Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик. KVRT не видит

Kiss
 Поделиться

Рекомендуемые сообщения

Kiss Новичок

Kiss

Опубликовано
Опубликовано

22.12.2016 примерно в 19:20 появилось окно с CryptoLocker с требованием заплатить. Все файлы на всех дисках оказались зашифрованными. KVRT ничего не находит. Во вложении есть зашифрованный txt файл, может кому удастся его расшифровать.

CollectionLog-2016.12.23-21.20.zip

вирусы4.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

 

HiJackThis (из каталога автологгера) профиксить

R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, = C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1414205333&from=smt&uid=TOSHIBAXMQ01ABD032_82L2F5STSXX82L2F5STS
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1414205333&from=smt&uid=TOSHIBAXMQ01ABD032_82L2F5STSXX82L2F5STS&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = 72bcb6fa5ef811e6b1c250b7c34c0c70
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1414205333&from=smt&uid=TOSHIBAXMQ01ABD032_82L2F5STSXX82L2F5STS&q={searchTerms}
O2 - BHO: YTAHelperBHO - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - (no file)
O2 - BHO: browse pulse - {ed8e593d-1965-4e45-9d55-d56162dcde14} - C:\Program Files\browse pulse\Extensions\ed8e593d-1965-4e45-9d55-d56162dcde14.dll (file missing)
O4 - HKCU\..\Run: [2a45734a] C:\Users\Mikhail\AppData\Roaming\Microsoft\Crypto\sysgop.exe
AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end; 
 TerminateProcessByName('c:\users\mikhail\appdata\roaming\microsoft\crypto\sysgop.exe');
 DeleteFile('C:\Windows\Tasks\PWKN.job','32');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-6.exe','');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-7.exe','');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-10.exe','');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-5.exe','');
 QuarantineFileF('C:\Program Files\SmartSaver+ 15', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFileF('c:\users\mikhail\appdata\roaming\microsoft\crypto', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Program Files\browse pulse\Extensions\ed8e593d-1965-4e45-9d55-d56162dcde14.dll','');
 QuarantineFile('C:\Users\Mikhail\AppData\Local\Kometa\Application\kometa.exe','');
 QuarantineFile('c:\users\mikhail\appdata\roaming\microsoft\crypto\sysgop.exe','');
 QuarantineFile('C:\Users\Mikhail\AppData\Roaming\PWKN.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll','');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-6.exe','32');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-7.exe','32');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-10.exe','32');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-5.exe','32');
 DeleteFile('C:\Users\Mikhail\AppData\Local\Kometa\Application\kometa.exe','32');
 DeleteFile('C:\Users\Mikhail\AppData\Roaming\Microsoft\Crypto\sysgop.exe','32');
 DeleteFile('C:\Users\Mikhail\AppData\Roaming\PWKN.exe','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-5.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-5_user.job','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2a45734a');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginServices','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect','EventMessageFile'); 
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Kiss Новичок

Kiss

Опубликовано
  • Автор
Опубликовано

KLAN-5561710950

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

В файлах найдены вредоносные программы
sysgop.exe - Trojan.Win32.Inject.acuex

Вредоносные программы не найдены в файлах:
PerformanceMonitor.dll

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Знакома ли Вам?

HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c47: "C:\Windows\system32\mshta.exe" "javascript:i7j1=new ActiveXObject("WScript.Shell");rqA1K=i7j1.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");eval(rqA1K); <===== ATTENTION
HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c478: "C:\Windows\system32\mshta.exe" "javascript:Q9Co0v="a4xsU";Fi72=new ActiveXObject("WScript.Shell");V03gpet="YHyzofXu";tV3aq=Fi72.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");R4iCp="H7";eval(tV3aq);y5ITb="s";" <===== ATTENTION
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X]
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !.txt
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!.txt
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!!.txt
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!!!.txt
2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!!!!.txt
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
Reg: reg export "HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c47:" C:\FRST\Quarantine\backup_384c47.reg
Reg: reg export "HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c478:" C:\FRST\Quarantine\backup_384c478.reg
HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c47: "C:\Windows\system32\mshta.exe" "javascript:i7j1=new ActiveXObject("WScript.Shell");rqA1K=i7j1.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");eval(rqA1K); <===== ATTENTION
HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c478: "C:\Windows\system32\mshta.exe" "javascript:Q9Co0v="a4xsU";Fi72=new ActiveXObject("WScript.Shell");V03gpet="YHyzofXu";tV3aq=Fi72.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");R4iCp="H7";eval(tV3aq);y5ITb="s";" <===== ATTENTION
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


