Перейти к содержанию

На другом ПК открыли заражённое письмо.

Admin_FO
 Поделиться

Рекомендуемые сообщения

Admin_FO Новичок

Admin_FO

Опубликовано
Опубликовано

Admin_FO и как, помогло?

Пока держится.

ОС переустанавливал после форматирования всех дисков ПК.

На другом ПК открыли заражённое письмо.

Предупреждения на чёрном экране ещё нет, но некоторые файлы уже зашифрованы и так же на дисках несколько файлов Readme.txt с таким сообщением:

 

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
1FE91ECBF91EE77C0D51|0
на электронный адрес files1147@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
1FE91ECBF91EE77C0D51|0
to e-mail address files1147@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
Логи собрал.
 
С этим ПК переустановка не прокатит...  :ded:

CollectionLog-2015.12.09-11.33.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('TSSK', 4);
 SetServiceStart('TS888', 4);
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll','');
 QuarantineFile('C:\Users\1\AppData\Local\Host installer\3570203222_installcube.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\26930\Updater.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMUdisk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TS888.sys','32');
 DeleteFile('C:\Windows\system32\tssk.sys','32');
 DeleteFile('C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32');
 DeleteFile('C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
 DeleteFile('C:\Users\1\AppData\Local\26930\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
 DeleteFile('C:\Users\1\AppData\Local\Host installer\3570203222_installcube.exe','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg','command');
 DeleteService('QMUdisk');
 DeleteService('TS888');
 DeleteService('TSSK');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
O4 - HKLM\..\Run: [gpuminer] C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd
O4 - Startup: csrss.lnk = C:\ProgramData\Windows\csrss.exe
 
Сделайте новые логи по правилам (только пункт 2).

+ логи FRST
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты
Admin_FO Новичок

Admin_FO

Опубликовано
  • Автор
Опубликовано (изменено)

В процессе.

Прошу прощения за дилетантский вопрос, но

[/b] логи FRST[/b]

Это что за логи?

 

Upd.: разобрался, делаю.

Изменено пользователем Admin_FO
Ссылка на комментарий
Поделиться на другие сайты
Admin_FO Новичок

Admin_FO

Опубликовано
  • Автор
Опубликовано

Отчёт ClearLNK ClearLNK-11.12.2015_11-01.log

Ответ портала Kaspersky Virus Desk:

 

Здравствуйте,


Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

sgminer.cmd

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

Новые логи: CollectionLog-2015.12.11-11.40.zip

Логи FRST: FRST.txt

Файл Addition: Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 49advan
      Как открыть карантин в андроид версии?
      Автор 49advan
      Старые способы не работают, банально нету вкладки сканер
    • dkhilobok
      Весенний набор на стажировку SafeBoard открыт!
      Автор dkhilobok
      Принять участие в программе SafeBoard могут учащиеся вузов Москвы и Московской области любого курса, кроме выпускного.
      В текущем наборе кандидатам доступен выбор из 17 направлений. Среди них: C, C++, Java Script, Python, С#, DevOps, iOS-разработка, исследование вредоносного ПО. При этом можно податься на параллельный отбор сразу в несколько направлений и принять финальное решение в процессе общения с командами.
      Заявки принимаются до 20 апреля на сайте проекта. Стажировка проходит в московской штаб-квартире «Лаборатории Касперского».
      В этом наборе правила изменились: чем быстрее подашь заявку, тем ближе оффер. Всё зависит только от тебя — действуй!

    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • serj_serj
      Вирус или вредоносное ПО повредило все файлы MS Office (docx, xlsx и возможно другие)
      Автор serj_serj
      Добрый день!
      Столкнулся с каким-то вредоносным ПО скорее всего, которое повредило все мои файлы с расширением .docx и .xlsx. При попытке открытия файлов MS Office выдаёт сообщение "приложением word в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён.

      Сканировал Kaspersky Virus Removal Tool, обнаружены:
      1. MEM:Trojan.Win32.SEPEH.gen
      System Memory
      Троянская программа
      2. HEUR:HackTool.Win32.KMSAuto.gen
      C:\Windows\AAct_Tools\AAct.exe

      Пока никаких действий не принимал. Каких-либо действий по вымогательству (если это шифровальщик) не было.
      Логи прикрепляю.
      Получится ли восстановить данные из повреждённых файлов? 
      CollectionLog-2025.03.27-21.39.zip
      ещё для примера прикладываю архив с повреждёнными файлами
      повреждённые файлы.rar
    • KL FC Bot
      Защищаемся от атак в архивах ZIP, RAR, CAB, MSI, ISO и других | Блог Касперского
      Автор KL FC Bot
      Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средств защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах. Рассказываем, для чего злоумышленники могут использовать архивы.
      Доставка вредоносного ПО с обходом предупреждений Mark-of-the-Web
      Благодаря логическим особенностям и уязвимостям конкретных архиваторов, при распаковке под Windows у извлеченного файла иногда не устанавливаются атрибуты «загружен из Интернета» (Mark-of-the-Web, MOTW). Технически эти атрибуты сохраняются в альтернативном потоке данных (NTFS alternative data stream) Zone.Identifier. Если идентификатор указывает на внешний источник файла (ZoneID = 3, 4), то при попытке запуска исполняемого файла появляется предупреждение Windows, а Office автоматически открывает потенциально небезопасный документ в защищенном режиме.
      Эксплуатируя дефекты архиваторов, атакующие обходят этот слой защиты. Самой свежей уязвимостью, приводящей к инцидентам такого рода, стала CVE-2025-31334 в WinRAR, но этот случай не единичный: известны CVE-2025-0411 в 7-Zip, CVE-2024-8811 в WinZip и другие. Важно учитывать, что некоторые архиваторы вообще не поддерживают MOTW, устанавливают ее только для некоторых расширений файла либо только при определенных способах распаковки. Сводная таблица по поддержке MOTW архиваторами доступна на GitHub.
       
      View the full article
×
×
  • Создать...