Перейти к содержанию

Зашифрованы файлы AES256


Рекомендуемые сообщения

Здравствуйте. У меня таже проблемма.

Ноутбук проверил Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt.

Вот логи. Помогите пожалуйста.

 

 


Addition+FRST

CollectionLog-2016.01.13-15.35.zip

post-36820-0-76590700-1452689111_thumb.jpg

Addition+FRST.rar

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Поиск\appdata\roaming\windowsupdater\updater.exe','');
 QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('C:\Users\Поиск\AppData\Roaming\Browsers\exe.xoferif.bat','');
 DeleteFile('C:\Users\Поиск\AppData\Roaming\Browsers\exe.xoferif.bat','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP1','32');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP2','32');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP3','32');
 DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\windows\system32\Tasks\chrome5','32');
 DeleteFile('C:\windows\system32\Tasks\chrome5_logon','32');
 DeleteFile('C:\Users\Поиск\appdata\roaming\windowsupdater\updater.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Поиск\appdata\roaming\windowsupdater\updater.exe','');
 QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('C:\Users\Поиск\AppData\Roaming\Browsers\exe.xoferif.bat','');
 DeleteFile('C:\Users\Поиск\AppData\Roaming\Browsers\exe.xoferif.bat','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP1','32');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP2','32');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP3','32');
 DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\windows\system32\Tasks\chrome5','32');
 DeleteFile('C:\windows\system32\Tasks\chrome5_logon','32');
 DeleteFile('C:\Users\Поиск\appdata\roaming\windowsupdater\updater.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.


Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

 

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

а где взять номер номера KLAN?

Ссылка на комментарий
Поделиться на другие сайты

В заголовке ответного письма. Где новые логи Автологгера?

понял

почту тоже отправил (c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com)

пришло письмо от каспера: quarantine.zip Этот файл повреждён. вторая часть скрипта отработала с ошибкой, quarantine.zip пустой. прилагаю два фото

ClearLNK-14.01.2016_09-14.log

CollectionLog-2016.01.14-09.41.zip

post-36820-0-19459600-1452756661_thumb.jpg

post-36820-0-65183100-1452756663_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Удалил антивирус Сezurity, Outpost Firewall pro. 

 

Попробовал собрать логи еще раз

 

Выполнил скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.

 

-прошло без ошибки

-quarantine.zip пустой

 

Еще хочу сказать, что ноутбук нормально не выключается. Может дело в этом.

После завершения работы появляется "завершение работы и настройка параметров системы".Но не зависает.

В безопасном режиме перегружается нормально. Все не системные процессы отключены в автозагрузке.

post-36820-0-71497900-1452773383_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Для того, чтобы выполнить указанный скрипт, не нужно запускать автологгер. Вот инструкция.

Но повторять уже не нужно.

 

Подготовьте лог сканирования MBAM.

Ссылка на комментарий
Поделиться на другие сайты

Все равно quarantine.zip пустой. На newvirus@kaspersky.com отсылать нечего.

Лог Mbam сразу выложу

подскажите что мне делать с quarantine.zip

mbam.txt

Ссылка на комментарий
Поделиться на другие сайты

 

 


что мне делать с quarantine.zip

Раз карантин пустой, то и делать ничего не нужно.

 

Удалите все, найденное MBAM.

 

Затем:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

найденное удалил, вот отчет


извиняюсь в предыдущем отчете поставил галочку на параметре "90 Days Files"

отсканировал  по новому


архив 5 без параметра  "90 Days Files"

