Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Доброго здоровья, сегодня прислали письмо, причем Юзеры пересылали меж собой несколько раз, в итоге бух перешел по ссылке из письма.
В результате зашифрован комп и через сетевой диск сервер...

 

PS: Логи делал на сервере, вечером сделаю логи с рабочей станции.

 

Всех сисадминов с праздником!

Addition.txt

CollectionLog_2016.07.26_18.48.zip

FRST.txt

Shortcut.txt

post-39622-0-65563400-1469777471.jpg

Опубликовано

Логи нужны с компьютера бухгалтера, а не с сервера

Опубликовано

Логи нужны с компьютера бухгалтера, а не с сервера

сервак тоже зашифрован...

Опубликовано

Чтобы не мучать себя и Вас, скажу сразу - с расшифровкой помочь не сможем.

 

Чтобы убедиться, что активного заражения нет, нужны логи с компьютера бухгалтера

Опубликовано (изменено)

Чтобы не мучать себя и Вас, скажу сразу - с расшифровкой помочь не сможем.

 

Чтобы убедиться, что активного заражения нет, нужны логи с компьютера бухгалтера

 

Удалось по удаленке выгрузить, посмотрите что получилось...

 

Я понимаю, что с этим проблема. К стати прошлый раз специалисты с тех поддержки смогли сделать дешифратор, за что и огромное спасибо! (восстановилось 99,9% информации)

CollectionLog-2016.07.29-23.30.zip

report1.log

report2.log

Изменено пользователем Noch_Hak
Опубликовано

 

 


К стати прошлый раз специалисты с тех поддержки смогли сделать дешифратор

и с тех пор Ваш Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 так и не был апгрейджен до KES 10... ((

здесь надо проверить настройки.
DNS точно вражеский (первый)
надо сменить.
прокси если не ваш - тоже.
 

Interface: "Подключение по локальной сети"
IPAddress = "10.10.9.153"
SubnetMask = "255.255.255.0"
DefaultGateway = "10.10.9.254"
NameServer = "37.10.116.201,8.8.8.8"

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('amsint32', 4);
 QuarantineFile('C:\WINDOWS\system32\drivers\tjmpin.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\tjmpin.sys','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
 DeleteService('amsint32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.
Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.
2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.
3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 2).
Опубликовано (изменено)
Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

 

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

CollectionLog-2016.08.02-14.15.zip

Изменено пользователем Noch_Hak
Опубликовано (изменено)

Это ответ https://companyaccount.kaspersky.com

Reply to customer

Александр, здравствуйте!
Мы провели анализ предоставленных Вами файлов.
Анализ показал, что файлы зашифрованы модификацией Trojan-Ransom.Win32.Cryakl. .

Для шифрования используется криптографически стойкий алгоритм, поэтому расшифровка файлов на данный момент, к сожалению, не представляется возможной.
Мы продолжаем работы по расшифровке. В случае успеха декриптор будет предоставлен в рамках запроса.

Изменено пользователем Noch_Hak
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Опубликовано (изменено)

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

 

 

Logger.rar

Изменено пользователем Noch_Hak
Опубликовано
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

Tcpip\..\Interfaces\{67DEBFF1-497A-449A-A6FF-E2456520053A}: [NameServer] 37.10.116.201,8.8.8.8
URLSearchHook: [S-1-5-21-1801674531-606747145-682003330-1003] ATTENTION => Default URLSearchHook is missing
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1801674531-606747145-682003330-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1801674531-606747145-682003330-1003 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} -  No File
CHR HKLM\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge] - hxxps://clients2.google.com/service/update2/crx
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\PepperFlash\pepflashplayer.dll => No File
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll => No File
CHR Plugin: (Java(TM) Platform SE 7 U25) - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll => No File
CHR Plugin: (Java Deployment Toolkit 7.0.250.17) - C:\WINDOWS\system32\npDeployJava1.dll => No File
U2 CertPropSvc; no ImagePath
S4 IntelIde; no ImagePath
U1 WS2IFSL; no ImagePath

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

продублирую, раз игнорите.

 


и с тех пор Ваш Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 так и не был апгрейджен до KES 10... ((
Опубликовано

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

Tcpip\..\Interfaces\{67DEBFF1-497A-449A-A6FF-E2456520053A}: [NameServer] 37.10.116.201,8.8.8.8
URLSearchHook: [S-1-5-21-1801674531-606747145-682003330-1003] ATTENTION => Default URLSearchHook is missing
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1801674531-606747145-682003330-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1801674531-606747145-682003330-1003 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} -  No File
CHR HKLM\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge] - hxxps://clients2.google.com/service/update2/crx
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\PepperFlash\pepflashplayer.dll => No File
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll => No File
CHR Plugin: (Java(TM) Platform SE 7 U25) - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll => No File
CHR Plugin: (Java Deployment Toolkit 7.0.250.17) - C:\WINDOWS\system32\npDeployJava1.dll => No File
U2 CertPropSvc; no ImagePath
S4 IntelIde; no ImagePath
U1 WS2IFSL; no ImagePath

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

продублирую, раз игнорите.

