Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте! Подхватили заразу на работе, очень много важных файлов потеряно. Интересует возможно ли вернуть всё назад? Создали запросы в тех.поддержку Касперского, как самую крайнюю меру рассматриваем оплату злоумышленникам, но это конечно самый крайний вариант...

Вирус: Trojan-Ransom.Win32.Cryakl.anq
Логи Автологгера во вложении.
Судя по описанию файлов: email-byaki_buki@aol.com_grafdrkula@gmail.com.ver-CL 1.3.1.0.id-SQSQFVOOLUNGDDWOXQRRSDWHHSQJLWVGITKV-07.10.2016 8@06@175070291@@@@@80CA-FBE5.randomname-JUSHGTUWOHALAYRKIBMFEYBWUXRMKA.SNC.abe

Версия видимо 1.3.1.0

 

Логи программы Autologger.zip

Опубликовано

  • Скачайте Revo Uninstaller Portable отсюда и сохраните архив с утилитой на Рабочем столе
  • Распакуйте архив с утилитой в новую папку
  • Запустите от имени Администратора RevoUPort, примите условия лицензионного соглашения нажав OK
  • Откройте Options и в графе Current language выберите русский язык
  • По очереди удалите программы перечисленные в этом списке
    Advanced SystemCare 8
    application extension version 1.5
    compressed 6.09.3
    SpyHunter 4
    Statistics Disk
    
  • Во время удаления программы будет запущен штатный деинсталлятор, который по окончанию работы предложит удалить остатки программы
  • В качестве режима сканирования оставьте Умеренный и щелкните Далее
  • Если в процессе поиска будут найдены остатки программы, то нажмите Удалить, а потом Готово
  • Проделайте аналогичную операцию со остальными программами из списка.
 
 
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteService('CQZLNEFPMK');
 QuarantineFile('C:\DOCUME~1\SLOBOD~1.KST\LOCALS~1\Temp\CQZLNEFPMK.exe','');
 DeleteService('bihotyli');
 DeleteService('buvolici');
 DeleteService('bytonyqo');
 DeleteFile('C:\Program Files\4212D898-1447622654-DE11-AA32-001FE20E4706\jnsk20C.tmp','32');
 DeleteFile('C:\Program Files\4212D898-1447622654-DE11-AA32-001FE20E4706\hnso212.tmp','32');
 DeleteFile('C:\Documents and Settings\slobodenuk_lv.KSTU\Local Settings\Application Data\4212D898-1447665985-DE11-AA32-001FE20E4706\snsh21A.tmp','32');
 DeleteFile('C:\DOCUME~1\SLOBOD~1.KST\LOCALS~1\Temp\CQZLNEFPMK.exe','32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 
 

  • Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  • После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
 
  • Sections
  • IAT/EAT
  • Show all
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

Опубликовано

Всё выполнил и  отправил на указанный адрес.

Опубликовано

ЛОГИ В ТЕМЕ ПРИКРЕПЛЯЮТ, А НЕ ЗАСОРЯЮТ МНЕ ПОЧТУ ЛОГАМИ!

Опубликовано

ЛОГИ В ТЕМЕ ПРИКРЕПЛЯЮТ, А НЕ ЗАСОРЯЮТ МНЕ ПОЧТУ ЛОГАМИ!

Извините, в сообщении было написано отправить карантин, а по поводу логов не было четких указаний. Прикрепил к сообщению.

Лог GMER.log

Опубликовано
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится GMER.exe



GMER.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hihnduwb"
GMER.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\hihnduwb"
GMER.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\hihnduwb"
GMER.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\hihnduwb"
GMER.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hihnduwb"
GMER.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hihnduwb"
GMER.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hihnduwb"
GMER.exe -reboot


И запустите сохранённый пакетный файл cleanup.bat.

 

Внимание: Компьютер перезагрузится!

 

Сделайте новый лог gmer.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • S-e-r-s-h
      Автор S-e-r-s-h
      Добрый день. Хватанули троян, который зашифровал все документы таким образом: email-load180@aol.com.ver-CL 1.0.0.0.id-SBJKZCVMEGNQHJLOSVXZEGIMPSVXCEGJNQTU-02.09.2015 8@18@454361717.randomname-CNOCKUQNTOEVIVKQBSIWJZUKAQVPET.MGZ.cbf
      После заражения воспользовались восстановлением системы на предыдущий дату и проверили Kaspersky Virus Removal Tool 2015, а после, продленным Small Office Security. Вроде ничего не нашел.  Очень нужна ваша помощь. Как убедиться, что источника заразы больше нет и как расшифровать документы? CollectionLog-2015.09.07-11.35.zip
    • sidor
      Автор sidor
      Здравствуйте!
      Все как обычно, пришло письмо, якобы от налоговой, дальше открытие архива, без сохранения и проверки антивирусом.
      Результат-все файлы  MSO зашифрованы - названия начинаются с seven_legion@aol.com
      Что сделал:
      1. Прошелся по диску kav_rescue_10.
       по классификации каспера выявлено Win32.VBKryjetor.wes  в program files и в корневике системы.
      2. Удалил из автозагрузки окошко с предупреждением.
      3. Собрал логи.

         CollectionLog-2015.09.04-14.27
      Посмотрите, пожалуйста, может где еще дыры или зверье сидит?
       
      По поводу расшифровки: пробовал rectordecryptor и xoristdecryptor, не помогло.
      Может у кого есть дешифратор для моего случая? Плзз. А то девчонкам этим несчастным неделю на складе ревизию проводить....
       
      CollectionLog-2015.09.04-14.27.zip
    • Елена К
      Автор Елена К
      Получила письмо на почту, открыла прикрепленный файл, через пару часов на рабочем столе надпись "Твои файлы зашифрованы, отправь файл на почту Seven_legion2@aol.com ...."  Все файлы текстовые, все фото зашифрованы. Можно расшифровать фото?

      Прочитала предыдущее сообщение, сделала как там было написано, прикрепляю файлы. Очень надеюсь на помощь.
      CollectionLog-2015.09.05-22.02.zip
      Addition_05-09-2015_22-36-03.txt
      FRST_05-09-2015_22-36-03.txt
    • Klu4nik
      Автор Klu4nik
      Здравствуйте!
       
      Пользователь запустил файл из прикрепленного к письму с мэйл.ру архива wordpad.rar. Kaspersky WS не среагировал. Прошло шифрование, фото документы (много, важное), обои сменились на требование. После перезагрузки, KWS-ом автоматически был обнаружен троян: "Удалено троянская программа Trojan.Win32.Inject.vgcj C:\Program Files\explore.exe 27.08.2015 12:35:13".
       
      Спасибо за ваше время и желание помочь!
        CollectionLog-2015.08.27-13.23.zip
    • Арсен Омаров
      Автор Арсен Омаров
      Всем привет! Прошу Вашей помощи! Сегодня к моей сестре на почту пришло письмо по работе! Она открыла и запустила файл который..в общем во вложении прикрепляю фото рабочего стола на котором сообщение:
       Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почту
      и т.д.
       
      так же высылаю логи..


      CollectionLog-2015.08.24-14.29.zip
×
×
  • Создать...