Перейти к содержанию

Neitrino повреждены файлы

Нотариус
 Поделиться

Рекомендуемые сообщения

Нотариус

Нотариус

Опубликовано
Опубликовано

Добрый день. По электронной почте было получены 2 письма с подозрительными вложениями. На следующий день обнаружили шифрование файлов с расширением .neitrino. Помогите, пожалуйста, справиться с проблемой. 

Addition.txt

FRST.txt

CollectionLog-2016.06.07-16.12.zip

mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  •  



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CloseProcesses:

HKLM-x32\...\Run: [Kinoroom Browser] => "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" -autorun

HKLM\...\Policies\Explorer\Run: [AppDownloads] => C:\Program Files (x86)\Common Files\D33F5AB9-93E4-4853-918A-B257ACAB9410\BAC242BD-EA99-4C1F-A521-0AEF67CA10F7.exe

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}

HKU\S-1-5-21-284963711-3495955792-3423792795-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9

SearchScopes: HKU\S-1-5-21-284963711-3495955792-3423792795-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9

OPR Extension: (Smart Browser™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\aeajehgeohhgjbhhbicilpenjfcbfnpg [2016-06-06]

OPR Extension: (Smart Browser™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhmpnibiagopmobamhlgaghkojlcjnfn [2016-06-06]

R1 {5eeb83d0-96ea-4249-942c-beead6847053}Gw64; C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys [61080 2014-09-08] (StdLib)

2016-06-06 20:34 - 2014-09-19 09:38 - 00000000 ____D C:\Users\User\AppData\Local\globalUpdate

Task: {15520436-E285-48D5-9070-2FFBBE8E6671} - \Microsoft\Windows\extsetuponce -> No File <==== ATTENTION

Task: {70A9609C-F032-4C85-9B39-482E24AF8A8E} - \Microsoft\Windows\342AC705-00C4-42DC-AAF2-C00D80587FE2 -> No File <==== ATTENTION

Task: {7910ACF4-8804-4233-B5B2-9ACD33D80217} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION

Task: {81A97BDA-50B9-4682-94B8-2BCA042732E5} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION

Task: {9BA6272B-7C1A-4CAF-9C39-505F0EF4AD77} - \Microsoft\extsetup -> No File <==== ATTENTION

Task: {9BC056CE-4DD7-40E6-B772-22A220F79FBA} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION

Task: {A1AA358D-4EAE-41A9-B3E4-F69C4F8F6930} - \Microsoft\extsetuponce -> No File <==== ATTENTION

Task: {AD01CCA6-42E5-4D16-ABB4-08D17B3BA059} - \Microsoft\Windows\A342AC705-00C4-42DC-AAF2-C00D80587FE2 -> No File <==== ATTENTION

Task: {EC7E1B24-F9BD-42CE-AB02-F6F3A163CD1F} - \KRB Updater Utility -> No File <==== ATTENTION

Task: {EE5796B1-8A8F-4155-B92E-C32121F9508F} - System32\Tasks\nethost task => C:\Users\User\AppData\Local\SystemDir\nethost.exe <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • PaNikVL
      Зашифровано .neitrino
      Автор PaNikVL
      Всем хорошего дня. В MS Outlook пришло письмо с резюме "Юлия, резюме менеджера.docx". Сотрудница умудрилась открыть. В результате файлы ноутбука с прикрепленной флешкой оказались зашифрованы. Лечение и сканирование пока не проводилось. собраны логи. прилагаю их и сопутствующие файлы.
      CollectionLog-2017.02.14-10.23.zip
      MESSAGE.txt
    • Юлия Т
      Neitrino. с почты "yulya" <tad_stiver_1996@inbox.ru> "Резюме на вакантную должность"
      Автор Юлия Т
      А можно тоже узнать,что с моими файлами и можно ли их восстановить?
      KL_syscure.zip
    • Алексей Милкин
      Поймал шифровальщик neitrino на сервере
      Автор Алексей Милкин
      Коллеги, помогите расшифровать файлы зашифрованные neitrino
       
      Пришло на почту резюме docx, открыл на локальном ноутбуке и потом обнаружил переименованные файлы .neitrino
       
      Проверил на вирусы с помощью eNod32, dr.Web, Касперским, вроде  почистил.
       
      Зараженный файл оставил. 
       
      Сделал - "Для диагностики Вашего компьютера консультантам на форуме требуются протокол исследования системы собранный с помощью утилиты AVZ"
       
      Помогите расшифровать файлы.
       
       
      KL_syscure.zip
    • АлексейС
      Шифровальщик .netrino
      Автор АлексейС
      Добрый, день сегодня с утра начали шифроваться файлы с расширением .netrino.
      CollectionLog-2017.01.12-13.32.zip
    • WhoIsIt
      Шифровальщик mr.anders@protonmail.com
      Автор WhoIsIt
      Добрый день.
       
      Один из сотрудников в офисе подхватил вирус-шифровальщик из электронной почты. Заметили достаточно поздно, файлы успели зашифроваться с расширением "*.neitrino", в каждом каталоге на диске создан текстовый файл "MESSAGE.txt" со следующим содержимым:
      "Запросить стоимость декриптора можно, написав письмо на адрес: mr.anders@protonmail.com
      В ТЕМЕ письма укажите ваш ID: хххххххххх
      Письма без указания ID игнорируются.
      Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
      Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.
      Приобрести декриптор можно до хх.хх.хххх
      Заявки обрабатываются автоматической системой".
       
      Сложность в том, что этот пользователь зараженного компьютера переслал письмо с вирусом другому сотруднику и на руках теперь 2-а зашифрованных компьютера одним и тем же шифровальщиком. К письму прикрепляю логи от первого компьютера.
       
      Прошу помочь дешифровать информацию на компьютере.
       
      CollectionLog-2017.01.16-11.23.zip
×
×
  • Создать...