Перейти к содержанию

Зашифровались следующие файлы на компьютере .jpg, mp3, docx, rar, zip


Рекомендуемые сообщения

Хотел скачать бот с zismo, получил троян, о чем не подозревал. все файлы зашифровались на компьютере. Помогите пожалуйста.

Прикрепляю автологер и жду дальнейших указаний. Спасибо!

CollectionLog-2016.06.20-14.51.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AnySend

Reimage Repair

SVH

TNT2-11443 Toolbar

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\spacesondpro_v53.11846', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Winda\AppData\Local\03000200-1452440549-0500-0006-000700080009\cnso498.tmp', '');
 QuarantineFile('C:\Program Files (x86)\SpaceSondPro_v53.11846\ioproduct_service.bat', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('C:\Users\Winda\AppData\Local\Temp\Temp1_hda-32bit_Win7_Win8_Win81_R275.zip\0001-32bit_Win7_Win8_Win81_R275.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{CDFF2131-3AFF-47E6-8958-E861D163D751}" /F', 0, 15000, true);
 DeleteFile('C:\Users\Winda\AppData\Local\03000200-1452440549-0500-0006-000700080009\cnso498.tmp', '32');
 DeleteFile('C:\Program Files (x86)\SpaceSondPro_v53.11846\ioproduct_service.bat', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('c:\program files (x86)\spacesondpro_v53.11846', '*', true);
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('c:\program files (x86)\spacesondpro_v53.11846');
 DeleteDirectory('c:\program files\spacesoundpro');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IOPROTECT','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command');
 DeleteService('relibily');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alex Mor
      От Alex Mor
      Добрый день, Коллеги, столкнулся проблемой произошла утечка реквизитов одной из УЗ администраторов на win сервере, после чего злоумышленники подключились по RDP и переместили файлы БД 1С в запароленный RAR архив, в письме у злоумышленников указаны требования выкупа пароля и контакт:  kelianydo@gmail.com, если сталкивались, прошу помочь.
      пароль к архиву - копия (107) — копия — копия — копия — копия.txt
      CHANGES.txt NOTICE.txt
    • Alexey.N
      От Alexey.N
      Добрый день!
      Утром 04.10.2024 обнаружили, что на компьютере пропали ярлыки и не открываются файлы.
      На всех папках стоит дата 03.10.24 вечером в 23:10 вирус проник и зашифровал.
      Записка злоумышленников есть, также все файлы имеют расширение почты и код блокировки. 
      Пример: Mail-[mammoncomltd@gmail.com]ID-[КОД БЛОКИРОВКИ].mammn
      Во вложении зашифрованные файлы в архиве и также в другом архиве логи.
       
      Зашифрованные файлы.rar FRST и Addition.rar
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
×
×
  • Создать...