или созавайте отдельные ветки.
      ЛК со своей стороны готова всячески содействовать процессу этому
    • E.K.
      От E.K.
      Всем привет!
       
      Постоянным читателям моих историй хорошо известно, что покататься на машинке по красивым дальним местам, да на приличные расстояния, да особенно самому за рулём - это одно из моих самых любимых занятий. Ещё в начале 2000-х искатал самое разное Средиземье (рассказы, например, здесь про Крит и здесь про Сицилию), катался по обеим Америкам (например, вот так по Западному побережью и недавно тоже вот так по Чили), и по Великой Океанской дороге в Австралии довелось порулить, а недельная+ поездка по Намибии - это вообще одно из самых ярких воспоминаний жизни. А в самом начале 2021 года практически неожиданно с группой любопытных единомышленников мы проехали всю трассу Колыма от Магадана до Якутска - и настолько обалдели от увиденного и пережитого, что в феврале 2022-го повторили этот заезд (с некоторыми изменениями маршрута, конечно же).
       
      Так вот, держит нас Север и никак отпускать не собирается. А поскольку активное естество требует всё более острых ощущений, то в этот раз было решено ехать ещё дальше на самые дальние пределы Крайнего Севера, в Арктику, на южные побережья самых северных морей, к Северному Ледовитому океану. Было решено попробовать добраться до посёлка Тикси, что на берегу моря Лаптевых, а для этого планировалось проехать около 4тыс.км по сибирским автозимникам.
       
      Какое такое "Тикси"? Что такое "автозимник" (или просто "зимник") и зачем? - очевидно спросят 90+% читающих этот текст. На эти вопросы отвечу чуть позже, а пока же расскажу про "зачем". Да просто это фантастически, нереально красиво! Таких картинок вы в обычной жизни даже по телевизору не увидите. Даже не расскажет никто толком, поскольку туристический поток в тех местах просто отсутствует, а у полярных дальнобойщиков свой собственный мир. Плюс к тому это запредельно необычно, абсолютно нереально. Подобные приключения в жизни подавляющего большинства всех нас не происходят никак и никогда. В довесок ко всему этому: нет ничего лучше и увлекательней, чем совместные преодоления заранее запланированных трудностей и препятствий
       
      Но пора бы уже и фотки показать, специально отобранные из более чем 2 тысяч отснятых за время поездки. Фотки будут не только мои, но и от моих случайных постоянных попутчиков - им потом отдельные спасибы скажу, если не забуду
       
      Вот, например, такая фотка, которая просто на обложку книжки какой-нибудь просится:

       
      Арктические красоты:

       
      Белые пространства -

       
      И такие виды - бесконечны...

       
      Дорожные картинки - этого будет очень много По льду и снегу, в лесу -

       
      - и по арктическим тундрам.

       
      И зимние красоты на перевалах:

    • KL FC Bot
      От KL FC Bot
      Фишеры постоянно придумывают новые уловки и постоянно находят какие-нибудь новые сервисы, от имени которых они могут присылать фишинговые ссылки. В этот раз мы поговорим о фишинговых письмах, которые приходят от имени Docusign — самого популярного в мире сервиса для электронного подписания документов.
      Как устроены фишинговые атаки с письмами якобы от Docusign
      Атака начинается с электронного письма, обычно оформленного в стилистике Docusign. В случае данной схемы фишеры особенно не утруждают себя подделкой или маскировкой адреса, с которого отправлено письмо, поскольку в настоящих письмах от Docusign адрес отправителя может быть любым — сервис предусматривает такую кастомизацию.
      В большинстве случаев жертве сообщают о том, что требуется поставить электронную подпись на некий документ, чаще всего финансовый, точное назначение которого не вполне понятно из текста письма.
      Один из примеров фишингового письма от имени Docusign: в данном случае ссылка на фишинговую страницу находится прямо в теле письма
       
      View the full article
    • Alex Mor
      От Alex Mor
      Добрый день, Коллеги, столкнулся проблемой произошла утечка реквизитов одной из УЗ администраторов на win сервере, после чего злоумышленники подключились по RDP и переместили файлы БД 1С в запароленный RAR архив, в письме у злоумышленников указаны требования выкупа пароля и контакт:  kelianydo@gmail.com, если сталкивались, прошу помочь.
      пароль к архиву - копия (107) — копия — копия — копия — копия.txt
      CHANGES.txt NOTICE.txt
    • KL FC Bot
      От KL FC Bot
      Слово sextortion, образованное из слов sex и extortion (вымогательство), изначально означало шантаж при помощи компрометирующих фото и видео, которые злоумышленник получал, либо взломав устройство жертвы, либо добровольно от нее самой. Хотя эта форма преступления до сих пор существует, сегодня гораздо чаще встречаются ситуации, в которых никаких пикантных документов у шантажиста нет. Некоторые разновидности sextortion «работают» даже на тех людях, которые доподлинно знают, что компромата с их участием быть физически не может. Разберем все современные разновидности секс-шантажа и способы противодействия ему.
      «Ваша жена вам изменяет»
      Свежая разновидность вымогательства вместо стыда давит на ревность. Одному из супругов приходит e-mail о том, что некая «компания по безопасности» получила доступ (читай, взломала) ко всем данным на личных устройствах второго супруга и в этих данных есть подробные доказательства супружеской неверности. Для получения более подробной информации и архива со скачанными данными предлагается пройти по ссылке. Разумеется, на самом деле у злоумышленников нет никаких данных, кроме имен и адресов e-mail двух супругов, а по ссылке можно только расстаться со своими деньгами.
       
      View the full article
×
×
  • Создать...