Перейти к содержанию

вирус шифровальщик no_more_ransom

alviga
 Поделиться

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Csrss\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Csrss\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
alviga Новичок

alviga

Опубликовано
  • Автор
Опубликовано

Re: вирус шифровальщик зашифровал файлы [KLAN-5543872341]

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

 

Антивирус Касперского проверил файлы.

 

Вредоносные программы не найдены в файлах:

quarantine.zip

 

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

 

CollectionLog-2016.12.20-20.19.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
alviga Новичок

alviga

Опубликовано
  • Автор
Опубликовано

Написали письмо вымогателям, прикрепляю архив с расшифрованным одним файлом,

вдруг это поможет делу.


Написали письмо вымогателям, прикрепляю архив с расшифрованным одним файлом,

вдруг это поможет делу.

да запускал фарбар с флешки, обязательно нужно с рабочего стола ?

Addition.txt

FRST.txt

Shortcut.txt

README4.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKU\S-1-5-21-1960408961-630328440-725345543-1113\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-1960408961-630328440-725345543-1113\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-1960408961-630328440-725345543-1113 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
CHR Extension: (No Name) - C:\Users\buch6\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-08-05]
CHR Extension: (No Name) - C:\Users\buch6\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-03-16]
CHR Extension: (No Name) - C:\Users\buch6\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj [2013-02-14]
CHR Extension: (No Name) - C:\Users\buch6\AppData\Local\Google\Chrome\User Data\Default\Extensions\hakdifolhalapjijoafobooafbilfakh [2013-02-14]
CHR Extension: (No Name) - C:\Users\buch6\AppData\Local\Google\Chrome\User Data\Default\Extensions\hghkgaeecgjhjkannahfamoehjmkjail [2013-02-14]
CHR Extension: (No Name) - C:\Users\buch6\AppData\Local\Google\Chrome\User Data\Default\Extensions\iifchhfnnmpdbibifmljnfjhpififfog [2016-09-16]
CHR Extension: (No Name) - C:\Users\buch6\AppData\Local\Google\Chrome\User Data\Default\Extensions\jagncdcchgajhfhijbbhecadmaiegcmh [2013-05-16]
CHR Extension: (No Name) - C:\Users\buch6\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2016-10-08]
CHR Extension: (No Name) - C:\Users\buch6\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-08-06]
CHR Extension: (No Name) - C:\Users\buch6\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-04-03]
CHR Extension: (No Name) - C:\Users\buch6\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman [2013-02-14]
CHR Extension: (No Name) - C:\Users\buch6\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-12-13]
2016-12-09 15:16 - 2016-12-13 20:32 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-12-09 15:16 - 2016-12-13 20:32 - 00000000 __SHD C:\ProgramData\Csrss
2016-12-09 15:16 - 2016-12-09 15:16 - 03888054 _____ C:\Users\buch6\AppData\Roaming\276461B1276461B1.bmp
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\Public\Desktop\README9.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\Public\Desktop\README8.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\Public\Desktop\README7.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\Public\Desktop\README6.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\Public\Desktop\README5.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\Public\Desktop\README4.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\Public\Desktop\README3.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\Public\Desktop\README2.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\Public\Desktop\README10.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\Public\Desktop\README1.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\buch6\Desktop\README9.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\buch6\Desktop\README8.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\buch6\Desktop\README7.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\buch6\Desktop\README6.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\buch6\Desktop\README5.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\buch6\Desktop\README4.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\buch6\Desktop\README3.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\buch6\Desktop\README2.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\buch6\Desktop\README10.txt
2016-12-09 15:16 - 2016-12-09 15:16 - 00004154 _____ C:\Users\buch6\Desktop\README1.txt
2016-12-09 13:40 - 2016-12-13 20:31 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-09 13:40 - 2016-12-13 20:31 - 00000000 __SHD C:\ProgramData\Windows
2016-12-09 13:40 - 2016-12-09 13:40 - 00004154 _____ C:\README9.txt
2016-12-09 13:40 - 2016-12-09 13:40 - 00004154 _____ C:\README8.txt
2016-12-09 13:40 - 2016-12-09 13:40 - 00004154 _____ C:\README7.txt
2016-12-09 13:40 - 2016-12-09 13:40 - 00004154 _____ C:\README6.txt
2016-12-09 13:40 - 2016-12-09 13:40 - 00004154 _____ C:\README5.txt
2016-12-09 13:40 - 2016-12-09 13:40 - 00004154 _____ C:\README4.txt
2016-12-09 13:40 - 2016-12-09 13:40 - 00004154 _____ C:\README3.txt
2016-12-09 13:40 - 2016-12-09 13:40 - 00004154 _____ C:\README2.txt
2016-12-09 13:40 - 2016-12-09 13:40 - 00004154 _____ C:\README10.txt
2016-12-09 13:40 - 2016-12-09 13:40 - 00004154 _____ C:\README1.txt
C:\Users\oim-buch4\AppData\Local\Temp\hdinst_x64.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Kaspersky Internet Security 2013 - безнадежно устарел. В актуальной версии есть защита от подобных угроз.

 

вдруг это поможет делу

Увы, не поможет.
Ссылка на комментарий
Поделиться на другие сайты
alviga Новичок

alviga

Опубликовано
  • Автор
Опубликовано

Высылаю лог

 

Еще сеть не работает после вируса

 

Может с этим связана ошибка

Функция wininet.dll:InternetAlgIdToStringA (254) перехвачена, метод APICodeHijack.JmpTo[70230FF6]
Функция wininet.dll:InternetAlgIdToStringW (255) перехвачена, метод APICodeHijack.JmpTo[702310FE]

 

IP адрес получает, но ничего не открывается

CollectionLog-2016.12.27-11.00.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

IP адрес получает, но ничего не открывается

Уточните - локальная сеть работает нормально? Не открываются страницы в браузере? В каком? Проверьте в IE.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Проблема не связана с заражением. Попробуйте задать адрес вручную, либо переустановить драйвер сетевого адаптера.

Kaspersky Internet Security 2013 - безнадежно устарел

Надумаете обновлять, удалите и проверьте не появится ли сеть.
Ссылка на комментарий
Поделиться на другие сайты
alviga Новичок

alviga

Опубликовано
  • Автор
Опубликовано

С сетью все получилось спасибо


Надо ли что-то обновлять ?


В смысле делать повторное сканирование ?

Можно ли ставить новую версию касперского ?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Надо ли что-то обновлять ?

Давайте выясним:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Можно ли ставить новую версию касперского ?

Нужно! :)
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)

    • Olga650
      вирус шифровальщик (.1mJ3g1TA4)
      Автор Olga650
      Addition.txtFRST.txtТабель 2025 (.1mJ3g1TA4)  ссылка удалена облако с вирусом (без пароля)
      Отчёт Касперского.txt 1mJ3g1TA4.README.txt  Поймали вирус шифровальщик 26.02. Антивирус не стоял. После был установлен Касперский стандарт. Стандартные решения по расшифровке не помогли. Удалось найти несколько документов оригиналов, до шифровки и после.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы, а также ссылки на них.
       
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
×
×
  • Создать...