Перейти к содержанию

Spora Ransomware вымогатель

Sperare
 Поделиться

Рекомендуемые сообщения

Sperare

Sperare

Опубликовано
Опубликовано

Большая просьба помочь со спорой. Зашифрованы все документы, Офис, Adobe, jpg, архивы. Outlook жив, что странно. Деньги вымогали через страницу. Скриншот страницы приложен. 
 
Kaspersky Virus Removal запускали. Файлы Farbar в приложении. 

 

RU7AD-70RXK-XTKGR-TXTOZ-GTAKK-GTAOZ.html

CollectionLog 2017.102.14.15.55.rar

post-44143-0-47367500-1487077103_thumb.jpg

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

А реальный (не перепакованный) CollectionLog.zip по правилам покажете? :)

Sperare

Sperare

Опубликовано
  • Автор
Опубликовано

Добрый день. Странно, я думал это то что надо.. извиняюсь. Пойду читать что там должно быть.

Sandor

Sandor

Опубликовано
Опубликовано

Переделайте, пожалуйста, логи FRST. Утилиту запускайте правой кнопкой от имени администратора.

Sandor

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{6BED3ADD-63A3-4F93-AC4C-56FA7960863A}] => C:\Users\ladm\AppData\Local\Temp\{4824DCDC-3C35-449B-A1F6-33E6BAEABE54}\{6BED3ADD-63A3-4F93-AC4C-56FA7960863A}.cmd [290 2017-02-14] () <===== ATTENTION
AppInit_DLLs: C:\PROGRA~2\NVIDIA~1\3DVISI~1\NVSTIN~1.DLL => No File
Startup: C:\Users\s02\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU7AD-70RXK-XTKGR-TXTOZ-GTAKK-GTAOZ.html [2017-02-14] ()
C:\Users\ladm\AppData\Local\Temp\{4824DCDC-3C35-449B-A1F6-33E6BAEABE54}\{6BED3ADD-63A3-4F93-AC4C-56FA7960863A}.cmd
2017-02-14 14:27 - 2017-02-14 15:32 - 0000000 _____ () C:\Users\s02\AppData\Local\Temp\e6d93dd1acf54d11.exe
Task: {A22678ED-389D-4E1D-8862-D570D6D662B4} - \CCleanerSkipUAC -> No File <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sperare

Sperare

Опубликовано
  • Автор
Опубликовано

спасибо!


Каку почистил, но файлы разумеется так и остались закодированные. Файл прикрепил. 

 

В любом случае спасибо!

 

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Запускали опять не от имени администратора?

 

файлы разумеется так и остались закодированные

Да, увы, пока нет лекарства для этого вымогателя.
  • Спасибо (+1) 1
Sperare

Sperare

Опубликовано
  • Автор
Опубликовано

Запускал от админа, но скорее всего ключ в реестре не давал убирать работающий екзешник. Второй раз запустил, тогда все вычистил. Спасибо за помощь. 

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Sandor

Sandor

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.20 бета 2 (64-разрядная) v.4.20.2 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.13 v.7.13.101 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 24 PPAPI v.24.0.0.186 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • КостыговД
      SPORA дешифрование файлов уничтожение вируса
      Автор КостыговД
      день добрый, тоже spora, подхватили через вложение в в outlook, логи с двух машин прикладываю, заражение началось, скорее всего со второй, есть файл зловреда, Расширения файлов и сами файлы не переименованы, но содержимое зашифровано, при открытии ругается на сбитую кодировку, пострадали файлы .xls, .pdf, есть возможность расшифровать?
      1.CollectionLog-2017.04.13-14.50.zip
      2.CollectionLog-2017.04.13-15.20.zip
    • КостыговД
      SPORA дешифрование файлов уничтожение вируса #2
      Автор КостыговД
      лог приложил, правда перезагрузился автоматом
      Fixlog.txt
    • WhoIsIt
      Поймал шифровальщик. Расширение у зашифрованных файлов не изменено, в рабочих папках появился файл "a1c5a2cf65e4424b19.exe", в автозагрузке "x.vbs"
      Автор WhoIsIt
      Добрый день.
       
      Как уже описал в названии темы, поймал шифровальщик, в рабочих папках также появился файл "RUA20-23REO-TGETZ-TZTAX-FTHAY.html", его еще не открывал, по всей видимости там понятного содержания текст.
       
      Ноутбук проверил KVRT и Cureit.
       
      Прошу помощи.
      CollectionLog-2017.04.14-18.47.zip
    • Denis23
      Spora зашифровал все файлы
      Автор Denis23
      Добрый день!
      Вирус зашифровал все текстовые файлы, jpeg и pdf.
      Антивирус kaspersky endpoint security 10 его пропустил.
      Помогите пожалуйста расшифровать.
       
      CollectionLog-2017.04.14-09.01.zip
    • larm
      Trojan-Ransom.Win32.Spora.cpz
      Автор larm
      Добрый день.
      Печаль с одним из пользователей. Установлен KES10mr3, но на запущенный файл из веб-морды мейл.ру не среагировал. Только через час со свежими антивирусными базами обнаружил Trojan-Ransom.Win32.Spora.cpz (C:\documents and settings\46669\local settings\temp\rad9feda.exe ) Если будет необходимость, то скорее всего остался в резервном хранилище.
       
      Расширения файлов и сами файлы не переименованы, но содержимое зашифровано, при открытии ругается на сбитую кодировку. Имеется html страничка RU96B-5AOEK-RKTKK-ZXTXZ-AETRG-FTRAH-AKTRR-OGYYY.html
      Соответствующего скрытого *.key админом филиала обнаружено не было.
       
      Имеется оригинальный до шифрования доковский файлик и соответствующий ему после работы шифровальщика.
      Есть ли в данном случае вообще возможности для расшифровки через CompanyAccount Касперского? В прошлый раз помогло, но тогда шифрование случилось без активного подключения к интернету.
       
      1.    Просканировано  Dr.Web CureIt (плюсом еще Total 9 files (14 objects) are infected)
      2.    Логи AutoLogger.exe
      3.    Логи Farbar Recovery Scan Tool
      logs.zip
×
×
  • Создать...