Перейти к содержанию

Рекомендуемые сообщения

Доброго времени суток! Было открыто письмо в стиле "оплатите задолженность". В нем был архив-троян(ы), Trojan Filecoder UPX, Trojan Fake MS, Ransom.Troldesh, Backdoor.BIFrose (были помещены в карантин). Потом упал explorer.exe, после перезапуска системы все данные были зашифрованы с расширением .crypted000007. И были созданы txt-шники:  

 

"Baши фaйлы былu зaшuфpованы.

Чmобы pасшuфpoвaть их, Bам неoбxoдuмо omпрaвumь kод:
5D53D99D4882C54033D0|0
нa элekтpонный aдрec gervasiy.menyaev@gmail.com ."
 
Было перепробовано множество декрипторов которые не дали позитивный результат.
 
Прикрепляю логи сделаны FRST64.
 
Зарание благодарен за любую помощь!

FRST64_log.rar

CollectionLog-2017.05.03-11.34.zip

Изменено пользователем FixMePlz
Ссылка на комментарий
Поделиться на другие сайты

Удалите IObit через установку программ в панели управления.

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe','');
 QuarantineFileF('C:\ProgramData\Drivers', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 QuarantineFile('C:\ProgramData\services\csrss.exe','');
 QuarantineFileF('C:\ProgramData\services', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFileF('C:\ProgramData\Windows', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe','32');
 DeleteFile('C:\ProgramData\services\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Session Manager','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Ссылка на комментарий
Поделиться на другие сайты

 Ответ:

KLAN-6191760581

Thank you for contacting Kaspersky Lab

 

The files have been scanned in automatic mode.

 

Malicious code has been detected in the following files:

csrss.exe - Trojan.Win32.Agent.nezeod

csrss_0.exe - Trojan-Ransom.Win32.Agent.ivl

csrss_1.exe - HEUR:Trojan.Win32.Generic

 


We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

This is an automatically generated message. Please do not reply to it.

Ссылка на комментарий
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Ссылка на комментарий
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818408"
    CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
    U0 aswVmm; no ImagePath
    2017-05-02 17:51 - 2017-05-02 17:51 - 00000000 ____D C:\Users\11111\AppData\Roaming\IObit
    2017-05-02 15:11 - 2017-05-04 10:21 - 00000000 __SHD C:\Users\Все пользователи\services
    2017-05-02 15:11 - 2017-05-04 10:21 - 00000000 __SHD C:\ProgramData\services
    2017-05-02 14:11 - 2017-05-02 14:11 - 03932214 _____ C:\Users\Админ\AppData\Roaming\9684D7A39684D7A3.bmp
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README9.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README8.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README7.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README6.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README5.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README4.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README3.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README2.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README10.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README1.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README9.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README8.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README7.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README6.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README5.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README4.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README3.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README2.txt
    2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README10.txt
    2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README9.txt
    2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README8.txt
    2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README7.txt
    2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README6.txt
    2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README5.txt
    2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README4.txt
    2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README3.txt
    2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README2.txt
    2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README10.txt
    2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README1.txt
    2017-05-02 13:47 - 2017-05-04 10:21 - 00000000 __SHD C:\Users\Все пользователи\Windows
    2017-05-02 13:47 - 2017-05-04 10:21 - 00000000 __SHD C:\ProgramData\Windows
    Folder: C:\Users\Админ\Documents\ghj
    2017-05-04 09:47 - 2016-11-28 12:22 - 00000000 ____D C:\Users\Все пользователи\ProductData
    2017-05-04 09:47 - 2016-11-28 12:22 - 00000000 ____D C:\ProgramData\ProductData
    2017-05-04 09:47 - 2016-11-28 12:21 - 00000000 ____D C:\Users\Все пользователи\IObit
    2017-05-04 09:47 - 2016-11-28 12:21 - 00000000 ____D C:\Users\Админ\AppData\Roaming\IObit
    2017-05-04 09:47 - 2016-11-28 12:21 - 00000000 ____D C:\Users\Админ\AppData\LocalLow\IObit
    2017-05-04 09:47 - 2016-11-28 12:21 - 00000000 ____D C:\ProgramData\IObit
    2017-05-02 14:11 - 2017-05-02 14:11 - 3932214 _____ () C:\Users\Админ\AppData\Roaming\9684D7A39684D7A3.bmp
    Folder: C:\ProgramData\Drivers
    Task: {765E22DF-9DAA-4462-BFB3-B7869FEBF741} - System32\Tasks\Driver Booster SkipUAC (Админ) => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe
    MSCONFIG\startupreg: Client Server Runtime Subsystem =>
    MSCONFIG\startupreg: CSRSS =>
    MSCONFIG\startupreg: Windows Session Manager =>
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

По каким-то причинам в логах фикса кириллица не отображалась, приложите новые логи утилиты FRST (FRST.txt и Addition.txt).

Ссылка на комментарий
Поделиться на другие сайты

Да, теперь все ок. Приложите новые логи утилиты FRST, для того чтобы убедиться, что не осталось остатков.

Ссылка на комментарий
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    2017-05-02 15:17 - 2017-05-02 15:17 - 1012224 ___SH () C:\Users\Админ\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Session Manager]
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Добрый день! Вера пользователь в деканате подцепил вирус путем перехода по ссылке присланного письма так называемого счета. Троян вымогатель .crypted000007. Однако без всяких требований... Но суть остается той же зашифровал порядком файлов на компе. Нужна помощь в дешифровке. К письму прилагаю архив с файлами: Лог системы, принскрин письма, в файле запуск вируса - ссылка перехода на вирус, лог malwarebytes, лог FRST, лог [/size]ClearLNK и пару зашифрованных файлов. Буду благодарен всякой помощи![/size]
 
P.S. Прошу прощение если нарушил какие-нибудь правила оформления. С уважением D.[/size]

 

Сообщение от модератора Mark D. Pearlstone
Не пишите в чужих темах раздела. Не прикрепляйте вредоносные и потенциально вредоносные файлы и ссылки на них на форум. Создайте свою тему и выполните правила раздела https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • LeoNid2024
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
    • Алексей Андронов
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • KOte
      От KOte
      Поймали шифровальщик. вымогатель юлит, не дает гарантии что все будет восстановлено. Собрал все файлы открыл тему.
      Addition.txt FRST.txt Read Instructions.txt virus.rar
    • C0c024
      От C0c024
      Меня атаковал вирус-вымогатель .elons, я хочу узнать больше информации об этом вредоносном ПО, поскольку то, что я видел на других форумах, решения не существует.Adición.txt  FRST.txt
    • grobique
      От grobique
      Здравствуйте! Образовалась такая ситуация - имеется машина, на Win7 x64, подключенная к интернету. Из портов были открыты 80, 3389, и несколько иных для различных программ, типа 8000 для радио, 25565 для игры, и всё такое. В один прекрасный момент раздается звук перезагрузки системы, и в итоге имею диск зашифрованных файлов.
      Что имеется в архиве - один зашифрованный .bat файл, так же - его копия до сего происшествия, а так же один аудиофайл, так же в зашифрованном и нормальном виде. Само собой, "записочка" от авторов.
      Так же на другой машине Windows 10 очень огрызается на все исполняемые файлы, которые я копирую с зараженного компьютера, говорит десятка, что Neshta.A.
      Desktop.zip FRST.txt Addition.txt
×
×
  • Создать...