Перейти к содержанию

Рекомендуемые сообщения

Добрый день. Как и у многих поймали трояна. Шифронул почти все word, pdf, jpg. Почитал форум, проверил программы дискрипторы на сайте. И понял что не поможет. Почистил от вирусов. Но хотелось бы удостовериться в чистоте винды и возможно в подсказке по расшифровке. Файлы прикладываю.

Спасибо.

С уважением.

CollectionLog-2017.01.13-15.24.zip

FRST.txt

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Удалите Iobit через установку программ в панели управления.

HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=820323
O4 - MSConfig\startupreg:  [Language Command Helper] C:\Documents and Settings\User\Local Settings\Application Data\FilterStart\FilterStart.exe (2016/09/20)
O4 - MSConfig\startupreg:  [PhrozenSoft VirusTotal Uploader]  (2016/07/04) (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_3\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_3_\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_4\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_4_\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_5\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_5_\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\MSUser.Default\Help_6\local32spl.dll','');
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\FilterStart\FilterStart.exe','');
 QuarantineFile('C:\local32spl.dll','');
 QuarantineFile('C:\Program Files\Gronuchcoaregh\bemition.exe','');
 QuarantineFileF('C:\Program Files\Gronuchcoaregh', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\browsermon.sys','');
 QuarantineFile('C:\_\local32spl.dll','');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\FilterStart\FilterStart.exe','32');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Hostinstaller\4027373249_installcube.exe','32');
 DeleteFile('C:\Program Files\Gronuchcoaregh\bemition.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\Anofotion Collector.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Soft installer.job','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Language Command Helper','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.
 

Ссылка на сообщение
Поделиться на другие сайты

Добрый день. Прикладываю логи. Но ссылку на загрузку карантина с avz что то не нашёл.

Пршу прощения, налез другой шаблон, выполните пожалуйста следующие инструкции

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

Ссылка на сообщение
Поделиться на другие сайты

Запрос на исследование вредоносного файла [KLAN-5685760826]

Riskware приложение, которое может нанести вред вашему компьютеру был обнаружен в файлах: 

browsermon.sys - не-а-вирус: NetTool.Win32.NetFilter.lu 

Мы будем тщательно анализировать файлы. Если результат анализа отличается от этого результата сканирования, вы будете уведомлены по электронной почте в течение 5 дней. 

FRST.txt

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    HKLM\...\Providers\0i4a22pn: C:\Documents and Settings\MSUser.Default\Help_5_\local32spl.dll
    HKLM\...\Providers\0o8745bn: C:\Documents and Settings\MSUser.Default\Help_5\\local32spl.dll
    HKLM\...\Providers\89rezczp: C:\\local32spl.dll
    HKLM\...\Providers\9f52epo5: C:\Documents and Settings\MSUser.Default\Help_4_\local32spl.dll
    HKLM\...\Providers\9n68y6ve: C:\_\local32spl.dll
    HKLM\...\Providers\9zczpqe5: C:\Documents and Settings\MSUser.Default\Help_6\\local32spl.dll
    HKLM\...\Providers\ghf6syii: C:\Documents and Settings\MSUser.Default\Help_3\\local32spl.dll
    HKLM\...\Providers\gy5wtpn9: C:\Documents and Settings\MSUser.Default\Help_6_\local32spl.dll
    HKLM\...\Providers\lqbhyvtl: C:\Documents and Settings\MSUser.Default\Help_4\\local32spl.dll
    HKLM\...\Providers\zt1l8cey: C:\Documents and Settings\MSUser.Default\Help_3_\local32spl.dll
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    Toolbar: HKU\S-1-5-21-1050179586-3977981042-2986749236-1003 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    FF ProfilePath: C:\Documents and Settings\User\Application Data\Firefox\Firefox\naweriweentcofise\Profiles\4hnocle9.default\Profiles\4hnocle9.default [not found]
    FF Homepage: C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\4hnocle9.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=811021
    FF Keyword.URL: C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\4hnocle9.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BC7D6F11C-178C-4F8A-B54D-53B3153CAFDD%7D&gp=820333
    FF Homepage: C:\Documents and Settings\User\Application Data\Firefox\Firefox\Profiles\4hnocle9.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=800000
    CHR HomePage: ChromeDefaultData -> mail.ru/cnt/11956636?rciguc__PARAM__
    CHR StartupUrls: ChromeDefaultData -> "hxxp://mail.ru/cnt/10445?gp=822318","hxxp://www.trotux.com/?z=78810c62d62d51788076cb4gez4mdc1cdz1c2oaw4z&from=icb&uid=ST3500418AS_9VMVFP42XXXX9VMVFP42&type=hp"
    CHR DefaultSearchURL: ChromeDefaultData -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B70C48F98-5E35-48F2-B07B-A25AEA68EF5C%7D&gp=822328
    CHR DefaultSearchKeyword: ChromeDefaultData -> mail.ru_
    CHR DefaultSuggestURL: ChromeDefaultData -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
    OPR Extension: (Adblock Plus) - C:\Documents and Settings\User\Application Data\Opera Software\Opera Stable\Extensions\oidhhegpmlfpoeialbgcdocjalghfpkp [2016-07-01]
    OPR Extension: (Fast search v3.5) - C:\Documents and Settings\User\Application Data\Opera Software\Opera Stable\Extensions\ooppbnomdcjmoepangldchpmjhkeendl [2016-09-08]
    S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [X]
    2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README9.txt
    2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README8.txt
    2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README7.txt
    2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README6.txt
    2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README5.txt
    2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README4.txt
    2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README3.txt
    2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README2.txt
    2017-01-10 10:45 - 2017-01-10 10:45 - 00004154 _____ C:\README10.txt
    2016-12-26 07:52 - 2016-09-09 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_6_
    2016-12-26 07:52 - 2016-09-09 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_5_
    2016-12-26 07:52 - 2016-09-09 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_4_
    2016-12-26 07:52 - 2016-09-09 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_3_
    2016-12-26 07:52 - 2016-09-08 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_6
    2016-12-26 07:52 - 2016-09-08 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_5
    2016-12-26 07:52 - 2016-09-08 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_4
    2016-12-26 07:52 - 2016-09-08 16:01 - 00000000 ___HD C:\Documents and Settings\MSUser.Default\Help_3
    Reboot:
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

