Перейти к содержанию

Рекомендуемые сообщения

Всем привет! Я работаю сис админом в фирме интеграторе. 12.04.17г к нам в контору залетел вирус. Вирус шифровальщик spora ransomware. Зашифровал данные на 3-х компьютерах. Антивирусник который корпоративный не увидел этот вирус. Проверил я Dr. Web и он увидел следы от этого вируса. Коллеги с Санкт-Петербурга сказали, что ещё Касперский видит этот вирус. Сейчас стоит задача по дешифровки данных.

CollectionLog-2017.04.17-17.38.zip

post-44977-0-30122200-1492481918_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Программу

ownCloud

ставили самостоятельно?
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Программу

ownCloud

ставили самостоятельно?
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

OwenCloud ставили сами. Отчет после проверки прикреплен.

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Во вложении отчеты после проверок.

 

Addition.txt

FRST.txt

AdwCleanerC2.txt

Shortcut.txt

Изменено пользователем ViRuS_285
Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU090-65GFZ-OTXRG-XKTOG-RTKFK-TOZFO-ATAHK-AZYYY.html [2017-04-12] ()
HKU\S-1-5-21-3035505900-4057472789-455999841-1662\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-04-12 09:21 - 2017-04-12 09:21 - 00016676 _____ C:\Users\Администратор\RU090-65GFZ-OTXRG-XKTOG-RTKFK-TOZFO-ATAHK-AZYYY.html
2017-04-12 09:21 - 2017-04-12 09:21 - 00016676 _____ C:\Users\Администратор\Desktop\RU090-65GFZ-OTXRG-XKTOG-RTKFK-TOZFO-ATAHK-AZYYY.html
2017-04-12 09:21 - 2017-04-12 09:21 - 00016676 _____ C:\Users\Администратор\AppData\Roaming\RU090-65GFZ-OTXRG-XKTOG-RTKFK-TOZFO-ATAHK-AZYYY.html
2017-04-12 09:13 - 2017-04-12 09:21 - 18435752 _____ C:\Users\Администратор\AppData\Roaming\3436062691
2017-02-22 11:51 - 2017-02-22 11:51 - 3039448 _____ () C:\Users\Администратор\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
2017-02-22 11:52 - 2017-02-22 11:53 - 3039448 _____ () C:\Users\Администратор\AppData\Local\Temp\hcv_mailruhomesearch (2).exe
2017-02-22 11:47 - 2017-02-22 11:47 - 3039448 _____ () C:\Users\Администратор\AppData\Local\Temp\hcv_mailruhomesearch.exe
2017-02-22 11:53 - 2017-02-22 11:53 - 3039448 _____ () C:\Users\Администратор\AppData\Local\Temp\mailruhomesearch.exe
2017-02-22 11:47 - 2017-02-22 02:56 - 4096728 _____ (Mail.Ru) C:\Users\Администратор\AppData\Local\Temp\MailRuUpdater.exe
2017-02-22 11:49 - 2017-02-22 11:51 - 4626583 _____ () C:\Users\Администратор\AppData\Local\Temp\urlopener.exe
AlternateDataStreams: C:\ce-flat.vmdk:com.apple.quarantine [57]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU090-65GFZ-OTXRG-XKTOG-RTKFK-TOZFO-ATAHK-AZYYY.html [2017-04-12] ()
HKU\S-1-5-21-3035505900-4057472789-455999841-1662\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-04-12 09:21 - 2017-04-12 09:21 - 00016676 _____ C:\Users\Администратор\RU090-65GFZ-OTXRG-XKTOG-RTKFK-TOZFO-ATAHK-AZYYY.html
2017-04-12 09:21 - 2017-04-12 09:21 - 00016676 _____ C:\Users\Администратор\Desktop\RU090-65GFZ-OTXRG-XKTOG-RTKFK-TOZFO-ATAHK-AZYYY.html
2017-04-12 09:21 - 2017-04-12 09:21 - 00016676 _____ C:\Users\Администратор\AppData\Roaming\RU090-65GFZ-OTXRG-XKTOG-RTKFK-TOZFO-ATAHK-AZYYY.html
2017-04-12 09:13 - 2017-04-12 09:21 - 18435752 _____ C:\Users\Администратор\AppData\Roaming\3436062691
2017-02-22 11:51 - 2017-02-22 11:51 - 3039448 _____ () C:\Users\Администратор\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
2017-02-22 11:52 - 2017-02-22 11:53 - 3039448 _____ () C:\Users\Администратор\AppData\Local\Temp\hcv_mailruhomesearch (2).exe
2017-02-22 11:47 - 2017-02-22 11:47 - 3039448 _____ () C:\Users\Администратор\AppData\Local\Temp\hcv_mailruhomesearch.exe
2017-02-22 11:53 - 2017-02-22 11:53 - 3039448 _____ () C:\Users\Администратор\AppData\Local\Temp\mailruhomesearch.exe
2017-02-22 11:47 - 2017-02-22 02:56 - 4096728 _____ (Mail.Ru) C:\Users\Администратор\AppData\Local\Temp\MailRuUpdater.exe
2017-02-22 11:49 - 2017-02-22 11:51 - 4626583 _____ () C:\Users\Администратор\AppData\Local\Temp\urlopener.exe
AlternateDataStreams: C:\ce-flat.vmdk:com.apple.quarantine [57]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
      Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
      Как Interlock использует ClickFix для распространения вредоносного ПО
      Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
      При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
      Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
      На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
      PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
      В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      12 мая — Всемирный день борьбы с шифровальщиками. В 2025 году в этот памятный день, учрежденный Интерполом и «Лабораторией Касперского», мы хотим обсудить тенденции, которые прослеживаются в ransomware-инцидентах и служат доказательством того, что с каждым годом идея вести переговоры со злоумышленниками и совершать переводы в криптовалюте становится все хуже.
      Низкое качество расшифровщиков
      Когда инфраструктура компании зашифрована в результате атаки, бизнес в первую очередь хочет вернуться к нормальной деятельности, как можно быстрее восстановив данные на рабочих станциях и серверах. Из записок вымогателей может сложиться впечатление, что после оплаты компания получит приложение, которое быстро вернет всю информацию на свои места и можно будет практически безболезненно продолжить работу. На практике этого почти никогда не случается.
      Во-первых, часть вымогателей просто обманывает своих жертв и вообще не присылает расшифровщик. Такие случаи стали широко известны, например благодаря утечке внутренней переписки вымогателей Black Basta.
      Во-вторых, бизнес вымогателей — это шифрование, а не расшифровка, поэтому написанию декрипторов уделяется минимум внимания: они плохо и медленно работают. Может оказаться, что восстановление данных из резервной копии пройдет значительно быстрее, чем восстановление при помощи утилиты злоумышленников. Часто присланные вымогателями расшифровщики сбоят при встрече с экзотическими именами файлов, из-за конфликтов прав доступа или просто без видимой причины и при этом не имеют механизма продолжения расшифровки с того места, где она прервалась. Иногда, из-за некорректной обработки, они просто портят файлы.
      В результате образовался целый сегмент ИТ-бизнеса — нормальная расшифровка. Легитимные компании берут полученный от вымогателей сырой расшифровщик и переписывают его так, чтобы он работал нормально. Но быстро найти такую компанию и дождаться улучшенную версию утилиты — опять потери денег и времени.
       
      View the full article
    • nooky910
      Автор nooky910
      Добрый день. Заметил, что при играх резкая просадка фпс началась. Лечил 2 таблетками, но безуспешно. Бесконечно создается сам. Так же был замечен xmring miner, но таблетка его вроде пыталась удалить. 


       
      CollectionLog-2025.05.24-17.36.zip
    • orbita06
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • croc_gon
      Автор croc_gon
      Всем привет проблема следующая каспер постоянно ругается на вирус во временной памяти и не удаляет 
       
      Тип события: Лечение невозможно
      Тип приложения: Kaspersky Endpoint Security для Windows
      Название: avp.exe
      Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.8.0
      ID процесса: 18446744073709551615
      Описание результата: Не обработано
      Тип: Троянское приложение
      Название: MEM:Trojan.Win64.ModPlayer.gen
      Пользователь: GONETS\i.zazvonov (Активный пользователь)
      Объект: pmem:\C:\Windows\System32\svchost.exe
      Причина: Пропущено
×
×
  • Создать...