ransom.shade Расшифровка файлов

4 июня, 2017

Добрый день!

Зашифровались файлы, формат: better_call_saul.

Когда именно не помню, заметил только сейчас.

WinRAR archive.RAR

Изменено 4 июня, 2017 пользователем scidrov

4 июня, 2017

Порядок оформления запроса о помощи

4 июня, 2017

Порядок оформления запроса о помощи

Извините, если нарушил правила оформления, но я не вижу где именно, допустил ошибку.

4 июня, 2017

Где логи Автологера?

4 июня, 2017

Где логи Автологера?

CollectionLog-2017.06.04-13.53.zip

4 июня, 2017

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH\issch.exe', '');
 QuarantineFile('C:\WINDOWS\system32\wbiosrvp.dll', '');
 QuarantineFile('C:\WINDOWS\system32\themctrl.dll', '');
 QuarantineFileF('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH\issch.exe', '32');
 DeleteFile('C:\WINDOWS\system32\themctrl.dll', '32');
 DeleteFile('C:\WINDOWS\system32\wbiosrvp.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "InstallShield Update Service" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\themctrl\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

"Пофиксите" в HijackThis:

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{67E7E0F6-1FF4-44F4-82C1-1979130411B3} - (no name) - (no URL)
O2-32 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

4 июня, 2017

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH\issch.exe', '');
 QuarantineFile('C:\WINDOWS\system32\wbiosrvp.dll', '');
 QuarantineFile('C:\WINDOWS\system32\themctrl.dll', '');
 QuarantineFileF('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH\issch.exe', '32');
 DeleteFile('C:\WINDOWS\system32\themctrl.dll', '32');
 DeleteFile('C:\WINDOWS\system32\wbiosrvp.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "InstallShield Update Service" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\themctrl\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

"Пофиксите" в HijackThis:
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{67E7E0F6-1FF4-44F4-82C1-1979130411B3} - (no name) - (no URL)
O2-32 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на результаты анализа: https://virusinfo.info/virusdetector/report.php?md5=CBAB846BDD1A75A08E4D5773452D1365

4 июня, 2017

1) Не надо заниматься оверквотингом, внизу есть поле для быстрого ответа.

2) Жду отстальное.

4 июня, 2017

[KLAN-6352946567]

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

Riskware which may harm your computer was detected in the following files:
issch.exe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen

Malicious code has been detected in the following files:
wbiosrvp.dll - Trojan.Win32.StartServ.gv
themctrl.dll - Trojan.Win32.StartServ.gw

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

логи

CollectionLog-2017.06.04-21.28.zip

WinRAR archive.RAR

4 июня, 2017

Прикрепляйте только те файлы, которые вас просят.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH', '*', true);
 DeleteDirectory('C:\Users\nikit_000\AppData\Roaming\Yandex\ISSCH');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_00F461CE8AF47C2CA61620079DBECDCA');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Unity Web Player [2016/09/24 11:23:41]-->C:\Users\nikit_000\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Uplay [2016/09/24 11:29:04]-->C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uninstall.exe

Сами ставили ? Если нет, то деинсталируйте.

WinZip 17.5 [20131112]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240DD}

При наличие WinRAR 5.20 советую его деинсталировать.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Изменено 4 июня, 2017 пользователем regist

5 июня, 2017

[KLAN-6354729918]

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
quarantine.zip

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

Логи

CollectionLog-2017.06.05-08.46.zip

5 июня, 2017

1)

gpedt.msc 1.0 [20160412]-->"C:\WINDOWS\unins000.exe"

Это что за программа? Знакома вам? Если нет, то деинсталируйте.

2)

Google Update Helper [20170428]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Skype Click to Call [20161025]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

советую тоже деинсталировать.

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

5 июня, 2017

Восстановить зашифрованные файлы возможно?

Логи

WinRAR ZIP archive.zip

Изменено 5 июня, 2017 пользователем scidrov

5 июня, 2017

gpedt.msc 1.0 (HKLM-x32\...\{10B9C608-BF7C-4CCF-A658-C01D969DCA21}_is1) (Version:  - Richard)

До сих пор не деинсталировали, она вам знакома?

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\...\Policies\Explorer: []
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\...\MountPoints2: {8a65acdc-0100-11e6-95bb-448a5b441882} - "H:\setup.exe"
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\...\MountPoints2: {eef20be1-5952-11e5-825e-806e6f6e6963} - "E:\Autorun.exe"
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts-x32: Restriction <======= ATTENTION
GroupPolicyScripts-x32\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CustomCLSID: HKU\S-1-5-21-3451615344-102747879-2984171561-1002_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-922291E159E6}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => No File
Task: {1AE4BB8D-A0A8-410A-939F-2CF601567AE1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {1D4CBB33-3132-4DEA-92C1-C320E04ED915} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {21DA9224-4EA5-4998-8C21-89B6D382620A} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {28EADE76-EC1C-4F76-9DB0-E79B49527E8E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {393E114D-5ADB-472F-B3AC-C636B1ED0E62} - \WPD\SqmUpload_S-1-5-21-3451615344-102747879-2984171561-1002 -> No File <==== ATTENTION
Task: {3C50DC32-072D-4B8C-927B-E24D817E9BC6} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {5955F00C-E3D1-41CD-B778-4B4D138DE9C6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {7A4BB7AF-5E8C-4ACD-90A0-1CF5162F88E1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {91D44C9C-EAB3-46B7-9FBE-87D4A13B00CE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {B2B595A3-5411-4292-AEF5-DA36735EB678} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {B6F97FFC-777C-4081-995C-93F2BAB05D6F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {D8369D9E-D9C3-49D0-BB56-65EB335291CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\Software\Classes\.scr: scrfile =>  <===== ATTENTION
HKLM\...\StartupApproved\Run32: => "IObit Malware Fighter"
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\...\StartupApproved\Run: => "Praetorian"
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\...\StartupApproved\Run: => "VKduty"
HKU\S-1-5-21-3451615344-102747879-2984171561-1002\...\StartupApproved\Run: => "Advanced SystemCare 9"
FirewallRules: [{1DE6DAAD-221B-41CD-9E31-538FA565F6DF}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe
FirewallRules: [{684274EE-D003-4CF1-93D7-2933EDFB32F4}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe
FirewallRules: [{73E916E5-6697-4AA4-A16F-A94085B82AC5}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DBDownloader.exe
FirewallRules: [{4EBDFC59-615F-484A-BA8B-072DB0F08C2E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DBDownloader.exe
FirewallRules: [{5F9DE1D1-A7BD-480D-975E-406FE6DD9EA3}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.0.4\AutoUpdate.exe
FirewallRules: [{9CB56AC3-B2CC-443A-B6C1-62AD0413F23A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.0.4\AutoUpdate.exe

Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

5 июня, 2017

.

WinRAR archive.RAR

ransom.shade Расшифровка файлов

Рекомендуемые сообщения

scidrov

regist

scidrov

regist

scidrov

regist

scidrov

regist

scidrov

regist

scidrov

regist

scidrov

regist

scidrov

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum