Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Троян шифровальщик RAA

bm-hsm
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\пётр\AppData\Local\Temp\p.js','');
 DeleteFile('C:\Users\пётр\AppData\Local\Temp\p.js','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [TumarCSP Service] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://istart.webssearches.com/?type=hp&ts=1406811240&from=amt&uid=ST9500420AS_5VJ7T62E
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://istart.webssearches.com/?type=hp&ts=1406811240&from=amt&uid=ST9500420AS_5VJ7T62E
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1406811240&from=amt&uid=ST9500420AS_5VJ7T62E&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1406811240&from=amt&uid=ST9500420AS_5VJ7T62E&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1406811240&from=amt&uid=ST9500420AS_5VJ7T62E
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1406811240&from=amt&uid=ST9500420AS_5VJ7T62E
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1406811240&from=amt&uid=ST9500420AS_5VJ7T62E&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1406811240&from=amt&uid=ST9500420AS_5VJ7T62E&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1406811240&from=amt&uid=ST9500420AS_5VJ7T62E&q={searchTerms}
HKU\S-1-5-21-3886294327-503417428-396662955-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1406811240&from=amt&uid=ST9500420AS_5VJ7T62E
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1406811240&from=amt&uid=ST9500420AS_5VJ7T62E&q={searchTerms}
BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\x64\IEExt\OnlineBanking\online_banking_bho.dll => No File
Toolbar: HKU\S-1-5-21-3886294327-503417428-396662955-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1406811240&from=amt&uid=ST9500420AS_5VJ7T62E
FF Extension: (SuperMegaBest.com) - C:\Users\пётр\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-01-12] [not signed]
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (SuperMegaBest.com) - C:\Users\пётр\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2015-01-13]
2016-08-23 19:48 - 2014-07-31 18:54 - 00000000 ____D C:\Program Files (x86)\SupTab
C:\Users\пётр\AppData\Local\Temp\HPQSi.exe
C:\Users\пётр\AppData\Local\Temp\jubfqgso.dll
C:\Users\пётр\AppData\Local\Temp\mcse32_00.dll
C:\Users\пётр\AppData\Local\Temp\mcse64_00.dll
C:\Users\пётр\AppData\Local\Temp\mcse64_01.dll
Task: {CBECB589-556F-4A50-A6B6-5623EF745872} - System32\Tasks\{1EB11FA5-2D26-45B9-AE23-DAC7320843EE} => pcalua.exe -a C:\Users\пётр\AppData\Roaming\webssearches\UninstallManager.exe -c  -ptid=amt <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:28AE6654 [115]
AlternateDataStreams: C:\ProgramData\Temp:A1EDB939 [116]
AlternateDataStreams: C:\Users\Все пользователи\Temp:28AE6654 [115]
AlternateDataStreams: C:\Users\Все пользователи\Temp:A1EDB939 [116]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Interessanten
      Расшифровка файла
      Автор Interessanten
      Доброго всем времени суток!
       
      Бухгалтерша открыла письмо от "Налоговой" и после этого зашифровались все файлы. Вот здесь самый нужный файл. Тот ноутбук забрали на чистку "местные" мастера, надеюсь у вас получится мне помочь. 
       
      Заранее благодарю!

       RannohDecryptor,  XoristDecryptor и RectorDecryptor не помогли (
      SATIS RAPORU GENEL 2016.xlsx.zip
    • Yulia_T
      Вирус RAA
      Автор Yulia_T
      Как оказалось не новая история На эл. почту пришло письмо с требованием оплатить просроченный счет, при открытии понеслось - все файлы поменяли расширение на locked. На форуме нашлась похожая тема - делали все по инструкции.
      CollectionLog-2016.08.25-10.29.zip
    • GMK
      Помогите с зашифрованными файлами.locked
      Автор GMK
      Наша организация постоянный ваш клиент, покупаем и обновляем ваше ПО. Но после лечения одного из компьютеров, на файловом сервере переименовались файлы офиса и  JPG на расширение .Locked   Помогите расшифровать или порядок действий. Файл во вложении
      бланк.doc.rar
    • Shodek
      Вирус шифровчик
      Автор Shodek
      Здравствуйте. Поймал вирус, который зашифровал все документы, архивы, фотки. Название файла стало следующего вида <имя файла>.doc.locked. Пробовал утилиту rakhnidecryptor. Результат отрицательный. Появились два файла, это ридми и еще какой-то, которые необходимо отправить злоумышленникам для дешифратора. Можно ли расшифровать данные? Пароль на архив 123
       
      !!!README!!!zExy5.rtf
      KEY-242BD198-6398-4A1C-B95C-5E02CB97F4AF.rar
    • ekalmykov
      Запустили вирус из почты, все файлы получили расширение .locked
      Автор ekalmykov
      Добрый день.
      Юзер получил вредоносное письмо  и не предупредив открыл вложение.
      Вложение было в виде скрипта .js после чего многие файлы получили расширение .locked.
      Нашли компьютер, с которого было произведен запуск и заражение.
      (во вложении virus.zip (пароль - virus) архив с исходным письмом + пару зараженных файлов для примера)
      Также во вложении лог сканирования от AdwCleaner.
      Самое грустное, что в сети есть "Общая папка", куда все пользователи скидывали свои документы (word, excel, pdf), и куда был доступ на запись, соответственно все файлы в общей папке тоже залочены. Юзерам пока дана команда ничего там не трогать и не пытаться запускать\скопировать к себе. Можно ли как-то восстановить эти данные? Другие компьютеры пока не пострадали.
       

      Строгое предупреждение от модератора Mark D. Pearlstone Не прикрепляйте вредоносные файлы на форум. AdwCleanerS0.txt
×
×
  • Создать...