Перейти к содержанию

Вирус зашифровал файлы cerber


Рекомендуемые сообщения

Помогите пжл!!! Вирус зашифровал файлы. Сначала на карте памяти от фотоаппарата потом на всем компе. Хотя и удаляла его с помощью антивируса. Как понять что вирус точно удален? Проверка антивирусником говорит, что все ок. 

Есть файлы зашифрованные а есть нет. 

 

 

Ссылка на комментарий
Поделиться на другие сайты

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Olchik\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
 QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
 QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','');
 QuarantineFile('C:\Users\Olchik\AppData\Local\SystemDir\nethost.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\Program Files\Microsoft Data\install_addons.exe','');
 DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
 QuarantineFile('C:\Program Files\SupTab\SupTab.dll','');
 QuarantineFile('C:\Users\Olchik\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\8C8FEC86-F48D-4557-A32B-47DD31643BB6.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\1F7821C6-29B6-4FC2-83DB-E19D38BF3753\19E67078-B4C5-426F-A707-941BF03A7949.exe','');
 QuarantineFile('C:\ProgramData\IePluginServices\PluginService.exe','');
 DeleteService('IePluginServices');
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
 DeleteFile('C:\ProgramData\IePluginServices\PluginService.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Optimizer Pro');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MailRuUpdater');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\1F7821C6-29B6-4FC2-83DB-E19D38BF3753\19E67078-B4C5-426F-A707-941BF03A7949.exe','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\8C8FEC86-F48D-4557-A32B-47DD31643BB6.exe','32');
 DeleteFile('C:\Users\Olchik\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1F7821C6-29B6-4FC2-83DB-E19D38BF3753');
 DeleteFile('C:\Program Files\SupTab\SupTab.dll','32');
 DeleteFile('C:\Program Files\Microsoft Data\install_addons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
 DeleteFile('C:\Windows\system32\Tasks\extsetup','32');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\MailRuUpdater','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A8C8FEC86-F48D-4557-A32B-47DD31643BB6','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A1F7821C6-29B6-4FC2-83DB-E19D38BF3753','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\8C8FEC86-F48D-4557-A32B-47DD31643BB6','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\1F7821C6-29B6-4FC2-83DB-E19D38BF3753','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','32');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','32');
 DeleteFile('C:\Users\Olchik\AppData\Local\SystemDir\nethost.exe','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SafeBrowser','32');
 DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','32');
 DeleteFile('C:\Windows\system32\Tasks\Reimage Reminder','32');
 DeleteFile('C:\Users\Olchik\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

KLAN-4627583522

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afw

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

ReimageReminder.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ruhttp://www.viruslist.ru"

CollectionLog-2016.07.06-01.43.zip

Изменено пользователем Ольга Лазарева
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Что-то я не вижу в логах ни одного шифрованного Cerber'ом файла.


Заархивируйте с паролем virus файлы

C:\Users\Olchik\AppData\Local\Temp\ea1f-9e33-918c-a782.exe
C:\Users\Olchik\AppData\Local\Temp\film.exe

Выложите полученный архив на Яндекс диск и пришлите ссылку мне в личные сообщения


