Перейти к содержанию

Шифровка no_more_ransome

superbizon
 Поделиться

Рекомендуемые сообщения

superbizon

superbizon

Опубликовано
Опубликовано

Добрый день. Как и у многих поймали трояна. Шифронул почти все word, pdf, jpg. Почитал форум, проверил программы дискрипторы на сайте. И понял что не поможет. Почистил от вирусов. Но хотелось бы удостовериться в чистоте винды и возможно в подсказке по расшифровке. Файлы прикладываю.

Спасибо.

С уважением.

CollectionLog-2017.01.13-15.24.zip

FRST.txt

Addition.txt

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

Удалите Iobit через установку программ в панели управления.

HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=820323
O4 - MSConfig\startupreg:  [Language Command Helper] C:\Documents and Settings\User\Local Settings\Application Data\FilterStart\FilterStart.exe (2016/09/20)
O4 - MSConfig\startupreg:  [PhrozenSoft VirusTotal Uploader]  (2016/07/04) (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_3\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_3_\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_4\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_4_\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_5\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_5_\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_6\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\FilterStart\FilterStart.exe','');
 QuarantineFile('C:\local32spl.dll','');
 QuarantineFile('C:\Program Files\Gronuchcoaregh\bemition.exe','');
 QuarantineFileF('C:\Program Files\Gronuchcoaregh', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\browsermon.sys','');
 QuarantineFile('C:\_\local32spl.dll','');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\FilterStart\FilterStart.exe','32');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Hostinstaller\4027373249_installcube.exe','32');
 DeleteFile('C:\Program Files\Gronuchcoaregh\bemition.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\Anofotion Collector.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Soft installer.job','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Language Command Helper','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.
 

superbizon

superbizon

Опубликовано
  • Автор
Опубликовано

Добрый день. Прикладываю логи. Но ссылку на загрузку карантина с avz что то не нашёл.

AdwCleanerC0.txt

SQ

SQ

Опубликовано
Опубликовано

Добрый день. Прикладываю логи. Но ссылку на загрузку карантина с avz что то не нашёл.

Пршу прощения, налез другой шаблон, выполните пожалуйста следующие инструкции

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

superbizon

superbizon

Опубликовано
  • Автор
Опубликовано

Запрос на исследование вредоносного файла [KLAN-5685760826]

Riskware приложение, которое может нанести вред вашему компьютеру был обнаружен в файлах: 

browsermon.sys - не-а-вирус: NetTool.Win32.NetFilter.lu 

Мы будем тщательно анализировать файлы. Если результат анализа отличается от этого результата сканирования, вы будете уведомлены по электронной почте в течение 5 дней. 

