Перейти к содержанию

Шифровальщик. KVRT не видит

Kiss
 Поделиться

Рекомендуемые сообщения

Kiss Новичок

Kiss

Опубликовано
Опубликовано

22.12.2016 примерно в 19:20 появилось окно с CryptoLocker с требованием заплатить. Все файлы на всех дисках оказались зашифрованными. KVRT ничего не находит. Во вложении есть зашифрованный txt файл, может кому удастся его расшифровать.

CollectionLog-2016.12.23-21.20.zip

вирусы4.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

 

HiJackThis (из каталога автологгера) профиксить

R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, = C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1414205333&from=smt&uid=TOSHIBAXMQ01ABD032_82L2F5STSXX82L2F5STS
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1414205333&from=smt&uid=TOSHIBAXMQ01ABD032_82L2F5STSXX82L2F5STS&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = 72bcb6fa5ef811e6b1c250b7c34c0c70
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1414205333&from=smt&uid=TOSHIBAXMQ01ABD032_82L2F5STSXX82L2F5STS&q={searchTerms}
O2 - BHO: YTAHelperBHO - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - (no file)
O2 - BHO: browse pulse - {ed8e593d-1965-4e45-9d55-d56162dcde14} - C:\Program Files\browse pulse\Extensions\ed8e593d-1965-4e45-9d55-d56162dcde14.dll (file missing)
O4 - HKCU\..\Run: [2a45734a] C:\Users\Mikhail\AppData\Roaming\Microsoft\Crypto\sysgop.exe
AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end; 
 TerminateProcessByName('c:\users\mikhail\appdata\roaming\microsoft\crypto\sysgop.exe');
 DeleteFile('C:\Windows\Tasks\PWKN.job','32');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-6.exe','');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-7.exe','');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-10.exe','');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-5.exe','');
 QuarantineFileF('C:\Program Files\SmartSaver+ 15', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFileF('c:\users\mikhail\appdata\roaming\microsoft\crypto', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Program Files\browse pulse\Extensions\ed8e593d-1965-4e45-9d55-d56162dcde14.dll','');
 QuarantineFile('C:\Users\Mikhail\AppData\Local\Kometa\Application\kometa.exe','');
 QuarantineFile('c:\users\mikhail\appdata\roaming\microsoft\crypto\sysgop.exe','');
 QuarantineFile('C:\Users\Mikhail\AppData\Roaming\PWKN.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll','');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-6.exe','32');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-7.exe','32');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-10.exe','32');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-5.exe','32');
 DeleteFile('C:\Users\Mikhail\AppData\Local\Kometa\Application\kometa.exe','32');
 DeleteFile('C:\Users\Mikhail\AppData\Roaming\Microsoft\Crypto\sysgop.exe','32');
 DeleteFile('C:\Users\Mikhail\AppData\Roaming\PWKN.exe','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-5.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-5_user.job','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2a45734a');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginServices','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect','EventMessageFile'); 
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Kiss Новичок

Kiss

Опубликовано
  • Автор
Опубликовано

KLAN-5561710950

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

В файлах найдены вредоносные программы
sysgop.exe - Trojan.Win32.Inject.acuex

Вредоносные программы не найдены в файлах:
PerformanceMonitor.dll

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Знакома ли Вам?

HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c47: "C:\Windows\system32\mshta.exe" "javascript:i7j1=new ActiveXObject("WScript.Shell");rqA1K=i7j1.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");eval(rqA1K); <===== ATTENTION
HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c478: "C:\Windows\system32\mshta.exe" "javascript:Q9Co0v="a4xsU";Fi72=new ActiveXObject("WScript.Shell");V03gpet="YHyzofXu";tV3aq=Fi72.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");R4iCp="H7";eval(tV3aq);y5ITb="s";" <===== ATTENTION
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X]
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !.txt
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!.txt
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!!.txt
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!!!.txt
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!!!!.txt
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
Reg: reg export "HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c47:" C:\FRST\Quarantine\backup_384c47.reg
Reg: reg export "HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c478:" C:\FRST\Quarantine\backup_384c478.reg
HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c47: "C:\Windows\system32\mshta.exe" "javascript:i7j1=new ActiveXObject("WScript.Shell");rqA1K=i7j1.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");eval(rqA1K); <===== ATTENTION
HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c478: "C:\Windows\system32\mshta.exe" "javascript:Q9Co0v="a4xsU";Fi72=new ActiveXObject("WScript.Shell");V03gpet="YHyzofXu";tV3aq=Fi72.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");R4iCp="H7";eval(tV3aq);y5ITb="s";" <===== ATTENTION
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


