Перейти к содержанию

Заражение всего компьютера вирусом с расширением cbf

Иван siemens
 Поделиться

Рекомендуемые сообщения

Иван siemens

Иван siemens

Опубликовано
Опубликовано

Здравствуйте уважаемые. 29 мая 2016 года ко мне пришло ожидаемое мною письмо с суда, после открытия его все ярлыки сменились на белые листики. Все файлы на компьютере полностью испорчены. 
Пробовал с сайта скачивать утилиты по раскодировке с сайта Касперского, но безуспешно. 

Помогите пожалуйста, я теперь не представляю, как мне быть.

Вот имя одного из файлов: email-cryptolocker@aol.com.ver-CL 1.3.0.0.id-GIIJLMNNOPQRRSSTUVWWXZAABCDEFFFGHIJJ-30.05.2016 10@55@042483965.randomname-RSTUUVWWXYYYZAABCDDDEEFGHHHIIJ.LLL.cbf

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано
Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



 QuarantineFile('C:\Program Files\UCBrowser\Application\update_task.exe','');

 DeleteService('LiveUpdateSvc');

 SetServiceStart('UCBrowserSvc', 4);

 DeleteService('UCBrowserSvc');

 TerminateProcessByName('c:\program files\ucbrowser\application\ucservice.exe');

 QuarantineFile('c:\program files\ucbrowser\application\ucservice.exe','');

 TerminateProcessByName('c:\program files\ucbrowser\application\ucbrowser.exe');

 QuarantineFile('c:\program files\ucbrowser\application\ucbrowser.exe','');

 DeleteFile('c:\program files\ucbrowser\application\ucbrowser.exe','32');

 DeleteFile('c:\program files\ucbrowser\application\ucservice.exe','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\5.6.11651.1011\chrome.dll','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\5.6.11651.1011\chrome_child.dll','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\5.6.11651.1011\chrome_elf.dll','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\5.6.11651.1011\libegl.dll','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\5.6.11651.1011\libglesv2.dll','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\5.6.11651.1011\UCProxySDK.dll','32');

 DeleteFile('LiveUpdateSvc.sys','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\update_task.exe','32');

 DeleteFile('C:\windows\Tasks\UCBrowserUpdater.job','32');

 DeleteFile('C:\windows\system32\Tasks\UCBrowserUpdater','32');



 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.
Будет выполнена перезагрузка компьютера.

 


Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)


 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Ссылка на комментарий
Поделиться на другие сайты
Иван siemens

Иван siemens

Опубликовано
  • Автор
Опубликовано (изменено)

Уважаемый thyrex. Мне никто еще не ответил с того адреса. Сам жду не дождусь... :)

Или же мне логи сделать сейчас, независимо, ответили мне или нет с Касперского?

Изменено пользователем Иван siemens
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1887249428-2126418045-1455006535-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
OPR Extension: (No Name) - C:\Users\Владелец\AppData\Roaming\Opera Software\Opera Stable\Extensions\mafpbclkdiejmpjnmioihcafdnlbmkco [2015-10-11]
OPR Extension: (PhoenixGuard v2.0 - бесплатный антивирус) - C:\Users\Владелец\AppData\Roaming\Opera Software\Opera Stable\Extensions\nkooappjeoniffjmoplbagpngedkckpl [2015-10-11]
2016-04-27 23:38 - 2016-04-27 23:38 - 00000000 ____D C:\Users\Владелец\AppData\Local\UCBrowser
2016-05-30 10:55 - 2016-05-30 10:55 - 0000082 _____ () C:\Program Files\FDOGDOXNSV.QLS
2015-04-16 22:19 - 2015-04-16 22:19 - 0000042 _____ () C:\Users\Владелец\AppData\Roaming\B423C06B70611A0639BC
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\ProgramData\Temp:07BF512B [149]
AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [274]
AlternateDataStreams: C:\ProgramData\Temp:A064CECC [274]
AlternateDataStreams: C:\ProgramData\Temp:D1B5B4F1 [130]
AlternateDataStreams: C:\Users\Все пользователи\Temp:07BF512B [149]
AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A [274]
AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC [274]
AlternateDataStreams: C:\Users\Все пользователи\Temp:D1B5B4F1 [130]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Viacheslau T
      [РЕШЕНО] Наличие вируса/автозагрузка майнера на компьютере.
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • Александр Помосов
      Зашифровали часть файлов на компьютере, расширение - .[helprequest@techmail.info].Elbie
      Автор Александр Помосов
      Добрый день!
      Сегодня, предположительно при установке mcafee webadvisor зашифровали почти все файлы.
      Первоначально было предположение о сбое, перезагружен компьютер. 
      При загрузке на рабочем столе выявлены файлы с расширением .[helprequest@techmail.info].Elbie
      Компьютер в этот момент отключил от сети, удалил из автозагрузки - позицию, вида - .cr_osn_f, в самой директории, куда ссылался запуск файл переместил и переименовал.
      Также был удалён пользователь(создан также шифровщиком), из-под которого это всё запустилось.
      Запустил Farbar Recovery Scan Tool, логи прилагаю. Также прилагаю в архиве пример двух зараженных файлов.
      Сам файл предположительно шифровальщика пока не прикрепляю(.cr_osn_f.exe), с данного компьютера файл удаляется Касперским. 
      Очень надеюсь на вашу помощь!
      FRST.txt Archive_19102022.7z
    • astraoren
      Зашифровались файлы, расширение .enc
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Алеся Сорокина
      Поймали на компьютере шифровальщик
      Автор Алеся Сорокина
      Операционная система была переустановлена. Письмо и примеры файлов приложили. Пароль на архив virus
      virus.zip
×
×
  • Создать...