Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Поймали шифровальщика df696522.exe

k0ma
 Поделиться

Рекомендуемые сообщения

k0ma

k0ma

Опубликовано
Опубликовано (изменено)

Соседи поймали, решили сами по удалять все "лишние" на их взгляд файлы и удалили письмо с требованиями.

Восстановление результатов не дает. Не могу понять куда и кому платить что бы восстановить данные.

На Рабочем столе есть файл df696522.exe (скрытый). Повторный запуск результатов тоже не дал.

 

CollectionLog-2017.06.06-09.36.zip

Изменено пользователем k0ma
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Sveta\appdata\local\temp\start.exe','');
 QuarantineFile('C:\Program Files (x86)\MPC Cleaner\Uninstall.exe','');
 QuarantineFile('C:\Users\Sveta\AppData\Roaming\yoursearching\UninstallManager.exe','');
 QuarantineFile('C:\ProgramData\Browsers\browser6.bat','');
 QuarantineFile('C:\Users\Sveta\AppData\Local\Browsers\browser2.bat','');
 QuarantineFile('C:\ProgramData\WTdNwBCmIXpqXv.exe','');
 TerminateProcessByName('c:\users\sveta\appdata\roaming\nsminer\img001.exe');
 QuarantineFile('c:\users\sveta\appdata\roaming\nsminer\img001.exe','');
 DeleteFile('c:\users\sveta\appdata\roaming\nsminer\img001.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svpijxfysh');
 DeleteFile('C:\ProgramData\WTdNwBCmIXpqXv.exe','32');
 DeleteFile('C:\Users\Sveta\AppData\Local\Browsers\browser2.bat','32');
 DeleteFile('C:\ProgramData\Browsers\browser6.bat','32');
 DeleteFile('C:\Users\Sveta\AppData\Roaming\yoursearching\UninstallManager.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{435A0F94-E530-4494-B09E-530B269410D6}','64');
 DeleteFile('C:\Windows\system32\Tasks\{74A81639-6E7D-4B49-A586-1BCA92B2261C}','64');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\Uninstall.exe','32');
 DeleteFile('C:\Users\Sveta\appdata\local\temp\start.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-3157381837-4225794573-1222834140-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://firstsputnik.ru/?ri=1&uid=062147d69fa976118d4834df102f2739&q={searchTerms}
HKU\S-1-5-21-3157381837-4225794573-1222834140-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://firstsputnik.ru/?ri=1&uid=062147d69fa976118d4834df102f2739&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3157381837-4225794573-1222834140-1004 -> 30A1FA63ABEB0B930ABDA6A9EF31DD1B URL = hxxp://firstsputnik.ru/?ri=1&uid=062147d69fa976118d4834df102f2739&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3157381837-4225794573-1222834140-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://firstsputnik.ru/?ri=1&uid=062147d69fa976118d4834df102f2739&q=
SearchScopes: HKU\S-1-5-21-3157381837-4225794573-1222834140-1004 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1451934384&z=5b485479724e0d048e52925g8zfweg2tbcbzec9bcc&from=cmi&uid=TOSHIBAXMQ01ABF050_5499C9H7TXX5499C9H7T
FF Homepage: Mozilla\Firefox\Profiles\us2m36e3.default -> hxxp://runkede.ru/?utm_content=d291eb5ebcba6e27c3241f28e1d10e01&utm_source=startpm&utm_term=C9AD30D121AE7A0572E69CAAAB950F36
FF Extension: (Quick Searcher) - C:\Users\Sveta\AppData\Roaming\Mozilla\Firefox\Profiles\us2m36e3.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-09-29] [not signed]
CHR StartupUrls: Default -> "hxxp://egsuwor.ru/?utm_content=7630a9d0abf2c4a94e6d794d980e6ec5&utm_source=startpm&utm_term=C9AD30D121AE7A0572E69CAAAB950F36"
CHR Extension: (cobunce) - C:\Users\Sveta\AppData\Local\Google\Chrome\User Data\Default\Extensions\fnnaopkniokpgnkkebgdplnfbnkkodfe [2015-09-29]
CHR HKLM\...\Chrome\Extension: [fcimjkehglmijlhnpbmjbpoiamjiegod] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] <==== ATTENTION
2017-06-02 23:52 - 2017-06-05 14:58 - 0000000 _____ () C:\Users\Sveta\AppData\Local\Temp\df696522.exe
Task: {27E2027F-F3E3-463A-9821-CE48A1FFD022} - \{74A81639-6E7D-4B49-A586-1BCA92B2261C} -> No File <==== ATTENTION
Task: {9C68D17F-C7BB-42AA-9D06-7DAAD2E28633} - System32\Tasks\nethost task => C:\Users\Sveta\AppData\Local\SystemDir\nethost.exe  <==== ATTENTION
Task: {DC793C3E-08D4-4FAF-8114-2EAC28AF0315} - \{435A0F94-E530-4494-B09E-530B269410D6} -> No File <==== ATTENTION
HKLM\...\StartupApproved\Run32: => "gVpgYer_BwrKiLfAFVmtIACedJ"
HKLM\...\StartupApproved\Run32: => "gmsd_ru_005010200"
HKLM\...\StartupApproved\Run32: => "rec_en_77"
HKLM\...\StartupApproved\Run32: => "gmsd_ru_005010197"
HKU\S-1-5-21-3157381837-4225794573-1222834140-1004\...\StartupApproved\Run: => "amigo"
HKU\S-1-5-21-3157381837-4225794573-1222834140-1004\...\StartupApproved\Run: => "KometaAutoLaunch_D4C115BD0D6349F5F7E89FAE959EA6A7"
HKU\S-1-5-21-3157381837-4225794573-1222834140-1004\...\StartupApproved\Run: => "MailRuUpdater"
HKU\S-1-5-21-3157381837-4225794573-1222834140-1004\...\StartupApproved\Run: => "cobunce"
HKU\S-1-5-21-3157381837-4225794573-1222834140-1004\...\StartupApproved\Run: => "svpijxfysh"
HKU\S-1-5-21-3157381837-4225794573-1222834140-1004\...\StartupApproved\Run: => "qqlive"
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
    • scaramuccia
      Как распаковать EXE
      Автор scaramuccia
      Всем привет!
      Касперский обнаружил объект HEUR:Trojan.Win32.Generic в установочном exe-файле. Скорее всего это ложное срабатывание, но все же.
      Он показывает полный путь к объекту: папка, архив, установочный файл и т. д. Как Касперский его так разбирает, если этот файл не распаковывается архиватором, пишет: "Ошибка. Есть данные после конца блока полезных данных"?
      Какие есть способы и ресурсы для этого?
      DIE показывает, что большую часть файла занимает оверлей, который хранит какую-то DLL.

