Перейти к содержанию

Вложение из письма зашифровало все файлы на компьютере: email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0 ..... cbf


Рекомендуемые сообщения

Опубликовано (изменено)

На почту пришло письмо от "департамента досудебных разбирательств" они якобы уведомляют нас об начале какого-то уголовного дела. И для получения подробностей внизу письма стоит ссылка. которая скачивает утилиту.

Заражение произошло после скачивания и последующего запуска утилиты "archive.com Тип файла : Приложение MS-DOS." Все файлы были зашифрованы и изменено название   email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0.u.id-FMPRUVVVWWWXWYWXBCCDDDCCBCBBBBABAZYY-11.07.2016 8@33@591238518@@@@@8A12-EDB4.randomname-BUAAFFEDDBAZZZABAZAAKKIIIHGHGE.JRY.cbf 

Просканировал компьютер  Dr.Web CureIt!. поместил на карантин 5 вирусов

Прикрепляю архив с логом AutoLogger. При сборе логов интернет был отключен. Надеюсь на помощь.

Так же сохранились письмо с сылкой и утилита которая с нее скачивается при необходимости могу передать.

CollectionLog-2016.07.12-15.30.zip

Изменено пользователем SeregaDSO
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Admin\AppData\Local\Temp\27217837aq', '');
 QuarantineFile('C:\Windows\system32\dWOKlBThBgzEXc.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true);
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\27217837aq', '32');
 DeleteFile('C:\Windows\system32\dWOKlBThBgzEXc.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VoIIyfMIiQFSxitCiFcb_icTKP');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Опубликовано

Прикрепляю логи

Лаборатория ответила следующим образом:

 

[KLAN-4671789168]

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

No email attachments were found in the message that you have sent. If you attached files to your message, they may have been removed by the antivirus program before delivery. In this case please send the sample files again by adding them to an archive with the password infected.

Best Regards, Kaspersky Lab

 

2 раза так, второй раз заархивировал с паролем infected как указано в письме. могу переправить вам архив карантин.

ClearLNK-12.07.2016_17-41.log

CollectionLog-2016.07.12-17.58.zip

Опубликовано

Пока не нужно.

  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Опубликовано

Добрый день. Прикрепляю лог. А можно такой вопрос? после удаления вируса возможно будет восстановление файлов?

AdwCleanerS1.txt

Опубликовано

1.

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки и отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Web ProtectionAddon version 4.59

Интернет

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-3066595210-2618262784-941206034-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: NetSecurity v14.4.28 - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xwezu80i.default\extensions\likenetwork@it-taks.com [2014-05-05] [not signed]
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xwezu80i.default\extensions\vb@yandex.ru.xpi [not found]
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xwezu80i.default\extensions\yasearch@yandex.ru [not found]
CHR HomePage: Default -> file:///C:/Users/Admin/AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.IE5/JI1OM96J
CHR DefaultSuggestURL: Default -> hxxp://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}
2016-07-11 13:35 - 2016-07-11 13:35 - 0000094 ____C () C:\Program Files\GCSGMTSVMJ.STJ
2016-07-11 13:35 - 2016-07-11 13:35 - 0000095 ____C () C:\Program Files\KJQKDKFCVC.SEY
2016-07-11 13:29 - 2016-07-11 13:29 - 0381365 ____C () C:\Program Files\Virus.zip
C:\Users\Admin\AppData\Local\Temp\MailRuUpdater.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) - версия устарела и не поддерживается. Обновите до KES10.

Опубликовано

Web ProtectionAddon version 4.59  эта программа не хочет удаляться, выдается ошибка Rantime Error(at:1448): WinHttp.WinHttpRequest: не удается разрешить имя или адрес сервера.

так же в день заражения вирусом была установлена программа: mail attachment 1.2.4 издатель: adobe.inc Размер: 468КБ никто специально ее не устанавливал, может быть она имеет какое либо отношение к вирусу?

Опубликовано

Пробуйте удалить форсированно, например, через Revo Uninstall. Результат сообщите.

Опубликовано

С помощью предложенной программы в процессе удаления выскочила аналогичная ошибка, но удаление продолжилось предложило удалить запись в реестре, и после некоторые файлы. принял удаление в обоих случаях. программа исчезла из списка установленных программ.

А нас счет mail attachment ничего не можете сказать?

Прикрепляю также Fixlog

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ProntoAndrey
      Автор ProntoAndrey
      Здравствуйте! При обычной работе с почтовой программой Bat и обработке почтовых писем в один момент все файлы превратились в формат .cbf и через часа два на рабочем столе образовалась надпись "Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почтуiizomer@aol.com ..."
      Все файлы зашифрованы и переименованы в "email-iizomer@aol.com.ver-CL 1.2.0.0.id-OOPQRSSSTUVVWXXXYZAABBCCDEFFGGHHIJKK-02.11.2015 14@07@511428102.randomname-PQQRCCDDEFFGHHHIJKKLMMMNOOPQQQ.SST"
      Что делать и как быть? Очень нужно восстановить документы.
      Прошу о помощи.
      CollectionLog-2015.11.05-16.32.zip
    • GansZ
      Автор GansZ
      Логи новые
      CollectionLog-2015.11.04-10.58.zip
      New folder.rar
    • IvanBB
      Автор IvanBB
      Здравствуйте! Помогите расшифровать файлы формата .cbf
       
      Прилагаю отчет FRST
       

      и еще Addition
      FRST.txt
      Addition.txt
    • Minsheni
      Автор Minsheni
      Здравствуйте!
      У меня такая же проблема, троян от lizomer@aol.com
      Что делать?
      AdwCleanerC1.txt
      AdwCleanerS1.txt
      AdwCleanerS2.txt
    • GansZ
      Автор GansZ
      Добрый день, секретарь открыла вордовский файл от "налоговиков"
      и понеслось.
      email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-GHIJJKLMNOPQQRRSTUUVVWXYYZAABCCDEEFF-02.11.2015 12@00@208103872.randomname-OQRTUVWXYYZABCCDEFGGHHIJKLLMNO.PQR
       
      Прогнал 
      Farbar Recovery Scan ToolПрикрепил результаты. Так же могу прикрепить исходный файл "вордовский" и и логи почтовика.
      Addition.txt
      FRST.txt
×
×
  • Создать...