Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Шифровальщик .no_more_ransom

randomfactor
 Поделиться

Рекомендуемые сообщения

randomfactor

randomfactor

Опубликовано
Опубликовано

В письме был подставлен адрес @nalog.ru (в нашем случае как будто сотрудник Горшков) , в тексте о задолженности и ссылки на nalog.ru где на самом деле другие ссылки. Юрист пересылает это бухгалтеру, та открывает и всё шифруется.

Результаты сканирования прилагаю:

Про шансы на дешифровку спрашивать не буду, но скажите, если я сейчас все файлы с компа сохраню и займусь переустановкой системы, то если будет ключ для дешифровки, то я смогу восстановить их или всё-таки нужен тот виндоуз на котором всё случилось?

CollectionLog-2016.12.08-15.50.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

или всё-таки нужен тот виндоуз на котором всё случилось?

Трудно ответить что может в будущем понадобиться.

 

займусь переустановкой системы

А в чём смысл? Следы мы сейчас очистим и можете работать в этой же системе дальше.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

randomfactor

randomfactor

Опубликовано
  • Автор
Опубликовано

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

прикрепляю :

Addition.txt

FRST.txt

Shortcut.txt

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1448864870-2134400359-1403869109-1260\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (No Name) - C:\Users\gbuh01\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-05-22]
CHR Extension: (No Name) - C:\Users\gbuh01\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-05-22]
CHR Extension: (No Name) - C:\Users\gbuh01\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-05-22]
CHR Extension: (No Name) - C:\Users\gbuh01\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-05-22]
CHR Extension: (No Name) - C:\Users\gbuh01\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-05-22]
CHR Extension: (No Name) - C:\Users\gbuh01\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-05-22]
CHR Extension: (No Name) - C:\Users\gbuh01\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-05-22]
CHR Extension: (No Name) - C:\Users\gbuh01\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-05-22]
2016-12-08 10:25 - 2016-12-08 14:05 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-12-08 10:25 - 2016-12-08 14:05 - 00000000 __SHD C:\ProgramData\Csrss
2016-12-08 10:25 - 2016-12-08 10:25 - 06220854 _____ C:\Users\gbuh01\AppData\Roaming\E9E76A6AEA872032.bmp
2016-12-08 10:25 - 2016-12-08 10:25 - 00004162 _____ C:\Users\gbuh01\Desktop\README9.txt
2016-12-08 10:25 - 2016-12-08 10:25 - 00004162 _____ C:\Users\gbuh01\Desktop\README8.txt
2016-12-08 10:25 - 2016-12-08 10:25 - 00004162 _____ C:\Users\gbuh01\Desktop\README7.txt
2016-12-08 10:25 - 2016-12-08 10:25 - 00004162 _____ C:\Users\gbuh01\Desktop\README6.txt
2016-12-08 10:25 - 2016-12-08 10:25 - 00004162 _____ C:\Users\gbuh01\Desktop\README5.txt
2016-12-08 10:25 - 2016-12-08 10:25 - 00004162 _____ C:\Users\gbuh01\Desktop\README4.txt
2016-12-08 10:25 - 2016-12-08 10:25 - 00004162 _____ C:\Users\gbuh01\Desktop\README3.txt
2016-12-08 10:25 - 2016-12-08 10:25 - 00004162 _____ C:\Users\gbuh01\Desktop\README2.txt
2016-12-08 10:25 - 2016-12-08 10:25 - 00004162 _____ C:\Users\gbuh01\Desktop\README10.txt
2016-12-08 10:25 - 2016-12-08 10:25 - 00004162 _____ C:\Users\gbuh01\Desktop\README1.txt
2016-12-08 09:48 - 2016-12-08 17:18 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-08 09:48 - 2016-12-08 17:18 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\gbuh01\AppData\Local\Temp\eadolum.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

randomfactor

randomfactor

Опубликовано
  • Автор
Опубликовано
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Вот Fixlog

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Следы вымогателя очищены. С расшифровкой помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Dmitry2811
      trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
    • babytati
      tool.btcmine.2714
      Автор babytati
      Здравствуйте, в последнее время начал замечать странную работу компьютера в разных играх (незначительные просадки fps, странные баги, частые фризы). Проверил компьютер через DrWeb - было обнаружено "10 угроз" одной из которых являлся тот самый файл tool.btcmine.2714. Я решил в том же самом DrWeb обезвредить все вредоносные файлы, которые нашла программа (я уже понял, что скорее всего это никак не помогло).После того, как антивирус закончил свою работу, я решил проверить, не исчезла ли проблема. Не исчезла - в играх всё те же баги, внезапные просадки и зависания, хотя в диспетчере задач явных признаков переработки процессора и видеокарты не было. Наткнулся на информацию, что "tool.btcmine.2714" в принципе CureIt не может удалить (хотя при последующих проверках через CureIt никаких вредоносных файлов обнаружено не было).  Вдобавок ко всему этому, не могу проверить компьютер через другие антивирусы (тот же самый RogueKiller), установка просто блокируется. Помогите пожалуйста разобраться в проблеме.
       
    • Федор Игнашов
      стиллер на пк
      Автор Федор Игнашов
      Где то предположительно недели 3-4 назад регистрировался на множествах сайтах (знакомств и не только),изначально угрозе подверглась моя основная почта (была взломана) .Я поменял пароль и подумал что это поможет но через недели полторы произошел казус ,моя уже другая почта которая привязана к акаунту steam был тоже взломана причем никаких писем на почту о входе и о смене пароля не приходило. Я уверен что на моем пк стиллер куки или что то подобное  CollectionLog-2025.12.01-16.51.zip
    • Gloomyghost
      Не могу удалить вирус: MEM:Trojan.Win32.SEPEH.gen и Trojan-Dropper.Win32.Injector.gen через касперский не удаляется. Прошу помощи.
      Автор Gloomyghost
      Помогите пожалуйста разобраться
    • AscRK
      Удаление самовосстанавливающегося майнера
      Автор AscRK
      Dr. Web CureIt определил ряд троянов и майнеров, очистить которые до конца не получается - после перезагрузки все вредоносные программы возвращаCollectionLog-2025.11.24-15.43.zipются на места.
×
×
  • Создать...