4.rar

5.rar

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

IObit Unlocker

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3829145886-4170465736-3822527919-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3829145886-4170465736-3822527919-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: No Name - C:\Program Files\BetterSurf\BetterSurfPlus\ff [not found]
FF Extension: No Name - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha246\ff [not found]
FF Extension: No Name - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta261\ff [not found]
FF Extension: No Name - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha451\ff [not found]
FF Extension: No Name - C:\Program Files\MediaWatchV1\MediaWatchV1home880\ff [not found]
FF Extension: No Name - C:\Users\Поиск\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\iobitascsurfingprotection@iobit.com [not found]
CHR Plugin: (Conduit Chrome Plugin) - C:\Users\Поиск\AppData\Local\Google\Chrome\User Data\Default\Extensions\ikloigadafpfgepigfclhbfehilnljkg\10.11.21.5_0\plugins/ConduitChromeApiPlugin.dll => No File
CHR Plugin: (Conduit Radio Plugin) - C:\Users\Поиск\AppData\Local\Google\Chrome\User Data\Default\Extensions\ikloigadafpfgepigfclhbfehilnljkg\10.11.21.5_0\plugins/np-cwmp.dll => No File
2016-01-09 19:03 - 2016-01-13 12:51 - 00000000 ____D C:\Users\Поиск\AppData\Roaming\OdnUqnxVqtAcmfpq4n
2016-01-09 17:39 - 2016-01-09 17:40 - 00000000 ____D C:\Users\Поиск\AppData\Roaming\Mobogenie
2016-01-09 17:39 - 2016-01-09 17:39 - 00000000 ____D C:\Users\Поиск\mobogenieP2sp
2016-01-09 16:49 - 2016-01-14 08:25 - 00000000 ____D C:\Users\Поиск\AppData\Roaming\WindowsUpdater
2016-01-09 16:48 - 2016-01-09 17:59 - 00000000 ____D C:\Users\Поиск\AppData\LocalLow\Unity
2016-01-09 16:48 - 2016-01-09 17:59 - 00000000 ____D C:\Users\Поиск\AppData\Local\Unity
2016-01-09 16:48 - 2016-01-09 16:48 - 00000000 ____D C:\Users\Поиск\AppData\Roaming\MailProducts
2016-01-12 11:36 - 2015-01-20 22:27 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-01-12 11:36 - 2015-01-20 22:27 - 00000000 ____D C:\ProgramData\IObit
2016-01-12 11:36 - 2015-01-20 22:27 - 00000000 ____D C:\Program Files\IObit
2016-01-09 18:00 - 2013-11-16 21:00 - 00000000 ____D C:\Users\Поиск\Documents\Mobogenie
2016-01-09 17:59 - 2015-05-06 15:10 - 00000000 ____D C:\Users\Поиск\AppData\Local\Amigo
C:\Users\Поиск\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Поиск\AppData\Local\Temp\DPInstx64.exe
C:\Users\Поиск\AppData\Local\Temp\DPInstx86.exe
C:\Users\Поиск\AppData\Local\Temp\DPInst_Monx64.exe
C:\Users\Поиск\AppData\Local\Temp\DPInst_Monx86.exe
C:\Users\Поиск\AppData\Local\Temp\dskinengine.dll
C:\Users\Поиск\AppData\Local\Temp\exereader.exe
C:\Users\Поиск\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
C:\Users\Поиск\AppData\Local\Temp\hcv_mailruhomesearch.exe
C:\Users\Поиск\AppData\Local\Temp\InstHelp.dll
C:\Users\Поиск\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Поиск\AppData\Local\Temp\MobogenieSetup.exe
C:\Users\Поиск\AppData\Local\Temp\op_install.dll
C:\Users\Поиск\AppData\Local\Temp\OS_Detect.exe
C:\Users\Поиск\AppData\Local\Temp\OutpostProInstall.exe
C:\Users\Поиск\AppData\Local\Temp\OutpostProInstall_x64.exe
C:\Users\Поиск\AppData\Local\Temp\QQPCMgr_Setup.exe
C:\Users\Поиск\AppData\Local\Temp\runprog.exe
C:\Users\Поиск\AppData\Local\Temp\sender.exe
C:\Users\Поиск\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Поиск\AppData\Local\Temp\UmmyVideoDownloader.exe
C:\Users\Поиск\AppData\Local\Temp\Uninstall.exe
C:\Users\Поиск\AppData\Local\Temp\w7_gui.dll
C:\Users\Поиск\AppData\Local\Temp\xp_gui.dll
C:\Users\Поиск\AppData\Local\Temp\YandexWorking.exe
C:\Users\Поиск\AppData\Local\Temp\yupdate-exec-yabrowser.exe
Task: {277E7D9B-B636-4C4C-9FD4-017354F690A7} - \APSnotifierPP3 -> No File <==== ATTENTION
Task: {49EB9408-5F26-427F-9119-D1E7010FCC08} - \APSnotifierPP2 -> No File <==== ATTENTION
Task: {524EDD10-3ED6-4898-99F3-233FE02B772C} - \advSRS4 -> No File <==== ATTENTION
Task: {61122169-DA76-4322-978C-2BD79588E1EA} - \APSnotifierPP1 -> No File <==== ATTENTION
Task: {82B6A7AE-4CD6-4978-96CE-AE748F0AA26E} - \{EFC473F0-116B-4F2E-BB55-8032E61397AD} -> No File <==== ATTENTION
Task: {A3896491-88AC-463A-9601-5BE6B8AE1CC7} - \chrome5 -> No File <==== ATTENTION
Task: {DCAAC1FC-33E9-4F52-BE5F-686F329976BB} - \chrome5_logon -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Поиск\Local Settings:wa
AlternateDataStreams: C:\Users\Поиск\AppData\Local:wa
AlternateDataStreams: C:\Users\Поиск\AppData\Local\Application Data:wa
FirewallRules: [{65DB7A01-8A4F-42CE-8165-B3DF84C79A65}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe
FirewallRules: [{2E9E2999-69B2-4AED-A339-C31E686182BD}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...