Перейти к содержанию

поимал письмо "счастья"


Александр Шуплецов

Рекомендуемые сообщения

Открыли отдельно письмо на этом компьютере?

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe','');
 QuarantineFile('C:\Program Files\contentprotector\nfregdrv.exe','');
 QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe','');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','');
 QuarantineFile('C:\Program Files\contentprotector\condefclean.exe','');
 QuarantineFile('C:\Documents and Settings\Наталья\Local Settings\Application Data\SaveYouTime\config.json','');
 QuarantineFile('C:\Documents and Settings\Наталья\Local Settings\Application Data\SaveYouTime\stub.exe','');
 SetServiceStart('ContentProtector', 4);
 SetServiceStart('ContentProtectorUpdate', 4);
 SetServiceStart('ContentProtectorDrv', 4);
 DeleteService('ContentProtectorDrv');
 DeleteService('ContentProtector');
 DeleteService('ContentProtectorUpdate');
 QuarantineFile('C:\WINDOWS\system32\drivers\ContentProtectorDrv.sys','');
 TerminateProcessByName('c:\program files\contentprotector\contentprotector.exe');
 TerminateProcessByName('c:\program files\contentprotector\contentprotectorupdate.exe');
 QuarantineFile('c:\program files\contentprotector\contentprotectorupdate.exe','');
 QuarantineFile('c:\program files\contentprotector\contentprotector.exe','');
 DeleteFile('c:\program files\contentprotector\contentprotector.exe','32');
 DeleteFile('c:\program files\contentprotector\contentprotectorupdate.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\ContentProtectorDrv.sys','32');
 DeleteFile('C:\Documents and Settings\Наталья\Local Settings\Application Data\SaveYouTime\stub.exe','32');
 DeleteFile('C:\Documents and Settings\Наталья\Local Settings\Application Data\SaveYouTime\config.json','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SaveYouTime');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe','32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe','32');
 DeleteFile('C:\Program Files\contentprotector\libeay32.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nfregdrv.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\ssleay32.dll','32');
DeleteFileMask('C:\Program Files\contentprotector', '*', true);
DeleteDirectory('C:\Program Files\contentprotector');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Открыли отдельно письмо на этом компьютере?

Не заметили, ну и ладно. Уже сам по логу увидел ответ на свой вопрос.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2016-04-05 08:25 - 2016-04-05 08:25 - 03932214 _____ C:\Documents and Settings\Наталья\Application Data\39CD609F39CD609F.bmp
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README9.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README8.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README7.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README6.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README5.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README4.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README3.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README2.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README10.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\Наталья\Рабочий стол\README1.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-04-05 08:25 - 2016-04-05 08:25 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-04-04 13:55 - 2016-04-05 10:30 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README9.txt
2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README8.txt
2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README7.txt
2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README6.txt
2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README5.txt
2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README4.txt
2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README3.txt
2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README2.txt
2016-04-04 13:55 - 2016-04-04 13:55 - 00001320 _____ C:\README10.txt
C:\Documents and Settings\Наталья\Local Settings\Temp\stub.exe
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:D8999815 [155]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ на второй машине

begin
ExecuteREpair(15); 
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Появился интернет?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Фишеры постоянно придумывают новые уловки и постоянно находят какие-нибудь новые сервисы, от имени которых они могут присылать фишинговые ссылки. В этот раз мы поговорим о фишинговых письмах, которые приходят от имени Docusign — самого популярного в мире сервиса для электронного подписания документов.
      Как устроены фишинговые атаки с письмами якобы от Docusign
      Атака начинается с электронного письма, обычно оформленного в стилистике Docusign. В случае данной схемы фишеры особенно не утруждают себя подделкой или маскировкой адреса, с которого отправлено письмо, поскольку в настоящих письмах от Docusign адрес отправителя может быть любым — сервис предусматривает такую кастомизацию.
      В большинстве случаев жертве сообщают о том, что требуется поставить электронную подпись на некий документ, чаще всего финансовый, точное назначение которого не вполне понятно из текста письма.
      Один из примеров фишингового письма от имени Docusign: в данном случае ссылка на фишинговую страницу находится прямо в теле письма
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Слово sextortion, образованное из слов sex и extortion (вымогательство), изначально означало шантаж при помощи компрометирующих фото и видео, которые злоумышленник получал, либо взломав устройство жертвы, либо добровольно от нее самой. Хотя эта форма преступления до сих пор существует, сегодня гораздо чаще встречаются ситуации, в которых никаких пикантных документов у шантажиста нет. Некоторые разновидности sextortion «работают» даже на тех людях, которые доподлинно знают, что компромата с их участием быть физически не может. Разберем все современные разновидности секс-шантажа и способы противодействия ему.
      «Ваша жена вам изменяет»
      Свежая разновидность вымогательства вместо стыда давит на ревность. Одному из супругов приходит e-mail о том, что некая «компания по безопасности» получила доступ (читай, взломала) ко всем данным на личных устройствах второго супруга и в этих данных есть подробные доказательства супружеской неверности. Для получения более подробной информации и архива со скачанными данными предлагается пройти по ссылке. Разумеется, на самом деле у злоумышленников нет никаких данных, кроме имен и адресов e-mail двух супругов, а по ссылке можно только расстаться со своими деньгами.
       
