Шифровалльщик файлов Novikov.Vavila@gmail.com

27 февраля, 2017

Доброго времени спасатели! Попалась на уловку и все файлы Word Excel Jpg avi Зашифровались с именами:

*.no_more_ransom

Пока расследование как вирус попал на ПК результатов не дали т.к. работница-террорист " - ни чего не делала и ни чего не нажимала"

txt-шка с предупреждением в приложении....

Заранее благодарен за Ваш труд.

CollectionLog-2017.02.27-20.55.zip

README1.txt

28 февраля, 2017

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\татьяна\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\A0FBED93-1445247226-E111-AB24-8C0BBE722CA2\knseEB81.tmp', '');
 QuarantineFile('C:\Users\Татьяна\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 QuarantineFile('C:\Users\Татьяна\AppData\Local\Microsoft\73BAA1A5BD65541E3BF46BD35694FC1C\0C3D542EA0681D221E5067C67C5EF66D.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "AD4000014-EDAF-4223-9E37-844CA56C7BFC" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\5EF66DC76C7605E122D1860AE20C3D54" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\5EF66DC76C7605E122D1860AE20C3D54SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\extsetupSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\5EF66DC76C7605E122D1860AE20C3D54" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\5EF66DC76C7605E122D1860AE20C3D54SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\extsetupSB" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\A0FBED93-1445247226-E111-AB24-8C0BBE722CA2\knseEB81.tmp', '32');
 DeleteFile('C:\Users\Татьяна\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFile('C:\Users\Татьяна\AppData\Local\Microsoft\73BAA1A5BD65541E3BF46BD35694FC1C\0C3D542EA0681D221E5067C67C5EF66D.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFileMask('c:\users\татьяна\appdata\local\microsoft\extensions', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteDirectory('c:\programdata\krb updater utility');
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','extsetupSB');
 DeleteService('qevowufo');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Шифровалльщик файлов Novikov.Vavila@gmail.com

Рекомендуемые сообщения

alex_murom

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum