Перейти к содержанию

вирус no_more_ransom Olimpiada.Ignatieva@gmail.com

Makar
 Share Подписчики 0

Рекомендуемые сообщения

Makar

Makar 0

Опубликовано
Опубликовано

Здравствуйте! Мои важные файлы были зашифрованы вирусом no_more_ransom 

Можно ли их расшифровать обратно, если конечно, не платить злоумышленникам?

 

CollectionLog-2017.01.17-13.33.zip

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано

Здравствуйте,


HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, = C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.oursurfing.com/?type=sc&ts=1432273940&z=64557c19ee5218bb76cd3abg8z9c5o0o0mcc9q7g8b&from=cmi&uid=WDCXWD5000AAKS-00A7B0_WD-WMASY304892948929
O22 - ScheduledTask: (Ready) Crossbrowse - {root} - C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe /rawdata='swenTq0/vNIVYbQ2IDaAIuUKAX1UI6b7laHBgR4ZAVMF38T4bP1g6cffVuVEfIR5/UO2JjGE1Tk5kIwaslePS2S5Zj8FFVF65Ub9NgvWC5s/eJyP/rR145JGQhNgXw75QASxv/34CjBmL7x/3REB8CFgOJ9seiAaOjqx7HZKJaKOJlJxzHbdN1UU2NWRmwAzni18LVv9vNx3M33KPDR3bJ9s0bUgp7DjbkLiI1oWbWs6zlH/ELysBsNS7A8JypQJ76JsqicGDL5u4irVc5im61BdW3dRu1F7Py+VuhyThYBiwaRN3jYRN8duk5A4u5kzpDnoyUynMN3uDpT+kgH1Uw==' (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 StopService('BAPIDRV');
 DeleteService('BAPIDRV');
 QuarantineFile('C:\Windows\system32\system','');
 QuarantineFile('C:\Windows\System32\svchost.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Roaming\oursurfing\UninstallManager.exe','');
 QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Roaming\6hh588yw.exe','');
 QuarantineFile('C:\ProgramData\WindowsMangerPro','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
 DeleteFile('C:\Users\Сергей\AppData\Roaming\6hh588yw.exe','32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','32');
 DeleteFile('C:\Windows\Tasks\6hh588yw.job','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Crossbrowse" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{89050072-8A8D-4D67-8B3A-BE1215B5B020}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{E632CDCD-198B-419E-9D6A-269AEC4F6AE9}" /F', 0, 15000, true);
 DeleteFile('C:\Users\Сергей\AppData\Roaming\oursurfing\UninstallManager.exe','32');
 DeleteFile('C:\Users\Сергей\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 

>>> Подозрение на маскировку ключа реестра службы\драйвера "14306BBDA"

 

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)



- Подготовьте лог AdwCleaner и приложите его в теме.
 

Ссылка на сообщение
Поделиться на другие сайты
Makar

Makar 0

Опубликовано
  • Автор
Опубликовано

подозреваю, что с этого письма скачала программу


подозреваю, что с этого письма скачала программу

 

Здравствуйте,


HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, = C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.oursurfing.com/?type=sc&ts=1432273940&z=64557c19ee5218bb76cd3abg8z9c5o0o0mcc9q7g8b&from=cmi&uid=WDCXWD5000AAKS-00A7B0_WD-WMASY304892948929
O22 - ScheduledTask: (Ready) Crossbrowse - {root} - C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe /rawdata='swenTq0/vNIVYbQ2IDaAIuUKAX1UI6b7laHBgR4ZAVMF38T4bP1g6cffVuVEfIR5/UO2JjGE1Tk5kIwaslePS2S5Zj8FFVF65Ub9NgvWC5s/eJyP/rR145JGQhNgXw75QASxv/34CjBmL7x/3REB8CFgOJ9seiAaOjqx7HZKJaKOJlJxzHbdN1UU2NWRmwAzni18LVv9vNx3M33KPDR3bJ9s0bUgp7DjbkLiI1oWbWs6zlH/ELysBsNS7A8JypQJ76JsqicGDL5u4irVc5im61BdW3dRu1F7Py+VuhyThYBiwaRN3jYRN8duk5A4u5kzpDnoyUynMN3uDpT+kgH1Uw==' (file missing)

HiJackThis  не понятно что нажимать в нём. по одной ссылке "Do a system scan and save a logfile" а по второй ссылке  "Do a system scan only" надо нажать. Пожалуйста, пришлите руководство поподробнее как им пользоваться чтобы не навредить системе.

 

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано

Важно: Не прикладываете вредоносное ПО, только отправляйте по адресу newvirus@kaspersky.com

Само руководство ознакомьтесь по ссылке при нажатие на профиксить.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • ApploDi
      Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • Дмитрий_Дмитрий
      Помогите удалить вирус
      От Дмитрий_Дмитрий
      Здравствуйте, помогите удалить вирус пожалуйста! Farbar Recovery Scan Tool - результат в файле
      S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [5327128 2024-04-17] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
      Downloads.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Sokolov_
      Дикие фризы при расширении окон и микрофризы при скролинге в браузере
      От Sokolov_
      Приветствую! С недавних пор начались беды: При перетаскивании окон, скролинге в браузере и работе приложениях начались микрофризы и зависания.
       
      Например, при перестакивании открытой папки GPU и CPU могут спокойно до 70% процентов нагрузится на 1-2 секунды, а дальше спад.
       
      Но на этом бедствия не закончились - если развернуть диспетчер задач в полный экран и навести курсор на поиск процессов, все процессы, в том числе и диспетчер задач начнут мигать на долю секунды. В приложениях развёртывание вкладок работает вообще ужасно. Будто фпс падает до 0 кадров, а дальше резко восстанавливается - эта же участь касается браузера. Видео предоставлю чуть попозже. Ещё заметил, что когда в папке много файлов, то очень сильно зависает при перетаскивании меню с названием файла, датой создания и тд. 
      Видео чуть попозже предоставлю. 
       
      К слову, sfc scannow и dism online restore не работают - кучу раз уже делал. Даже восстанавливал пк к исходному состоянию... 
       
      Вот тема на прошлый топик:
       
       
    • larmaswed
      самовосстанавливающийся вирус
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

    • Jigglypuff
      [РЕШЕНО] Вирус HEUR:Trojan.Multi.GenAdur.gen
      От Jigglypuff
      Здравствуйте, Kaspersky Standard выдал обнаружение вируса HEUR:Trojan.Multi.GenAdur.gen, можете посмотреть пожалуйста логи. Как-то 2 месяца назад была похожая ошибка с Trojian, и мне сказали, что это просто Касперский агрится на Ads Power (антидетект браузер AdsPower для мультиаккаутинга, СММ, арбитража). Сейчас такая же проблема, или есть какой-то вирус:

      Событие: Объект вылечен
      Пользователь: DESKTOP-LEI20ML\serge
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Вылечено
      Описание результата: Вылечено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.gena
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: SunBrowser.exe
      Путь к объекту: proc:\C:\Users\serge\AppData\Roaming\adspower_global\cwd_global\chrome_115

      И если написано: Результат: Вылечено, может ли он появится снова если его удалило, и вы ничего в логах не найдёте странного? 

      Заранее спасибо
      CollectionLog-2024.04.16-02.03.zip
×
×
  • Создать...