Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день.

Прошу помочь, шеф поймал шифровальщик на свой ПК (пришел в письме с почтой, как говорит открыл на автоматизме)На ПК стоял Kaspersky Endpoint Security 10 с актуальными базами(получается он не среагировал.) Надеюсь на помощь.

 

CollectionLog-2016.10.24-08.56.zip

Опубликовано

Здравствуйте!

 

Была ли включена эта настройка?

 

 

 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\ce6ddc0c-ca50-43fe-85d0-2f7471340944', '*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\CE6DDC0C-CA50-43FE-85D0-2F7471340944\EFC0F0EA-64E0-4C68-ADFE-6987A123CB4A.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\yupdate.exe-{384826FC-7096-4864-8392-3B671AA4CD8C}', '');
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\C2ECA3AC831D52CF7F04BB683A37F736\72D2BD1F39B599372656FC2468869E0C.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\869E0C8642CF656273995B93F172D2BD" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\869E0C8642CF656273995B93F172D2BDSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\869E0C8642CF656273995B93F172D2BD" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\869E0C8642CF656273995B93F172D2BDSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\ACE6DDC0C-CA50-43FE-85D0-2F7471340944" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\CE6DDC0C-CA50-43FE-85D0-2F7471340944\EFC0F0EA-64E0-4C68-ADFE-6987A123CB4A.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\yupdate.exe-{384826FC-7096-4864-8392-3B671AA4CD8C}', '32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\C2ECA3AC831D52CF7F04BB683A37F736\72D2BD1F39B599372656FC2468869E0C.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFileMask('c:\program files\kinoroom browser', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteDirectory('c:\program files\kinoroom browser');
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','CE6DDC0C-CA50-43FE-85D0-2F7471340944');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ClearTemp','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kinoroom Browser','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 
 
Компьютер перезагрузится
 
После перезагрузки, выполните такой скрипт:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Опубликовано

Да перепроверил еще раз настройка включена.

[KLAN-5230274976]

Файл нулевой длины.


Приходит странный ответ от newvirus@kaspersky.com

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

 

Отправляю файлы в архиве и все равно ответ тот же...

CollectionLog-2016.10.24-11.40.zip

Опубликовано
  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Опубликовано

Сделал


Хотелось бы уточнить есть ли вероятность расшифровки файлов? (заявку создал) Или средства дешифровки от Давинчи еще нет у касперского?

Просто интересно как эта дрянь смогла пролезть в защищенную систему......

AdwCleanerS0.txt

Опубликовано

как эта дрянь смогла пролезть в защищенную систему

Вы не ответили на мой вопрос:

Была ли включена эта настройка?

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано (изменено)

В посте выше я уже отвечал на Ваш вопрос. Да настройка Контроль активности программ была включена . ( И были сделаны все изменения согласно инструкции).

Изменено пользователем Drom
Опубликовано

Виноват, значит я не заметил. Продолжайте.

 

есть ли вероятность расшифровки файлов?

Она весьма невелика.
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
BHO: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll => No File
BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
Toolbar: HKU\S-1-5-21-3947637046-223882307-1323257891-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-10-21 14:23 - 2016-10-21 14:23 - 00004088 ____H C:\Users\User\AppData\Local\lcqepxqzoykxmrlcqepxqzoykxmrlcqepxq.oyk
2016-10-21 14:20 - 2016-10-21 14:25 - 00000272 ____H C:\Users\User\AppData\Local\cilooltrvuvxbveknqqnvtxw.zdx
2016-10-21 13:59 - 2016-10-21 13:59 - 03932214 _____ C:\Users\User\AppData\Roaming\9ED173669ED17366.bmp
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README9.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README8.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README7.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README6.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README5.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README4.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README3.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README2.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README10.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README1.txt
2016-10-21 10:23 - 2016-10-21 10:23 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-10-21 10:23 - 2016-10-21 10:23 - 00000000 __SHD C:\ProgramData\System32
2016-10-21 10:21 - 2016-10-21 10:21 - 00950980 _____ (ThamiZha! community - thamizha.com) C:\Users\User\AppData\Roaming.exe
2016-10-21 10:21 - 2016-06-22 16:48 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-21 10:21 - 2016-06-22 16:48 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\adm\AppData\Local\Temp\2f31edaf-e79e-4f10-8516-2a90463d5c5d.exe
Task: {6208D3BF-2404-4C12-ABF7-9DFB4F861632} - \imjpyexc -> No File <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Опубликовано

Да перепроверил еще раз настройка включена

Если она и была включена на момент заражения, сообщите об этом также в ТП.

 

На этом по нашей части все. До окончания не удаляйте папку C:\FRST

  • Спасибо (+1) 1
  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • рарук
      Автор рарук
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      FD1FACE47FA84A930EB6|0
      на электронный адрес post8881@gmail.com или post24932@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      FD1FACE47FA84A930EB6|0
      to e-mail address post8881@gmail.com or post24932@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
    • tankopia
      Автор tankopia
      У сестры на компьютере файлы зашифровались  и на рабочем столе черный экран типа такого (вложение 111111) высылаю вам несколько закодрованных файлов и файл readmy
       
      текст файла readmy
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      F1F716AE701CE60103D6|0
      на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      F1F716AE701CE60103D6|0
      to e-mail address decodefile001@gmail.com or decodefile002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
      Помогите пожалуйста, сделайте дескриптор. У сестры мног оважных документов пропало(((.
      Очень вас прошу.

      17-10-2015_22-42-28.zip
    • MonsterIsGood
      Автор MonsterIsGood
      Зашифрованы в основном фотографии и документы doc

      Kaspersky Virus Removal Tool Ничего не обнаружил

      Заранее спасибо!

      Логи:

      CollectionLog-2015.10.18-22.38.zip
    • Наталия Болясова
      Автор Наталия Болясова
      На компьютере зашифрованы все файлы. Около 50 Гб. Видео,фото,аудио. "Порядок оформления запроса о помощи" соблюден.
       
      Помогите,пожалуйста,спасти файлы!
    • виктория виктория
      Автор виктория виктория
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      1514D705323F4A305004|0
      на электронный адрес files100001@gmail.com или files100002@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      1514D705323F4A305004|0
      to e-mail address files100001@gmail.com or files100002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.                                                                                                                                                                                                                   ЧТО ДЕЛАТЬ?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы
×
×
  • Создать...