Перейти к содержанию

Рекомендуемые сообщения

Шифровальщик сработал из архива, полученного по почте.

Заранее спасибо.

CollectionLog-2016.05.14-15.31.zip

Изменено пользователем x0mka
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Прошу прощения, кнопка "Загрузить" выглядит как будто неактивной, не сразу догадался её нажать.

 

Исправлено ^

Ссылка на комментарий
Поделиться на другие сайты

Сработал, потому что Ваши шаловливые ручки его и запустили, получив команду от мозга :)

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\content defender\nfregdrv.exe','');
 QuarantineFile('C:\Program Files\content defender\import_root_cert.exe','');
 QuarantineFile('C:\Program Files\content defender\contentdefenderps.dll','');
 QuarantineFile('C:\Program Files\content defender\condefsetup.exe','');
 QuarantineFile('C:\Program Files\content defender\condefclean.exe','');
 DeleteFile('C:\Program Files\content defender\condefclean.exe','32');
 DeleteFile('C:\Program Files\content defender\condefsetup.exe','32');
 DeleteFile('C:\Program Files\content defender\contentdefenderps.dll','32');
 DeleteFile('C:\Program Files\content defender\import_root_cert.exe','32');
 DeleteFile('C:\Program Files\content defender\nfregdrv.exe','32');
 DeleteFile('C:\Program Files\content defender\nss\certutil.exe','32');
 DeleteFile('C:\Program Files\content defender\nss\mozcrt19.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\nspr4.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\nss3.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\plc4.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\plds4.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\smime3.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\softokn3.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Re: da vinci code [KLAN-4269885827]
14 мая в 16:10
newvirus@kaspersky.com
 
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

nfregdrv.exe,
import_root_cert.exe,
contentdefenderps.dll,
condefsetup.exe,
condefclean.exe - not-a-virus:NetTool.Win32

.NetFilter.h

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

Ссылка на комментарий
Поделиться на другие сайты

Удалите в МВАМ все, кроме

HackTool.AutoKMS, C:\Users\арина\Desktop\с сервера\Users\NataKash\Desktop\KMSAuto Net.exe, , [daf18d4812872c0acd6f73426d940df3], 
HackTool.AutoKMS, C:\Users\арина\Desktop\с сервера\Users\Администратор\Desktop\KMSAuto Net.exe, , [48830dc877226ec8ea52fbbab051cc34],
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM-x32\...\Run: [] => [X]
BHO: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File
BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File
BHO-x32: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File
Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} -  No File
FF HKLM-x32\...\Firefox\Extensions: [{D19CA586-DD6C-4a0a-96F8-14644F340D60}] - C:\Program Files (x86)\Common Files\McAfee\SystemCore => not found
FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor => not found
CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\50.0.2661.102\gcswf32.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Windows\system32\Macromed\Flash\NPSWF32.dll => No File
CHR Plugin: (Silverlight Plug-In) - C:\Program Files (x86)\Microsoft Silverlight\4.0.50401.0\npctrl.dll => No File
CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\50.0.2661.102\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\50.0.2661.102\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.79\npGoogleUpdate3.dll => No File
2016-05-13 16:07 - 2016-05-13 16:07 - 03148854 _____ C:\Users\арина\AppData\Roaming\6EA68A7D6EA68A7D.bmp
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\арина\Desktop\README9.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\арина\Desktop\README8.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\арина\Desktop\README7.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\арина\Desktop\README6.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\арина\Desktop\README5.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\арина\Desktop\README4.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\арина\Desktop\README3.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\арина\Desktop\README2.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\арина\Desktop\README10.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\арина\Desktop\README1.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\Public\Desktop\README9.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\Public\Desktop\README8.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\Public\Desktop\README7.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\Public\Desktop\README6.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\Public\Desktop\README5.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\Public\Desktop\README4.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\Public\Desktop\README3.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\Public\Desktop\README2.txt
2016-05-13 16:07 - 2016-05-13 16:07 - 00002718 _____ C:\Users\Public\Desktop\README10.txt
2016-05-13 13:35 - 2016-05-14 13:46 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-05-13 13:35 - 2016-05-14 13:46 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ratava
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • kocks33
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Павел Ф.
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
×
×
  • Создать...