 

Ссылка на комментарий
Поделиться на другие сайты
  • 3 месяца спустя...
Cronbyte Новичок

Cronbyte

Опубликовано
Опубликовано

Недавно наткнулся на форум с положительными отзывами об этом инструменте в качестве расшифровщика PClock [удалено]. Проверил его в качестве сканера - похоже на правду. Если есть возможность, проверьте его в качестве ремувера. Спасибо!

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Solnepek7
      [РЕШЕНО] Касперский не видит майнер
      Автор Solnepek7
      Помогите пожалуйста, никак не могу найти майнер на ноутбуке. Почему думаю что майнер, потому что при включении диспетчера задач или process exp, ноут сразу затихает и вентиляторы не крутятся, как только диспетчер закрою, сразу большая активность. Сижу битый час общаюсь с DeepSeek, он там что то рекомендует, но не видит(я скрины ему кидал). Скачал SystemInformer (process hacker тот же), тут уже интереснее, при закрытии диспетчера cmd.exe грузит CPU до 33% и жрет 2.4гб памяти, но в дереве процессов не могу найти этот искомый файл что так грузит и запускается через команду. При открытии диспетчера process hacker сразу показывает что cpu в норме, 99% простаивает и файл закрывается. То есть при открытии диспетчера майнер закрывается, с помощью  process hacker не получается найти, банально не понимаю куда тыкать, да же с помощью нейрухи, deepseek иногда говорит несуществующие вкладки. Пришёл к реальным людям)
      Логи прикрепил, в безопасном режиме включал, всё тихо, шума нет, 99% простой системы. 3 раза сделал полную проверку касперским, не видит
      CollectionLog-2025.06.11-19.09.zip

    • alen4iz
      ПК видит флешку, но не загружает ее
      Автор alen4iz
      Здравствуйте! Еще вчера все было хорошо. Сегодня столкнулась с проблемой.
      Подключаю флешку. Открываю проводник. ПК видит флешку (БЕЗ КР (G:)), пытается ее загрузить, но не получается. Подскажите, пожалуйста, возможно ли решить проблему.
       

    • Evg1066
      Зашифрованы файлы, шифровальщик обнаружить не смог, вид зашифрованного файла "<имя_файла>.<тип>.i54m390g5b4"
      Автор Evg1066
      Архив.7zAddition.txtFRST.txt
      Ночью было зашифровано множество файлов, Kaspersky Anti-Ransomware Tool показал присутствие Trojan.Win32.Bazon.a. Вручную обнаружить шифровальщика не получилось.
    • macklooney1315
      Поймал вирус с флешки, антивирусы его не видят
      Автор macklooney1315
      Здравствуйте! Пару дней назад купил флешку и решил ей воспользоваться. Через какое то время виндовс написала что доступны  новые обновления, они начали скачиваться и после этого комп перезагрузился. После перезапуска на секунду появилась командная строка и пропала, раньше такого не было. В диспетчере задач стало больше процессов чем было, а когда заходит в монитор ресурсов часто были приостановленные процессы SearchApp.exe, Realteck, LockApp.exe. Я нашел процесс realteck в диспетчере задач и после нажатия кнопки открыть расположение файла мне вышло что отказано в доступе. Скачал касперского и dr.web - тоже ничего не видят, пытался полазить по системных папкам, но много где пишет '' отказано в доступе, обратитесь к администратору сети (что то такое, точно не помню). Винда кстати начала на следующий день снова пытаться скачать какое то обновления для Windows Defender, но я отложил скачивание обновлений на месяц. До этого вообще обновления не приходили, несколько лет было все нормально, а тут сразу много. Комп стал медленнее загружаться, и после загрузки рабочего стола курсор начинает крутить значок загрузки, раньше такого тоже не наблюдалось.
      Файлы прикрепил
       
      FRST.txt Addition.txt CollectionLog-2025.04.14-16.22.zip
    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
×
×
  • Создать...