Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день.

Прошу помочь, шеф поймал шифровальщик на свой ПК (пришел в письме с почтой, как говорит открыл на автоматизме)На ПК стоял Kaspersky Endpoint Security 10 с актуальными базами(получается он не среагировал.) Надеюсь на помощь.

 

CollectionLog-2016.10.24-08.56.zip

Опубликовано

Здравствуйте!

 

Была ли включена эта настройка?

 

 

 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\ce6ddc0c-ca50-43fe-85d0-2f7471340944', '*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\CE6DDC0C-CA50-43FE-85D0-2F7471340944\EFC0F0EA-64E0-4C68-ADFE-6987A123CB4A.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\yupdate.exe-{384826FC-7096-4864-8392-3B671AA4CD8C}', '');
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\C2ECA3AC831D52CF7F04BB683A37F736\72D2BD1F39B599372656FC2468869E0C.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\869E0C8642CF656273995B93F172D2BD" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\869E0C8642CF656273995B93F172D2BDSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\869E0C8642CF656273995B93F172D2BD" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\869E0C8642CF656273995B93F172D2BDSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\ACE6DDC0C-CA50-43FE-85D0-2F7471340944" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\CE6DDC0C-CA50-43FE-85D0-2F7471340944\EFC0F0EA-64E0-4C68-ADFE-6987A123CB4A.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\yupdate.exe-{384826FC-7096-4864-8392-3B671AA4CD8C}', '32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\C2ECA3AC831D52CF7F04BB683A37F736\72D2BD1F39B599372656FC2468869E0C.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFileMask('c:\program files\kinoroom browser', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteDirectory('c:\program files\kinoroom browser');
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','CE6DDC0C-CA50-43FE-85D0-2F7471340944');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ClearTemp','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kinoroom Browser','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 
 
Компьютер перезагрузится
 
После перезагрузки, выполните такой скрипт:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Опубликовано

Да перепроверил еще раз настройка включена.

[KLAN-5230274976]

Файл нулевой длины.


Приходит странный ответ от newvirus@kaspersky.com

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

 

Отправляю файлы в архиве и все равно ответ тот же...

CollectionLog-2016.10.24-11.40.zip

Опубликовано
  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Опубликовано

Сделал


Хотелось бы уточнить есть ли вероятность расшифровки файлов? (заявку создал) Или средства дешифровки от Давинчи еще нет у касперского?

Просто интересно как эта дрянь смогла пролезть в защищенную систему......

AdwCleanerS0.txt

Опубликовано

как эта дрянь смогла пролезть в защищенную систему

Вы не ответили на мой вопрос:

Была ли включена эта настройка?

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано (изменено)

В посте выше я уже отвечал на Ваш вопрос. Да настройка Контроль активности программ была включена . ( И были сделаны все изменения согласно инструкции).

Изменено пользователем Drom
Опубликовано

Виноват, значит я не заметил. Продолжайте.

 

есть ли вероятность расшифровки файлов?

Она весьма невелика.
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
BHO: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll => No File
BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
Toolbar: HKU\S-1-5-21-3947637046-223882307-1323257891-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-10-21 14:23 - 2016-10-21 14:23 - 00004088 ____H C:\Users\User\AppData\Local\lcqepxqzoykxmrlcqepxqzoykxmrlcqepxq.oyk
2016-10-21 14:20 - 2016-10-21 14:25 - 00000272 ____H C:\Users\User\AppData\Local\cilooltrvuvxbveknqqnvtxw.zdx
2016-10-21 13:59 - 2016-10-21 13:59 - 03932214 _____ C:\Users\User\AppData\Roaming\9ED173669ED17366.bmp
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README9.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README8.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README7.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README6.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README5.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README4.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README3.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README2.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README10.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README1.txt
2016-10-21 10:23 - 2016-10-21 10:23 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-10-21 10:23 - 2016-10-21 10:23 - 00000000 __SHD C:\ProgramData\System32
2016-10-21 10:21 - 2016-10-21 10:21 - 00950980 _____ (ThamiZha! community - thamizha.com) C:\Users\User\AppData\Roaming.exe
2016-10-21 10:21 - 2016-06-22 16:48 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-21 10:21 - 2016-06-22 16:48 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\adm\AppData\Local\Temp\2f31edaf-e79e-4f10-8516-2a90463d5c5d.exe
Task: {6208D3BF-2404-4C12-ABF7-9DFB4F861632} - \imjpyexc -> No File <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Опубликовано

Да перепроверил еще раз настройка включена

Если она и была включена на момент заражения, сообщите об этом также в ТП.

 

На этом по нашей части все. До окончания не удаляйте папку C:\FRST

  • Спасибо (+1) 1
  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Banz26
      Автор Banz26
      Зашифрованные файлы (фото,видео)
      CollectionLog-2015.10.05-13.43.zip
    • Edger
      Автор Edger
      фАЙЛЫ приняли расширение xtbl Жаль детских фото 
      CollectionLog-2015.09.08-16.19.zip
      report1.log
      report2.log
    • Edger
      Автор Edger
      зашифрованы файлы в расширение .xtbl
      CollectionLog-2015.09.30-19.25.zip
    • kiddr
      Автор kiddr
      Добрый день! Получил по почте письмо от "Бухгалтерии" с прикрепленным архивом (акт передачи и какой то длинный номер), после скачки и извлечения запустил файл. В следствии чего в течении 15 минут на компьютере были зашифрованы все картинки и текстовые файлы-Word в формат .xtbl, а на рабочем столе появилась заставка с координатами вымогателя и сообщение о том что файлы, описанные выше, зашифрованы, плюс текстовый файл формата .txt со следующим текстом:   "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 1E05A087200D94333D18|0 на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."   All the important files on your computer were encrypted. To decrypt the files you should send the following code: 1E05A087200D94333D18|0 to e-mail address decodefile001@gmail.com or decodefile002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Еще последствия: в реестре появились ветки с белебердовым именем, которых до этого не существовало. Файл boot.ini отсутствовал, но вместо него был boot.ini.backup, в котором добавлена еще одна строчка связанная с диском "С", но при этом загрузка Windows происходит в обычном режиме за исключением того что при загрузке Доса показана та самая "допонительная" строчка из boot.ini.backup. Возможность загрузки и восстановления, выбора операционки затенена, плюс выдает ошибку о том что не может найти файл boot.ini, зато может создать новый.    Прикрепляю файлы логов, отчет антивируса и ветку реестра.  
      Так же у меня имеется сам вирус-шифровальщик, при необходимости могу прикрепить "эту программу"
      CollectionLog-2015.09.25-10.15.zip
      cureit.rar
      Подозрительная вещь.Ветка того самого Вируса (Самурай-имя фотографий кота).rar
    • klastercomp
      Автор klastercomp
      Здравствуйте. На моем компьютере зашифровались файлы в расширение .xtbl От вирусов компьютер почистил. Помогите расшифровать файлы.
      CollectionLog-2015.09.28-15.27.zip
×
×
  • Создать...