FRST.txt

Addition.txt

SQ

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM\...\Providers\0i4a22pn: C:\Documents and Settings\MSUser.Default\Help_5_\local32spl.dll
HKLM\...\Providers\0o8745bn: C:\Documents and Settings\MSUser.Default\Help_5\\local32spl.dll
HKLM\...\Providers\89rezczp: C:\\local32spl.dll
HKLM\...\Providers\9f52epo5: C:\Documents and Settings\MSUser.Default\Help_4_\local32spl.dll
HKLM\...\Providers\9n68y6ve: C:\_\local32spl.dll
HKLM\...\Providers\9zczpqe5: C:\Documents and Settings\MSUser.Default\Help_6\\local32spl.dll
HKLM\...\Providers\ghf6syii: C:\Documents and Settings\MSUser.Default\Help_3\\local32spl.dll
HKLM\...\Providers\gy5wtpn9: C:\Documents and Settings\MSUser.Default\Help_6_\local32spl.dll
HKLM\...\Providers\lqbhyvtl: C:\Documents and Settings\MSUser.Default\Help_4\\local32spl.dll
HKLM\...\Providers\zt1l8cey: C:\Documents and Settings\MSUser.Default\Help_3_\local32spl.dll
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-1050179586-3977981042-2986749236-1003 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF ProfilePath: C:\Documents and Settings\User\Application Data\Firefox\Firefox\naweriweentcofise\Profiles\4hnocle9.default\Profiles\4hnocle9.default [not found]
FF Homepage: C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\4hnocle9.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=811021
FF Keyword.URL: C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\4hnocle9.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BC7D6F11C-178C-4F8A-B54D-53B3153CAFDD%7D&gp=820333
FF Homepage: C:\Documents and Settings\User\Application Data\Firefox\Firefox\Profiles\4hnocle9.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=800000
CHR HomePage: ChromeDefaultData -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: ChromeDefaultData -> "hxxp://mail.ru/cnt/10445?gp=822318","hxxp://www.trotux.com/?z=78810c62d62d51788076cb4gez4mdc1cdz1c2oaw4z&from=icb&uid=ST3500418AS_9VMVFP42XXXX9VMVFP42&type=hp"
CHR DefaultSearchURL: ChromeDefaultData -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B70C48F98-5E35-48F2-B07B-A25AEA68EF5C%7D&gp=822328
CHR DefaultSearchKeyword: ChromeDefaultData -> mail.ru_
CHR DefaultSuggestURL: ChromeDefaultData -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
OPR Extension: (Adblock Plus) - C:\Documents and Settings\User\Application Data\Opera Software\Opera Stable\Extensions\oidhhegpmlfpoeialbgcdocjalghfpkp [2016-07-01]
OPR Extension: (Fast search v3.5) - C:\Documents and Settings\User\Application Data\Opera Software\Opera Stable\Extensions\ooppbnomdcjmoepangldchpmjhkeendl [2016-09-08]
S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [X]
2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README9.txt
2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README8.txt
2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README7.txt
2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README6.txt
2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README5.txt
2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README4.txt
2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README3.txt
2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README2.txt
2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README10.txt
2016-12-26 07:52 - 2016-09-09 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_6_
2016-12-26 07:52 - 2016-09-09 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_5_
2016-12-26 07:52 - 2016-09-09 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_4_
2016-12-26 07:52 - 2016-09-09 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_3_
2016-12-26 07:52 - 2016-09-08 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_6
2016-12-26 07:52 - 2016-09-08 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_5
2016-12-26 07:52 - 2016-09-08 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_4
2016-12-26 07:52 - 2016-09-08 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_3
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Elly
      Викторина поиска фотографии по зашифрованным словам. Правила
      Автор Elly
      Друзья!
      В повседневной жизни каждый пользователь нашего клуба обладает разными способностями. Сегодня мы хотели бы задействовать ваши творческие и аналитические способности. Многие из вас любят разного рода загадки, шифровки и головоломки. Сегодня мы предлагаем вам принять участие в увлекательной викторине с элементами квеста по дешифровке изображений и поиску финального ответа. Это отличная возможность проверить свои логические и аналитические способности.
       
      ПРАВИЛА
       
      – вам нужно ответить на 10 вопросов;
      – в каждом из первых 9-ти вопросах вам нужно найти зашифрованное слово;
      – в 10-м вопросе вам нужно найти фотографию, на которой присутствуют все зашифрованные слова или предметы им соответствующие;
      – более подробно правила изложены на странице с викториной;
      – заполнить и отправить форму можно только один раз.
       
      НАГРАЖДЕНИЕ
       
      Максимальная награда - 1200 баллов, в том числе:
      по 100 баллов за каждое разгаданное слово 300 баллов за найденную фотографию Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00  26.10.2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @oit (пользователей @andrew75 и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами.
      Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • ruzome
      Зашифровали файлы, прошу подсказать возможно ли решение по расшифровке.
      Автор ruzome
      YGXcPNLfKVnWvtb-Mail[Gilbertdecsupp@gmail.com]ID-[09241377651329].FLNDEA
      YGXcPNLfKVnWvtb-Mail[Gilbertdecsupp@gmail.com]ID-[09241377651329].zip
    • Den_donskoy_2024
      Ротор
      Автор Den_donskoy_2024
      Программа дня 
    • SouL_77335
      Шифровальщик
      Автор SouL_77335
      Здравствуйте! 
      Каким-то образом, скорее всего через почту, подхватили шифровальщик... Что делать не можем понять. На сервере зашифровался целый диск. На нем хранилось, к счастью, только мультимедиа.
       
      Заметили случайно. Зашли картинку скачать, а там все файлы с припиской ...[Vulcanteam@CYBERFEAR.COM].RYK после расширения файла.
      В каждой папке создались файлы: "RyukReadMe.txt", "hrmlog1"
      Файлы предоставить не могу, так как сервер на данный момент отключили
       
      Текст редми файла:
      Your network has been penetrated.
      All files on each host in the network have been encrypted with a strong algorithm.
      Backups were either encrypted
      Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
      We exclusively have decryption software for your situation.
      More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder.
      No decryption software is available in the public.
      Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data.
      DO NOT RESET OR SHUTDOWN - files may be damaged.
      DO NOT DELETE readme files.
      To confirm our honest intentions.Send 2 different random files and you will get it decrypted.
      It can be from different computers on your network to be sure that one key decrypts everything.
      2 files we unlock for free
      To get info (decrypt your files) contact us at
      RyanRinse@mailfence.com
      or
      RyanRinse@firemail.de
      You will receive btc address for payment in the reply letter
      Ryuk
      No system is safe
      Зашифрованные файлы - образец.rar
×
×
  • Создать...