 

Ссылка на комментарий
Поделиться на другие сайты
  • 3 месяца спустя...
Cronbyte Новичок

Cronbyte

Опубликовано
Опубликовано

Недавно наткнулся на форум с положительными отзывами об этом инструменте в качестве расшифровщика PClock [удалено]. Проверил его в качестве сканера - похоже на правду. Если есть возможность, проверьте его в качестве ремувера. Спасибо!

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alen4iz
      ПК видит флешку, но не загружает ее
      Автор alen4iz
      Здравствуйте! Еще вчера все было хорошо. Сегодня столкнулась с проблемой.
      Подключаю флешку. Открываю проводник. ПК видит флешку (БЕЗ КР (G:)), пытается ее загрузить, но не получается. Подскажите, пожалуйста, возможно ли решить проблему.
       

    • New User
      KVRT нашёл вирус HEUR:Trojan.Multi.GenBadur.genw
      Автор New User
      Здравствуйте.
       
      Kaspersky Virus Removal Tool (буду называть сокращённо: KVRT) нашёл вирус и не может удалить его.
      Каждый раз когда KVRT пытается удалить вирус он не удаляется, либо он возвращается при удалении.
      Заранее благодарю за помощь.
      CollectionLog-2025.03.18-21.34.zip
       
    • Evg1066
      Зашифрованы файлы, шифровальщик обнаружить не смог, вид зашифрованного файла "<имя_файла>.<тип>.i54m390g5b4"
      Автор Evg1066
      Архив.7zAddition.txtFRST.txt
      Ночью было зашифровано множество файлов, Kaspersky Anti-Ransomware Tool показал присутствие Trojan.Win32.Bazon.a. Вручную обнаружить шифровальщика не получилось.
    • macklooney1315
      Поймал вирус с флешки, антивирусы его не видят
      Автор macklooney1315
      Здравствуйте! Пару дней назад купил флешку и решил ей воспользоваться. Через какое то время виндовс написала что доступны  новые обновления, они начали скачиваться и после этого комп перезагрузился. После перезапуска на секунду появилась командная строка и пропала, раньше такого не было. В диспетчере задач стало больше процессов чем было, а когда заходит в монитор ресурсов часто были приостановленные процессы SearchApp.exe, Realteck, LockApp.exe. Я нашел процесс realteck в диспетчере задач и после нажатия кнопки открыть расположение файла мне вышло что отказано в доступе. Скачал касперского и dr.web - тоже ничего не видят, пытался полазить по системных папкам, но много где пишет '' отказано в доступе, обратитесь к администратору сети (что то такое, точно не помню). Винда кстати начала на следующий день снова пытаться скачать какое то обновления для Windows Defender, но я отложил скачивание обновлений на месяц. До этого вообще обновления не приходили, несколько лет было все нормально, а тут сразу много. Комп стал медленнее загружаться, и после загрузки рабочего стола курсор начинает крутить значок загрузки, раньше такого тоже не наблюдалось.
      Файлы прикрепил
       
      FRST.txt Addition.txt CollectionLog-2025.04.14-16.22.zip
    • Нина_Азарова
      Не работает интернет (WiFi и кабель). Касперский не видит вируса(
      Автор Нина_Азарова
      Здравствуйте дорогие хакеры!
       Помогите, пожалуйста, разобраться. Что делать?
       
      Сегодня с утра после включения компьютера перестал работать интернет (на телефоне и айпаде всё работает). 
      сделали сброс настроек интернета, ничего не изменилось. 
      далее сделали такую команду через командную строку:
      netsh winsock reset netsh int ip reset all netsh winhttp reset proxy ipconfig /flushdns
      однако так же ничего не изменилось(
      Помогите, пожалуйста!
       

×
×
  • Создать...