 

 

и с тех пор Ваш Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 так и не был апгрейджен до KES 10... ((

 

Нет, я не игнорировал вопрос. Если вежливо то просто не допускали до этого компьютера, как говорится нет взаимопонимания между мной, замом руководителя, начальником бухов и моим начальником. Что вылилось в три попытки самому уволиться и три раза пытались сократить. Вот и результат, что бух ткнул кудато, а я крайний... 

Как обычно куча обязанностей т.к. у компьютерщика всегда работы нет!

Fixlog.txt

Опубликовано

Мусор вычистили. Остальное не в наших силах

Опубликовано

Мусор вычистили. Остальное не в наших силах

СПАСИБО! можете посмотреть с моего ПК мусор?

а то пока я в отпуске был на нем работал другой человек, за ранее благодарен

CollectionLog-2016.08.03-09.33.zip

Addition.txt

FRST.txt

Shortcut.txt

  • 2 недели спустя...
Опубликовано

Доброго дня, периодически мне на почту сыпется архивы и ссылки, в последнем прислали вирус "Trojan-Downloader.JS.Agent.mbg" кому то так заинтересовала инфа с моего компьютера....

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Kalipso
      Автор Kalipso
      Здравствуйте
      Поймали шифорвальщика:
      email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-FHIJJKKLMNOOOPQQRSSSTUUVWWWXYZZABBBC-28.09.2015 8@48@429544804.randomname-BDEFGHHIJKKKLMMNOPPPQRRSTTTUVW.XXX.cbf Укреплаю все нужные и может ненужные логи и файлы
      В архиве 2 вируса-шифровальщика. Пароль на архив - virus
       
      Антивирус стоит Kaspersky
       
      Можете помочь дешифровать, пожалуйта?
       

      Сообщение от модератора Mark D. Pearlstone Вредоносные файлы не форум не прикрепляйте. Архив удалён. avz_log.txt
      cureit.rar
    • ngri1@yandex.ru
      Автор ngri1@yandex.ru
      Здравствуйте.
       
      По почте 24.-9.2015 пришел файл *.exe
       
      Пользователь запустил его и в итоге были зашифрованы все файлы word.
       
      Kaspersky разрешил его выполнение - пропустил.
       
      Машина несколько раз перезагружалась.
       
      После чего Kaspersky обнаружил вирус Trojan-Dropper.Win32.Injector.nklv
       
      Лог AutoLogger прилагается.
       
      С уважением.
      CollectionLog-2015.09.25-08.20.zip
    • wcresaw
      Автор wcresaw
      Добрый день.

      После открытия файла по почте все офисные файлы зашифрованны и  имеют имя email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0.id-VWWXYZABBCDDEFFGHHIJKKKLMNOOPPQRSSST-25.09.2015 8@37@469435045.randomname-ZABBCDEFGGGHIJKKKLMNOPPPQRSSTT.UVW.cbf

      результат сканирования FRST прилогаю.
      есть возможность расшифровать файлы?
      FRST.txt
      Addition.txt
    • andrey170782
      Автор andrey170782
      Вирус зашифровал файлы doc -WORD документы , они стали вот такого формата 
      email-gerkaman@aol.com.ver-CL 1.0.0.0.id-LEVGLWACKRKRTGDCGKHHKHEKEVSRVMJITPLO-25.09.2015 9@55@158965846.randomname-BXDVNYCZWEVDHAASOOHPKCCDQRRKAI.UHG.cbf
      email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0.id-ZRVAVNLALBYXVJIZFKBAGIAZLCKJUTKQWNMI-25.09.2015 9@57@379911804.randomname-LICODDAHFMTSFVLCJARRYYRKJJKKJR.YSY.cbf
       
       
      На всех компьютерах установлен касперский , обновляется регулярно . После обнаружения вирусного шифровальщика , через центр управления принудительно запустили обновление баз на всех  компах и сканирование.
      .
       
      CollectionLog-2015.09.26-11.36.zip
    • andrey170782
      Автор andrey170782
      Добрый день!
       
      Зашифровались файлы word ....
      email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0.id-ZRVAVNLALBYXVJIZFKBAGIAZLCKJUTKQWNMI-25.09.2015 9@57@379911804.randomname-YJSINOUAAXNCXNCKODLAFMCRNYJZLT.FXL.cbf
      базы обновили .. вирус уничтожен
       
      в папке program files был файл info.exe а так же prilozhenie.exe... касперский предлогат их лечить и после перезагрузки будет удалено..
       
      Подскажите пожалуйста есть ли шансы расшифровать документы?
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы
×
×
  • Создать...