SAMbI4 0 Опубликовано 14 декабря, 2016 Share Опубликовано 14 декабря, 2016 (изменено) Добрый день. Зашифровались все файлы, в т.ч. сетевые диски, архив с файлами и телом вируса прилагаю! пароль к архиву - infected Прошу помочь с расшифровкой. Спасибо Изменено 14 декабря, 2016 пользователем Sandor Убрал подозрительный файл Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 14 декабря, 2016 Share Опубликовано 14 декабря, 2016 Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 15 декабря, 2016 Share Опубликовано 15 декабря, 2016 Файл, который запустили перед появлением шифрования (загрузчик шифратора), случайно не сохранился? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
SAMbI4 0 Опубликовано 15 декабря, 2016 Автор Share Опубликовано 15 декабря, 2016 Добрый день. Прилогаю отчет о сканировании CollectionLog-2016.12.15-13.36.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 декабря, 2016 Share Опубликовано 15 декабря, 2016 На предыдущий вопрос ответьте, пожалуйста. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Monthy\AppData\Local\Oqbhics\dhkcaksb.dll',''); QuarantineFileF('C:\Users\Monthy\AppData\Local\Oqbhics\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('C:\Users\Monthy\AppData\Local\Temp\a.txt', ''); QuarantineFile('C:\Users\Monthy\AppData\Local\Temp\a2.exe', ''); DeleteFile('C:\Users\Monthy\AppData\Local\Oqbhics\dhkcaksb.dll','32'); DeleteFile('C:\Users\Monthy\AppData\Local\Temp\a.txt', '32'); DeleteFile('C:\Users\Monthy\AppData\Local\Temp\a2.exe', '32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','Ohqhics'); RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','Crypted'); RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','{9F056BE4-8846-54D2-6B1C-A64FA1E3D37D}'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
SAMbI4 0 Опубликовано 15 декабря, 2016 Автор Share Опубликовано 15 декабря, 2016 Файл, который запустили перед появлением шифрования (загрузчик шифратора), случайно не сохранился? файл есть в почте, сотрудник под которым выполнился скрипт, отсутствует сегодня, смогу предоставить только завтра. Так-же сохранился сам шифратор, могу тоже предоставить. На предыдущий вопрос ответьте, пожалуйста. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Monthy\AppData\Local\Oqbhics\dhkcaksb.dll',''); QuarantineFileF('C:\Users\Monthy\AppData\Local\Oqbhics\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('C:\Users\Monthy\AppData\Local\Temp\a.txt', ''); QuarantineFile('C:\Users\Monthy\AppData\Local\Temp\a2.exe', ''); DeleteFile('C:\Users\Monthy\AppData\Local\Oqbhics\dhkcaksb.dll','32'); DeleteFile('C:\Users\Monthy\AppData\Local\Temp\a.txt', '32'); DeleteFile('C:\Users\Monthy\AppData\Local\Temp\a2.exe', '32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','Ohqhics'); RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','Crypted'); RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','{9F056BE4-8846-54D2-6B1C-A64FA1E3D37D}'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Я вас понял, как будет минутка, займусь Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 декабря, 2016 Share Опубликовано 15 декабря, 2016 смогу предоставить только завтра. Так-же сохранился сам шифратор, могу тоже предоставить.Хорошо. Отправьте @thyrex или мне личным сообщением. Цитата Ссылка на сообщение Поделиться на другие сайты
SAMbI4 0 Опубликовано 15 декабря, 2016 Автор Share Опубликовано 15 декабря, 2016 Новые логи прикрепил, файл quarantine.zip отправил, жду ответ сразу отпишу. CollectionLog-2016.12.15-14.38.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SAMbI4 0 Опубликовано 15 декабря, 2016 Автор Share Опубликовано 15 декабря, 2016 Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) ответ от newvirus@kaspersky.com: quarantine [KLAN-5522382613] Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.Антивирус Касперского проверил файлы.Вредоносные программы не найдены в файлах:quarantine.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 декабря, 2016 Share Опубликовано 15 декабря, 2016 (изменено) Да, упакуйте с паролем и отправьте. Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Изменено 15 декабря, 2016 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
SAMbI4 0 Опубликовано 15 декабря, 2016 Автор Share Опубликовано 15 декабря, 2016 @Sandor, это к кому из нас относится? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 декабря, 2016 Share Опубликовано 15 декабря, 2016 @SAMbI4, к Вам Файл получил, спасибо! Продолжайте. Цитата Ссылка на сообщение Поделиться на другие сайты
SAMbI4 0 Опубликовано 15 декабря, 2016 Автор Share Опубликовано 15 декабря, 2016 Файлы сканов во вложении Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 декабря, 2016 Share Опубликовано 15 декабря, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: SearchScopes: HKLM-x32 -> {ca6a7ab9-f4b5-4d50-b5d2-33e996549ae3} URL = hxxp://int.search.tb.ask.com/search/GGmain.jhtml?p2=^BXM^xdm004^YYA^sc&ptb=5BA7D547-CC84-401B-ACA7-4AFCC8E45E76&ind=2015102003&n=781c0433&psa=&st=sb&searchfor={searchTerms} CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-12-09] CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-12-09] CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-12-09] CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-12-09] CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-12-09] CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-12-09] CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-07-05] CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-12-09] AlternateDataStreams: C:\Windows:nlsPreferences [386] Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
SAMbI4 0 Опубликовано 15 декабря, 2016 Автор Share Опубликовано 15 декабря, 2016 @Sandor, файл во вложении Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.