1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4273447121-2994177606-3282118587-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sweet-page.com/?type=hp&ts=1407500224&from=cor&uid=3219913727_1787_08262387
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1407500224&from=cor&uid=3219913727_1787_08262387
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms}
HKU\S-1-5-21-4273447121-2994177606-3282118587-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1407500224&from=cor&uid=3219913727_1787_08262387
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4273447121-2994177606-3282118587-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4273447121-2994177606-3282118587-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-11-15]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-11-15]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2015-11-15]
OPR Extension: (Smart Browser™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcahibnffhnnjcedflmchmokndkjnhpg [2015-11-15]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-11-15]
OPR Extension: (Smart Browser) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2015-11-15]
S4 ca82e1a5; "C:\Windows\system32\rundll32.exe" "c:\Program Files\Optimizer Pro\OptProCrash.dll",SVC
2016-07-05 19:58 - 2016-07-05 20:00 - 00000000 ____D C:\rei
2016-07-05 19:58 - 2016-07-05 19:59 - 00000150 _____ C:\Windows\Reimage.ini
2016-07-05 19:58 - 2016-07-05 19:59 - 00000000 ____D C:\ProgramData\Reimage Protector
2016-07-05 19:58 - 2016-07-05 19:58 - 00002022 _____ C:\Users\Public\Desktop\PC Scan & Repair by Reimage.lnk
2016-07-05 19:58 - 2016-07-05 19:58 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
2016-07-05 19:58 - 2016-07-05 19:58 - 00000000 ____D C:\Program Files\Reimage
2016-07-05 20:18 - 2015-05-31 17:14 - 00000000 ____D C:\ProgramData\KRB Updater Utility
Task: {298D4EDD-700D-4C18-9506-D87EC57A0B59} - \MailRuUpdater -> No File <==== ATTENTION
Task: {40C441C9-8CE8-4979-A784-4A7FFFBB0FD2} - \chrome5_logon -> No File <==== ATTENTION
Task: {47B16313-5A2E-46B3-8458-F25D56A9DA01} - \nethost task -> No File <==== ATTENTION
Task: {49CEEF28-9134-42A3-85B4-1B25989C6ED3} - \SafeBrowser -> No File <==== ATTENTION
Task: {4CC22A3B-72A3-4C81-97B9-3EB5FA0E4E93} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {5F20E0C9-B401-491E-9F09-46517926E2EA} - \extsetup -> No File <==== ATTENTION
Task: {612B813C-0ED9-48D7-8435-E75A94AE1A2A} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {623AE489-1473-4101-ACDC-3A2EEFABD153} - \Microsoft\Windows\8C8FEC86-F48D-4557-A32B-47DD31643BB6 -> No File <==== ATTENTION
Task: {65BFA48C-7BE8-4E72-9459-A2A933495592} - \chrome5 -> No File <==== ATTENTION
Task: {9D728D04-7029-4F7C-B485-7CD4687471EE} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {B7B1D654-4114-4C81-AD64-693B29A81D71} - \Microsoft\Windows\1F7821C6-29B6-4FC2-83DB-E19D38BF3753 -> No File <==== ATTENTION
Task: {C7F61C13-F6DB-4AD2-B8E4-6478F6B1A2A4} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {D05B38BE-F4FE-4B70-BC35-43BA85A1215C} - \Microsoft\Windows\A1F7821C6-29B6-4FC2-83DB-E19D38BF3753 -> No File <==== ATTENTION
Task: {E4FA2694-5936-493A-8A9D-60D4DB53CC2A} - \ReimageUpdater -> No File <==== ATTENTION
Task: {F68E6486-701F-419E-9338-3406609ACEE1} - \Reimage Reminder -> No File <==== ATTENTION
Task: {F784A757-98B1-43C7-B81D-05FF48EB7CD6} - \Microsoft\Windows\A8C8FEC86-F48D-4557-A32B-47DD31643BB6 -> No File <==== ATTENTION
C:\Users\Olchik\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
Reboot:

2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Что-то я не вижу в логах ни одного шифрованного Cerber'ом файла.

Это я для себя написал? Более того, нет даже файлов с сообщениями для связи со злодеями.

Ссылка на комментарий
Поделиться на другие сайты

 

Что-то я не вижу в логах ни одного шифрованного Cerber'ом файла.

Это я для себя написал? Более того, нет даже файлов с сообщениями для связи со злодеями.

 

Извините. 

Сам файл-письмо в формате HTML 

в архиве приложила два файла. один в доке другой txt. есть так же зашифрованый файл и его копия нормальная(только много весит это фотография)

 

Скажите если изначально шифрование началось с карты памяти фотоаппарата и далее вирус распространился     по всему компу.

 

1. может ли вирус быть в фотоаппарате - карту повторно туда вставляла.

2.можно ли как то восстановить фотографии на карте? 

HOW TO DECRYPT FILES.html

shifr.rar

Ссылка на комментарий
Поделиться на другие сайты

Хм, это подделка под Cerber. Скорее всего Xorist. Сейчас пойду изучать присланные Вами вчера файлы.

Но шанс мал, что это они.

 

Что запустили перед появлением шифрования?

Ссылка на комментарий
Поделиться на другие сайты

Хм, это подделка под Cerber. Скорее всего Xorist. Сейчас пойду изучать присланные Вами вчера файлы.

Но шанс мал, что это они.

 

Что запустили перед появлением шифрования?

Вы знаете я фотографией занимаюсь. 

И вот пытаюсь вспомнить и ничего не могу припомнить(почту я не открываю аля вредоносные файлы). Единственный момент у меня недавно полетел монитор(просто не включался) и я установила монитор мужа. И стала искать программу для настройки монитора. Скачала одну(уже не помню название) установила но она оказалась бестолковой. Я думаю это был вирус. Так как шифровка файлов началась с карты памяти. Так же устанавливала на компьютер яндексДиск. 

Ссылка на комментарий
Поделиться на другие сайты

есть так же зашифрованый файл и его копия нормальная

выложите в архиве на Яндекс диск и пришлите мне ссылку
Ссылка на комментарий
Поделиться на другие сайты

Файлы скинула. Они большого размера -то что в быстром доступе. Могу найти поменьше если это принципиально - но нужно время. 

 

У меня кстати Касперский опять вирусу Троян обнаружил - сегодня. Хотя думала, что все удалено. Спасибо за то, что вы делаете  :)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...