      View the full article
    • Марина Зюляева
      От Марина Зюляева
      Мне пришло вот такое письмо.
      Я тут же сменила пароль. А мне опять пришло такое же письмо, даже два подряд ???
    • KL FC Bot
      От KL FC Bot
      С начала лета системы «Лаборатории Касперского» фиксируют увеличение детектов трояна для удаленного доступа Remcos. Вероятная причина тому — волна рассылок вредоносных писем, в которых злоумышленники пытаются убедить сотрудников различных компаний перейти по ссылке для загрузки зловреда.
      Вредоносные письма
      Сама по себе уловка, которой пытаются воспользоваться злоумышленники, не нова. Они пишут от имени нового клиента, который хочет приобрести товары или услуги и пытается уточнить какую-то информацию: наличие или цену товаров по списку, соответствие их каким-то критериям и так далее. Главное, что для уточнения информации получатель должен перейти по ссылке и прочитать список этих самых критериев или требований. Для убедительности в письме часто спрашивают, как быстро получится организовать поставку, интересуются условиями международной доставки. Разумеется, по ссылке переходить не следует — она ведет не на список, а на вредоносный скрипт.
      Интересно место, выбранное злоумышленниками для хранения своего вредоносного скрипта. Ссылки имеют адрес вида https://cdn.discordapp.com/attachments/. Дело в том, что Discord — это вполне легитимная платформа, позволяющая обмениваться мгновенными сообщениями, совершать аудио- и видео-звонки, а главное пересылать различные файлы. Пользователь Discord может кликнуть на любой файл, пересланный через это приложение, и получить ссылку, по которой он будет доступен внешнему пользователю (это нужно чтобы, например, быстро поделиться файлом в другом мессенджере). Именно эти ссылки и выглядят как https://cdn.discordapp.com/attachments/ плюс некий набор цифр, идентифицирующий конкретный файл.
      Discord активно используют различные игровые сообщества, но иногда он применяется и компаниями для общения внутри различных команд и отделов или даже для связи с клиентами. Поэтому часто фильтры, отслеживающие вредоносный контент в письмах, не считают ссылки на файлы, хранящиеся на серверах Discord, подозрительными. По факту же, если получатель письма решит перейти по такой ссылке, то он, по сути, скачает вредоносный JavaScript с названием, имитирующим документ с информацией. Когда жертва попробует открыть этот файл, вредоносный скрипт запустит powershell, который, в свою очередь,  загрузит Remcos RAT на устройство пользователя.
       
      Посмотреть статью полностью
    • Alexander1308
      От Alexander1308
      Добрый день, якобы из налоговой пришло письмо на почту о задолженности (отправитель ФССП РОССИИ <fssp.ru.gov@mail.ru>), с текстом: "
      ФССП РОССИИ Автоматической системой мониторинга задолженностей управления ФССП была обнаружена задолженность по налогам и сборам (в том числе по транспортному, земельному или подоходному налогу) за расчетный период: 2022 г. Сумма задолженностей за 2022 год: 29 278 рублей 91 коп. Во избежание блокировки ваших счетов и банковских карт, согласно п. 1 ст. 395 гк рф и ч. 1 ст. 70, а также, руководствуясь федеральным законом № 229 «об исполнительном производстве» передачи вашего долга в производство принудительного взыскания в отдел судебных приставов по вашему региону, вам необходимо погасить задолженность до 25 апреля 2023 г. Подробная информация в прикрепленных документах." Скачали прикрепленный архив и все файлы зашифровались - огромное количество семейных фото, видео, документов. Прошу помощи специалистов! Логи Farbar.rar Поврежденные файлы и файл запроса.rar
       
      У всех файлов на конце расширение ".YQxJ912aP"
×
×
  • Создать...