Шансов скорее нет, но пробуйте создать запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

P.S. Не удаляйте каталог C:\FRST до тех пор пока не решите вопрос с расшифровкой

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • QueenBlack
      От QueenBlack
      Доброго дня.
      Пришла беда, прошу помощи.
       
         var start_date = new Date('May 26 2023 23:52:20');
          var discount_date = new Date('May 28 2023 23:52:20');
          var end_date = new Date('May 31 2023 23:52:20');
          var main_contact = '@rudecrypt';
          var second_contact = 'telegramID@rudecrypt';
          var hid = '[6243493E-BBF995AE]';
          var telegram_link = 'https://telegram.org/';
       
      Addition.txt FRST.txt crypt.7z how_to_decrypt.7z
    • SouL_77335
      От SouL_77335
      Здравствуйте! 
      Каким-то образом, скорее всего через почту, подхватили шифровальщик... Что делать не можем понять. На сервере зашифровался целый диск. На нем хранилось, к счастью, только мультимедиа.
       
      Заметили случайно. Зашли картинку скачать, а там все файлы с припиской ...[Vulcanteam@CYBERFEAR.COM].RYK после расширения файла.
      В каждой папке создались файлы: "RyukReadMe.txt", "hrmlog1"
      Файлы предоставить не могу, так как сервер на данный момент отключили
       
      Текст редми файла:
      Your network has been penetrated.
      All files on each host in the network have been encrypted with a strong algorithm.
      Backups were either encrypted
      Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
      We exclusively have decryption software for your situation.
      More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder.
      No decryption software is available in the public.
      Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data.
      DO NOT RESET OR SHUTDOWN - files may be damaged.
      DO NOT DELETE readme files.
      To confirm our honest intentions.Send 2 different random files and you will get it decrypted.
      It can be from different computers on your network to be sure that one key decrypts everything.
      2 files we unlock for free
      To get info (decrypt your files) contact us at
      RyanRinse@mailfence.com
      or
      RyanRinse@firemail.de
      You will receive btc address for payment in the reply letter
      Ryuk
      No system is safe
      Зашифрованные файлы - образец.rar
    • Никита Маврин
      От Никита Маврин
      Доброго дня!
      Вирус зашифровал файлы добавив к ним расширение .indianguy
      Картинки, текстовые документы, файлы MS Office и видеозаписи. 
      Что делать?
      Пытались найти информацию об этом вирусе в интернете, нашли связь по этой ссылке: hxxps://dr-shifro.ru/indianguy.html
      В ответ нам прислали такой ответ: 
      Сентябрь 2022.xls
      Файл, который они прислали - прикладываю отдельно (не архив)
       
       
       
       
       
      Архив ZIP - WinRAR (2).zip
    • Armanjan
      От Armanjan
      На нескольких серверов файлы шифровании 
       

      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные ссылки и файлы на форум. Логт.rar
      файлы.rar
    • illinoi
      От illinoi
      Bашu фaйлы были зaшuфpoваны.
      Чmoбы pacшифровamь ux, Вам неoбxодuмо отпpавumь koд:
      EDA7E4ACDB96C5E0F7C7|0
      нa элeктpонный адрес Novikov.Vavila@gmail.com .
      Далее вы пoлучите все необxoдимые uнcmpykцuu.
      ..
      http://cryptsen7fo43rr6.onion/
      u нажмите Enter. Заrрyзится стpаницa c фopмoй обpаmной cвязu.
      2) B любoм бpaузеpe пeрeйдите no oднoму uз адреcoв:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
       
      касперский стал выключен (или дети как-то его отрубили)
       
      Споймал 3 на карантин
      25.02.2017 22:34:56    На карантине    неизвестный объект: 110 PDM:Trojan.Win32.Bazon.a    c:\programdata\windows\csrss.exe    Средняя    
       
       
      3 шт в резервном
      25.02.2017 22:43:14    Удалено    троянская программа Trojan-Ransom.Win32.Shade.lpe    C:\Users\ahmed\AppData\Local\Temp\rad662A5.tmp    Высокая    
      25.02.2017 23:14:13    Удалено    троянская программа Trojan.Win32.Vilsel.cuuj    C:\Documents and Settings\ahmed\Downloads\Revo Uninstaller Pro 3.1.7\RUP_3.1.0_Registrator.exe    Высокая    
       
      сейчас идёт полная проверка
      Как закончится - пришлю необходимые сканы дополнительно.
      Если важно какие именно прилагать, дополните, чем ещё необходимо отсканировать.
      Детских фото много на диске D..
×
×
  • Создать...