Перейти к содержанию

Поймали вирус шифратор

Тимофей Горячев

От Тимофей Горячев
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Тимофей Горячев Новичок

Тимофей Горячев

Опубликовано
Опубликовано (изменено)

Добрый день. Бухгалтер поймал вирус шифратор 3.01.2016. 

Мои действия:

1. Создал запрос через личный кабинет и прикрепил следующие файлы: три зашифрованных документа, предупреждение о переводе денег и файл: как расшифровать файлы.

2. Решил так же написать на форум, так как это возможно ускорит поиск проблемы.

Сюда так же прикрепляю данный архив.

Номер обращения в лк: 

INC000005586187

вирус.xlsx.zip

Изменено пользователем Тимофей Горячев
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

"Повезло" бухгалтеру. Поймала два разных шифровальщика. 

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на комментарий
Поделиться на другие сайты
Тимофей Горячев Новичок

Тимофей Горячев

Опубликовано
  • Автор
Опубликовано (изменено)

Все готово:

1. Пункт выполнил

2. Результаты сканирования AutoLogger прикрепляю к данному сообщению.

CollectionLog-2016.01.05-14.06.zip

report1.log

report2.log

Изменено пользователем Тимофей Горячев
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)
Вложение из письма сохранилось?
 
 
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 QuarantineFile('C:\Program Files\1C\builds1.exe','');
 DeleteFile('C:\Program Files\1C\builds1.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Сделайте новые логи Автологгером. 
 

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
Тимофей Горячев Новичок

Тимофей Горячев

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо за ожидание.

номер с newvirus@kaspersky.com:

 

KLAN-3562965937

и файл карантина.

Все продублировано в личный кабинет.

quarantine.zip

Изменено пользователем Тимофей Горячев
Ссылка на комментарий
Поделиться на другие сайты
Тимофей Горячев Новичок

Тимофей Горячев

Опубликовано
  • Автор
Опубликовано

Файл успешно загружен

MD5 карантина: 6028B04C5D99952959DE278403E207BE

Размер файла: 40217989 байт

Ссылка на результаты анализа:Результаты анализа карантина

Тема для обсуждения результатов анализа: Результаты анализа карантина

Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.

Ссылка на комментарий
Поделиться на другие сайты
Тимофей Горячев Новичок

Тимофей Горячев

Опубликовано
  • Автор
Опубликовано

Вложение из письма не сохранилось. Высылаю новые логи. Так же нашел файлы до и после (одни не зашифрованы, другие такие же после действия вируса)

CollectionLog-2016.01.07-12.30.zip

До заражения и после.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

SearchScopes: HKU\S-1-5-21-1645522239-1935655697-1644491937-1004 -> DefaultScope {77F2B683-BFE4-4140-A5D5-3004C16E3A8F} URL = hxxp://inet123.ru/?cx=partner-pub-7107628092852806%3Asxiti5-ktqk&cof=FORID%3A10&ie=utf-8&q={searchTerms}&sa=%CF%EE%E8%F1%EA&siteurl=inet123.ru%2F#881

SearchScopes: HKU\S-1-5-21-1645522239-1935655697-1644491937-1004 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F} URL = hxxp://inet123.ru/?cx=partner-pub-7107628092852806%3Asxiti5-ktqk&cof=FORID%3A10&ie=utf-8&q={searchTerms}&sa=%CF%EE%E8%F1%EA&siteurl=inet123.ru%2F#881

SearchScopes: HKU\S-1-5-21-1645522239-1935655697-1644491937-1004 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F},Codepage,0x10001,e3,04,00,00 URL = 

BHO: Game BOX -> {E33FF41E-53CB-4D93-885A-FFEFA04CD804} -> C:\Program Files\Game BOX\ScriptHost.dll => No File

2016-01-03 17:28 - 2016-01-04 13:05 - 00000000 ____D C:\Program Files\1C

Folder: C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.

 

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Заархивируйте и пришлите 

C:\WINDOWS\email-edinstveniy_decoder@aol.com .ver-CL 1.2.0.0.id-QYELTZGMSZFMSZFLSXEKRXDJPVCIPUBHNTZG-03.01.2016 17@29@072793893.randomname-JRAGOVBIOVBHOUAGNTZGMTZGMTZGMT.AGN.cbf

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Pavel Morozov
      Поймал вирус шифратор Black Bit
      От Pavel Morozov
      На протяжении некоторого времени, мой компьютер находился во включенном состоянии. Ранее я баловался с удаленным доступом к компьютеру через удаленный рабочий стол. Сегодня вывел компьютер из спящего режима и увидел на рабочем столе изображение с надписью "BLACK BIT и т.д", изображение с полным текстом в архиве, также я написал сообщение на указанный почтовый адрес изображение с ответом также есть в архиве. По инструкции в архив были добавлены зашифрованные файлы и их оригиналы, а также файлы которые создал вирус, это два файла "Cpriv.BlackBit", "Cpriv2.BlackBit", "info.hta" и "Restore-My-Files.txt". Также в инструкции было написан про "Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool" данная программа не запускается от слова совсем не в обычном режиме не в режиме администратора.
      файлы.rar
    • Dmitriy_23
      [РЕШЕНО] Поймали вирусы, переименовались службы
      От Dmitriy_23
      Windows Server 2019, провели проверку утилитой KVRT. Утилита нашла в системе 2 угрозы: Trojan.Multi.BroSubsc.gen (System Memory), HEUR:Trojan.Multi.Agent.gen (C:\Windows\System32\Tasks\dialersvc64). Для первой угрозы предложено Лечить, для второй Удалить. Пока не выполняли действий над угрозами. Также в системе было обнаружено переименование служб:
      wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp
      Файлы логов AutoLogger, FRST в вложении.
       
      FRST64.7z CollectionLog-2025.01.22-21.20.zip CollectionLog-2025.01.22-21.01.7z FRST64.7z
    • Evgen001
      Поймал вирусы, переименовались службы
      От Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • Мелькор
      Поймал майнера
      От Мелькор
      А вы можете и мне помочь пожалуйста? А то ноуту тяжело, а мне печально от этого((
      Desktop.rar
       
      Сообщение от модератора thyrex Перенесено из темы
×
×
  • Создать...