Перейти к содержанию

Вирус шифровальщик BREAKING_BAD


Дмитрий Машинков

Рекомендуемые сообщения

 На электронную почту пришло письмо от Ростелекома со счетом, скачали счет, и все рабочие файлы за 7 лет (word, exel. фото, видео) зашифровались и стали иметь вид: I0yJc97W15eFj1JI1fzyETvupXhjflRANaQ-jDVS6aPmDAfFnPjS67aboW7XRLoG-wKySPPp7pf4kj4-jFgcRA==.F8739579568E1FA9A569.breaking_bad пришлите пожалуйста расшифровщик , текстового файла с просьбой о перечислении денег не пришло. С уважением Дмитрий

KL_syscure.zip

Изменено пользователем Дмитрий Машинков
Ссылка на комментарий
Поделиться на другие сайты

все сделал согласно порядка оформления запроса, прикрепил нужный файл


По правилам этого форума нужен другой файл: Порядок оформления запроса о по

все сделал как просили

CollectionLog-2015.12.18-09.36.zip

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files\sfk\ssfk.exe');
 StopService('SSFK');
 StopService('WindowsMangerProtect');
 QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('c:\program files\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '');
 QuarantineFile('c:\program files\sfk\ssfk.exe', '');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '32');
 DeleteFile('c:\program files\sfk\ssfk.exe', '32');
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('c:\program files\sfk', '*', true);
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('c:\program files\sfk');
 DeleteService('SSFK');
 DeleteService('WindowsMangerProtect');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 

 
Компьютер перезагрузится
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files\sfk\ssfk.exe');
 StopService('SSFK');
 StopService('WindowsMangerProtect');
 QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('c:\program files\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '');
 QuarantineFile('c:\program files\sfk\ssfk.exe', '');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '32');
 DeleteFile('c:\program files\sfk\ssfk.exe', '32');
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('c:\program files\sfk', '*', true);
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('c:\program files\sfk');
 DeleteService('SSFK');
 DeleteService('WindowsMangerProtect');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 

 

Компьютер перезагрузится

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Все сделал, Файл quarantine.zip из папки с распакованной утилитой AVZ отправил отправьте по адресу newvirus@kaspersky.com

письмо не отправляется....пишет следующее:  

A message that you sent was rejected by the local scanning code that

checks incoming messages on this system. The following error was given:
 
  virus message discarded
Ссылка на комментарий
Поделиться на другие сайты

как и какие сделать новые логи? письма не отправляются....


Все отправил, на письмо с утилитой AVZ пришел ответ: KLAN-3498094537 Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

AdwCleaner[s1].txt

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского


На письмо с Adw cleaner пришел ответ KLAN-3498095335  Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

ProtectWindowsManager.exe,
SSFK.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского


Что делать сейчас?

Изменено пользователем Дмитрий Машинков
Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.
Подробнее читайте в этом руководстве.
 
 
2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:



start
CreateRestorePoint:
2015-12-15 15:22 - 2015-12-16 14:37 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-12-15 15:22 - 2015-12-16 14:37 - 00000000 __SHD C:\ProgramData\Windows
2015-12-11 10:51 - 2015-12-16 14:15 - 00000000 ____D C:\Users\Дима\AppData\LocalLow\Unity
2015-12-11 10:51 - 2015-12-16 13:53 - 00000000 ____D C:\Users\Дима\AppData\Local\Unity
2015-12-11 10:50 - 2015-12-11 10:50 - 00000000 ____D C:\Users\Дима\AppData\Roaming\MailProducts
2015-12-11 08:20 - 2015-12-11 08:20 - 00000000 ____D C:\Users\Дима\AppData\Local\WindowsUpdate
2015-12-10 10:01 - 2015-12-10 10:01 - 00000000 ____H C:\Windows\system32\Drivers\Msft_User_WpdFs_01_09_00.Wdf
C:\Users\Дима\AppData\Local\Temp\siinst.exe
Reboot:
end


и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Radik_Gilmanov
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
×
×
  • Создать...