Перейти к содержанию

Поймали вирус шифратор


Рекомендуемые сообщения

Добрый день. Бухгалтер поймал вирус шифратор 3.01.2016. 

Мои действия:

1. Создал запрос через личный кабинет и прикрепил следующие файлы: три зашифрованных документа, предупреждение о переводе денег и файл: как расшифровать файлы.

2. Решил так же написать на форум, так как это возможно ускорит поиск проблемы.

Сюда так же прикрепляю данный архив.

Номер обращения в лк: 

INC000005586187

вирус.xlsx.zip

Изменено пользователем Тимофей Горячев
Ссылка на комментарий
Поделиться на другие сайты

"Повезло" бухгалтеру. Поймала два разных шифровальщика. 

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на комментарий
Поделиться на другие сайты

Все готово:

1. Пункт выполнил

2. Результаты сканирования AutoLogger прикрепляю к данному сообщению.

CollectionLog-2016.01.05-14.06.zip

report1.log

report2.log

Изменено пользователем Тимофей Горячев
Ссылка на комментарий
Поделиться на другие сайты

Вложение из письма сохранилось?
 
 
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 QuarantineFile('C:\Program Files\1C\builds1.exe','');
 DeleteFile('C:\Program Files\1C\builds1.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Сделайте новые логи Автологгером. 
 

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Спасибо за ожидание.

номер с newvirus@kaspersky.com:

 

KLAN-3562965937

и файл карантина.

Все продублировано в личный кабинет.

quarantine.zip

Изменено пользователем Тимофей Горячев
Ссылка на комментарий
Поделиться на другие сайты

Файл успешно загружен

MD5 карантина: 6028B04C5D99952959DE278403E207BE

Размер файла: 40217989 байт

Ссылка на результаты анализа:Результаты анализа карантина

Тема для обсуждения результатов анализа: Результаты анализа карантина

Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.

Ссылка на комментарий
Поделиться на другие сайты

Вложение из письма не сохранилось. Высылаю новые логи. Так же нашел файлы до и после (одни не зашифрованы, другие такие же после действия вируса)

CollectionLog-2016.01.07-12.30.zip

До заражения и после.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
SearchScopes: HKU\S-1-5-21-1645522239-1935655697-1644491937-1004 -> DefaultScope {77F2B683-BFE4-4140-A5D5-3004C16E3A8F} URL = hxxp://inet123.ru/?cx=partner-pub-7107628092852806%3Asxiti5-ktqk&cof=FORID%3A10&ie=utf-8&q={searchTerms}&sa=%CF%EE%E8%F1%EA&siteurl=inet123.ru%2F#881
SearchScopes: HKU\S-1-5-21-1645522239-1935655697-1644491937-1004 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F} URL = hxxp://inet123.ru/?cx=partner-pub-7107628092852806%3Asxiti5-ktqk&cof=FORID%3A10&ie=utf-8&q={searchTerms}&sa=%CF%EE%E8%F1%EA&siteurl=inet123.ru%2F#881
SearchScopes: HKU\S-1-5-21-1645522239-1935655697-1644491937-1004 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F},Codepage,0x10001,e3,04,00,00 URL = 
BHO: Game BOX -> {E33FF41E-53CB-4D93-885A-FFEFA04CD804} -> C:\Program Files\Game BOX\ScriptHost.dll => No File
2016-01-03 17:28 - 2016-01-04 13:05 - 00000000 ____D C:\Program Files\1C
Folder: C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивируйте и пришлите 

C:\WINDOWS\email-edinstveniy_decoder@aol.com .ver-CL 1.2.0.0.id-QYELTZGMSZFMSZFLSXEKRXDJPVCIPUBHNTZG-03.01.2016 17@29@072793893.randomname-JRAGOVBIOVBHOUAGNTZGMTZGMTZGMT.AGN.cbf

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • KrivosheevYS
      От KrivosheevYS
      Здравствуйте!
      Поймали шифратор Neshto, зашифрованы файлы в корне папок диска (вложенные папки остались не повреждены)! расширение .XEXK просим о помощи в расшифровке.
      Файл с логами прилагается.
      Neshta.rar
    • organism
      От organism
      в выходные зашифровались все файлы, включая 1с
      установленный касперский больше не работает
      прилагаю образцы файлов и  сообщение от вируса
      пароль архива 32768
      эквилибриум.zip
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
×
×
  • Создать...