    • LexaXpNet
      Не могу удалить майнинг-вирус DOC001.exe
      Автор LexaXpNet
      Доброе время суток, пользуюсь продуктом Kaspersky Endpoint Security 12.3 в корпорации, лицензия все дела.... 
      Имеется большая локальная сеть, в которой часть рабочий мест без антивируса.
      Сама локальная сеть без доступа к интернету. 
      Само собой в локальной сети имеются расшаренные папки для работы с пользователями. 
      Затисался в сетке каким-то образом.. откуда-то... как я уже понял майнинг-вирус DOC001.exe, который при удалении всегда появляется снова... 
      На рабочих местах где стоит Каспер, он попадает, но потом его сразу же убивает Каспер...
      На других подобных местах и местах без Антивируса такая же беда.
      Пробовал удалять его СПО Malwarebytes и KVRT, как итог не вышло... Все равно появляется. 
      Люди добрые, как его побороть?) 

    • PsuchO
      Поймал шифровальщик X77C, лёг весь прод, слёзно прошу помощи
      Автор PsuchO
      Всем привет, намедне поймал шифровальщик X77C, эта скотина успела побить все файлы, до которых дотянулась.
      В итоге у всех файлов изменились имена tb73.8382_front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4, а оригинал вот tb73.8382_front.psd
      Плюсом к этому в каждой папке лежал тектовик со следующим описанием
       
      Открыл зашифрованный ps1 скрипт и вот что внутри
       
      Всё это на виртуалках на удалённом хосте, при этом странно, что сам хост не заразили, а вот виртуалки внутри него - заразили, как это вышло и почему, фиг знает.
      Поэтому подрубить проверяльщики через внешние USB и прочее не получится, как я понимаю. Буду рад любым советам и любой помощи.
      Прикладываю зашифрованный файл
      Front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4.zip
×
×
  • Создать...