Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

Был скачен архив с приложением, после чего зашифровались все файлы с расширениями MS Office, .pdf

Чистил с помощью CureIT, KVRT. Было найдено и удалено несколько вирусов.

 

Просьба помочь в дешифровании. При запуске системы открывается окно IE с сообщением о том что все документы зашифрованы Spore ransomware.

 

Спасибо!

info.txt

log.txt

CollectionLog-2017.01.23-11.02.zip

Изменено пользователем Lighton
Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\koryakin.LANIT\AppData\Roaming\JijlWit\Dhoryfto.exe','');
 QuarantineFile('C:\ProgramData\iWMiniProi\WMiniPro.exe','');
 QuarantineFile('C:\Program Files (x86)\006C9852-1428257948-E211-8034-B02D83049646\knso4AE9.tmp', '');
 QuarantineFile('C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.HTML', '');
 DeleteFile('C:\ProgramData\iWMiniProi\WMiniPro.exe','32');
 DeleteFile('C:\Users\koryakin.LANIT\AppData\Roaming\JijlWit\Dhoryfto.exe','32');
 DeleteFile('C:\Program Files (x86)\006C9852-1428257948-E211-8034-B02D83049646\knso4AE9.tmp', '32');
 DeleteFile('C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.HTML', '32');
 DeleteService('Yimieeu');
 DeleteService('WdsManPro');
 DeleteService('puwehevo');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - HKLM\System\CSS\Services\Tcpip\..\{775B09B4-E045-4C17-8123-5A63AFDC9063}: NameServer = 104.197.191.4
O17 - HKLM\System\CSS\Services\Tcpip\..\{8718928D-CBEB-45EA-A621-800A9249001D}: NameServer = 104.197.191.4
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{775B09B4-E045-4C17-8123-5A63AFDC9063}: NameServer = 104.197.191.4
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{8718928D-CBEB-45EA-A621-800A9249001D}: NameServer = 104.197.191.4

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Ответ от newvirus@kaspersky.com:

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.HTML

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

 

[KLAN-5695486740]

AdwCleanerS0.txt

ClearLNK-23.01.2017_12-14.log

Ссылка на комментарий
Поделиться на другие сайты

1. В безопасном режиме:

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2. В обычном режиме:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF user.js: detected! => C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2016-08-05]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> search.mpc.am
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id={81EA736D-38AE-412B-B14A-1635CE24796D}&gp=789106
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2015-11-03]
FF Extension: (Поиск@Mail.Ru) - C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2015-11-03]
FF Extension: (Спутник @Mail.Ru) - C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2013-02-24] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2015-11-03]
S4 Mucbipinod; "C:\Users\koryakin.LANIT\AppData\Roaming\Vuwodog\Vuwodog.exe" -cms [X]
2017-01-20 10:21 - 2017-01-20 10:21 - 02076160 ____R C:\Users\koryakin.LANIT\AppData\Roaming\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.LST
2017-01-20 10:20 - 2017-01-20 10:20 - 00014462 ____R C:\Users\koryakin.LANIT\AppData\Roaming\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.HTML
2017-01-20 10:17 - 2017-01-20 10:22 - 02965984 _____ C:\Users\koryakin.LANIT\AppData\Roaming\3760889526
2017-01-20 10:17 - 2017-01-20 10:17 - 00001088 ____R C:\Users\koryakin.LANIT\AppData\Roaming\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.KEY
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_98fe7RGgatvcZCaXxF7ff2529Fk-481123052 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_gdtS6a0b5ZRt_6PIn1MCYzp2mNI-1645993638 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_l2V968dCa1zMr5TTWgVJQP6xPVU1582337518 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qFyz_p77Mklm6G-g9tbfmp6arrk-91909773 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qUrYP-q7tpBAiiIGw2drcOQ1OLk285189430 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_TS_g8TeGGDswpR4ufNJw3TS0-CM-2018099378 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_Uk8wMlO6kp7jGPt0n6rTPeL77QE-1116572040 [2302]
HKU\S-1-5-21-1214440339-1383384898-1343024091-22318\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-1214440339-1383384898-1343024091-22318\...\StartupApproved\StartupFolder: => "crossbrowse.lnk"
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • hobbit86
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • LamerMan
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
×
×
  • Создать...