Перейти к содержанию

Вложение из письма зашифровало все файлы на компьютере: email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0 ..... cbf


Рекомендуемые сообщения

На почту пришло письмо от "департамента досудебных разбирательств" они якобы уведомляют нас об начале какого-то уголовного дела. И для получения подробностей внизу письма стоит ссылка. которая скачивает утилиту.

Заражение произошло после скачивания и последующего запуска утилиты "archive.com Тип файла : Приложение MS-DOS." Все файлы были зашифрованы и изменено название   email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0.u.id-FMPRUVVVWWWXWYWXBCCDDDCCBCBBBBABAZYY-11.07.2016 8@33@591238518@@@@@8A12-EDB4.randomname-BUAAFFEDDBAZZZABAZAAKKIIIHGHGE.JRY.cbf 

Просканировал компьютер  Dr.Web CureIt!. поместил на карантин 5 вирусов

Прикрепляю архив с логом AutoLogger. При сборе логов интернет был отключен. Надеюсь на помощь.

Так же сохранились письмо с сылкой и утилита которая с нее скачивается при необходимости могу передать.

CollectionLog-2016.07.12-15.30.zip

Изменено пользователем SeregaDSO
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Admin\AppData\Local\Temp\27217837aq', '');
 QuarantineFile('C:\Windows\system32\dWOKlBThBgzEXc.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true);
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\27217837aq', '32');
 DeleteFile('C:\Windows\system32\dWOKlBThBgzEXc.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VoIIyfMIiQFSxitCiFcb_icTKP');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

Прикрепляю логи

Лаборатория ответила следующим образом:

 

[KLAN-4671789168]

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

No email attachments were found in the message that you have sent. If you attached files to your message, they may have been removed by the antivirus program before delivery. In this case please send the sample files again by adding them to an archive with the password infected.

Best Regards, Kaspersky Lab

 

2 раза так, второй раз заархивировал с паролем infected как указано в письме. могу переправить вам архив карантин.

ClearLNK-12.07.2016_17-41.log

CollectionLog-2016.07.12-17.58.zip

Ссылка на комментарий
Поделиться на другие сайты

Пока не нужно.

  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки и отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Web ProtectionAddon version 4.59

Интернет

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-3066595210-2618262784-941206034-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: NetSecurity v14.4.28 - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xwezu80i.default\extensions\likenetwork@it-taks.com [2014-05-05] [not signed]
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xwezu80i.default\extensions\vb@yandex.ru.xpi [not found]
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xwezu80i.default\extensions\yasearch@yandex.ru [not found]
CHR HomePage: Default -> file:///C:/Users/Admin/AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.IE5/JI1OM96J
CHR DefaultSuggestURL: Default -> hxxp://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}
2016-07-11 13:35 - 2016-07-11 13:35 - 0000094 ____C () C:\Program Files\GCSGMTSVMJ.STJ
2016-07-11 13:35 - 2016-07-11 13:35 - 0000095 ____C () C:\Program Files\KJQKDKFCVC.SEY
2016-07-11 13:29 - 2016-07-11 13:29 - 0381365 ____C () C:\Program Files\Virus.zip
C:\Users\Admin\AppData\Local\Temp\MailRuUpdater.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) - версия устарела и не поддерживается. Обновите до KES10.

Ссылка на комментарий
Поделиться на другие сайты

Web ProtectionAddon version 4.59  эта программа не хочет удаляться, выдается ошибка Rantime Error(at:1448): WinHttp.WinHttpRequest: не удается разрешить имя или адрес сервера.

так же в день заражения вирусом была установлена программа: mail attachment 1.2.4 издатель: adobe.inc Размер: 468КБ никто специально ее не устанавливал, может быть она имеет какое либо отношение к вирусу?

Ссылка на комментарий
Поделиться на другие сайты

С помощью предложенной программы в процессе удаления выскочила аналогичная ошибка, но удаление продолжилось предложило удалить запись в реестре, и после некоторые файлы. принял удаление в обоих случаях. программа исчезла из списка установленных программ.

А нас счет mail attachment ничего не можете сказать?

Прикрепляю также Fixlog

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KrivosheevYS
      От KrivosheevYS
      Здравствуйте!
      Поймали шифратор Neshto, зашифрованы файлы в корне папок диска (вложенные папки остались не повреждены)! расширение .XEXK просим о помощи в расшифровке.
      Файл с логами прилагается.
      Neshta.rar
    • Alexey.N
      От Alexey.N
      Добрый день!
      Утром 04.10.2024 обнаружили, что на компьютере пропали ярлыки и не открываются файлы.
      На всех папках стоит дата 03.10.24 вечером в 23:10 вирус проник и зашифровал.
      Записка злоумышленников есть, также все файлы имеют расширение почты и код блокировки. 
      Пример: Mail-[mammoncomltd@gmail.com]ID-[КОД БЛОКИРОВКИ].mammn
      Во вложении зашифрованные файлы в архиве и также в другом архиве логи.
       
      Зашифрованные файлы.rar FRST и Addition.rar
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
×
×
  • Создать...