Перейти к содержанию

Расшифровка файлов

scidrov
 Поделиться

Рекомендуемые сообщения

scidrov

scidrov

Опубликовано
Опубликовано (изменено)

Добрый день!

 

Зашифровались файлы, формат: better_call_saul. 

Когда именно не помню, заметил только сейчас. 

WinRAR archive.RAR

Изменено пользователем scidrov
regist

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH\issch.exe', '');
 QuarantineFile('C:\WINDOWS\system32\wbiosrvp.dll', '');
 QuarantineFile('C:\WINDOWS\system32\themctrl.dll', '');
 QuarantineFileF('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH\issch.exe', '32');
 DeleteFile('C:\WINDOWS\system32\themctrl.dll', '32');
 DeleteFile('C:\WINDOWS\system32\wbiosrvp.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "InstallShield Update Service" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\themctrl\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

"Пофиксите" в HijackThis:
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{67E7E0F6-1FF4-44F4-82C1-1979130411B3} - (no name) - (no URL)
O2-32 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
scidrov

scidrov

Опубликовано
  • Автор
Опубликовано

 

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH\issch.exe', '');
 QuarantineFile('C:\WINDOWS\system32\wbiosrvp.dll', '');
 QuarantineFile('C:\WINDOWS\system32\themctrl.dll', '');
 QuarantineFileF('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH\issch.exe', '32');
 DeleteFile('C:\WINDOWS\system32\themctrl.dll', '32');
 DeleteFile('C:\WINDOWS\system32\wbiosrvp.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "InstallShield Update Service" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\themctrl\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

"Пофиксите" в HijackThis:

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{67E7E0F6-1FF4-44F4-82C1-1979130411B3} - (no name) - (no URL)
O2-32 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

 

 

Ссылка на результаты анализа: https://virusinfo.info/virusdetector/report.php?md5=CBAB846BDD1A75A08E4D5773452D1365

regist

regist

Опубликовано
Опубликовано

1) Не надо заниматься оверквотингом, внизу есть поле для быстрого ответа.

2) Жду отстальное.

scidrov

scidrov

Опубликовано
  • Автор
Опубликовано

[KLAN-6352946567]

 

 

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

Riskware which may harm your computer was detected in the following files:
issch.exe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen

Malicious code has been detected in the following files:
wbiosrvp.dll - Trojan.Win32.StartServ.gv
themctrl.dll - Trojan.Win32.StartServ.gw

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ
 


логи

 

CollectionLog-2017.06.04-21.28.zip

WinRAR archive.RAR

regist

regist

Опубликовано
Опубликовано (изменено)

Прикрепляйте только те файлы, которые вас просят.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH', '*', true);
 DeleteDirectory('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_00F461CE8AF47C2CA61620079DBECDCA');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Unity Web Player [2016/09/24 11:23:41]-->C:\Users\nikit_000\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Uplay [2016/09/24 11:29:04]-->C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uninstall.exe

Сами ставили ? Если нет, то деинсталируйте.

WinZip 17.5 [20131112]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240DD}

При наличие WinRAR 5.20 советую его деинсталировать.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
scidrov

scidrov

Опубликовано
  • Автор
Опубликовано

[KLAN-6354729918]

 

 

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
quarantine.zip

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ
 


Логи

CollectionLog-2017.06.05-08.46.zip

regist

regist

Опубликовано
Опубликовано

1)

gpedt.msc 1.0 [20160412]-->"C:\WINDOWS\unins000.exe"

Это что за программа? Знакома вам? Если нет, то деинсталируйте.

2)

Google Update Helper [20170428]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Skype Click to Call [20161025]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

советую тоже деинсталировать.

 

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

 

scidrov

scidrov

Опубликовано
  • Автор
Опубликовано (изменено)

Восстановить зашифрованные  файлы возможно?

 

Логи

WinRAR ZIP archive.zip

Изменено пользователем scidrov
regist

regist

Опубликовано
Опубликовано 

gpedt.msc 1.0 (HKLM-x32\...\{10B9C608-BF7C-4CCF-A658-C01D969DCA21}_is1) (Version:  - Richard)

До сих пор не деинсталировали, она вам знакома?

 

  • Отключите до перезагрузки антивирус.

  • Выделите следующий код:

     

    Start::
CreateRestorePoint:
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\...\Policies\Explorer: []
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\...\MountPoints2: {8a65acdc-0100-11e6-95bb-448a5b441882} - "H:\setup.exe"
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\...\MountPoints2: {eef20be1-5952-11e5-825e-806e6f6e6963} - "E:\Autorun.exe"
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts-x32: Restriction <======= ATTENTION
GroupPolicyScripts-x32\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CustomCLSID: HKU\S-1-5-21-3451615344-102747879-2984171561-1002_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-922291E159E6}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => No File
Task: {1AE4BB8D-A0A8-410A-939F-2CF601567AE1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {1D4CBB33-3132-4DEA-92C1-C320E04ED915} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {21DA9224-4EA5-4998-8C21-89B6D382620A} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {28EADE76-EC1C-4F76-9DB0-E79B49527E8E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {393E114D-5ADB-472F-B3AC-C636B1ED0E62} - \WPD\SqmUpload_S-1-5-21-3451615344-102747879-2984171561-1002 -> No File <==== ATTENTION
Task: {3C50DC32-072D-4B8C-927B-E24D817E9BC6} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {5955F00C-E3D1-41CD-B778-4B4D138DE9C6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {7A4BB7AF-5E8C-4ACD-90A0-1CF5162F88E1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {91D44C9C-EAB3-46B7-9FBE-87D4A13B00CE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {B2B595A3-5411-4292-AEF5-DA36735EB678} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {B6F97FFC-777C-4081-995C-93F2BAB05D6F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {D8369D9E-D9C3-49D0-BB56-65EB335291CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\Software\Classes\.scr: scrfile =>  <===== ATTENTION
HKLM\...\StartupApproved\Run32: => "IObit Malware Fighter"
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\...\StartupApproved\Run: => "Praetorian"
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\...\StartupApproved\Run: => "VKduty"
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\...\StartupApproved\Run: => "Advanced SystemCare 9"
FirewallRules: [{1DE6DAAD-221B-41CD-9E31-538FA565F6DF}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe
FirewallRules: [{684274EE-D003-4CF1-93D7-2933EDFB32F4}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe
FirewallRules: [{73E916E5-6697-4AA4-A16F-A94085B82AC5}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DBDownloader.exe
FirewallRules: [{4EBDFC59-615F-484A-BA8B-072DB0F08C2E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DBDownloader.exe
FirewallRules: [{5F9DE1D1-A7BD-480D-975E-406FE6DD9EA3}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.0.4\AutoUpdate.exe
FirewallRules: [{9CB56AC3-B2CC-443A-B6C1-62AD0413F23A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.0.4\AutoUpdate.exe

Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST (FRST64) от имени администратора.

  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

 

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      Автор Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
    • FineGad
      Шифровальщик WantToCry
      Автор FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • lex-xel
      Сервер подвергся взлому
      Автор lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
×
×
  • Создать...