st.ranger Опубликовано 24 июля, 2017 Share Опубликовано 24 июля, 2017 (изменено) Получили электронное письмо с вложением, после запуска которого зашифровались документы на компьютере. На рабочем столе появились файлы README1.txt, README2.txt и т.п. Зашифрованные файлы имеют расширение .7792516432E64C92CCC5.crypted000007 Содержимое файлов README следующее: Bашu фaйлы были зашuфрoвaны. Чmобы pасшифpoваmь иx, Baм необxодuмo omnрaвить kод: 7792516432E64C92CCC5|0 нa электpoнный адрec Novikov.Vavila@gmail.com . Далее вы пoлучuте вcе нeoбходимыe инстрyкциu. Пonыmки pacшuфрoваmь caмосmояmельно не пpиведyт нu k чемy, kромe безвозвраmнoй поmерu информaциu. Еcли вы вcё жe хomитe попыmamьcя, mo npeдвaритeльно cдeлaйme резepвныe kопиu фaйлoв, иначe в слyчae иx изменeнuя paсшuфpoвkа cтанem невозмoжной нu nрu кakux уcловияx. Если вы нe nолучuлu оmвета пo вышeуkaзaнномy адрecу в meчeнue 48 чаcов (и moлько в эmом слyчaе!), восnользyйmecь формой обpaтной cвязи. Этo можнo сделamь двyмя сnосoбaмu: 1) Сkачайme u ycтaнoвumе Tor Browser nо cсылkе: https://www.torproject.org/download/download-easy.html.en B aдрeснoй cтpokе Tor Browser-а ввeдume адрec: http://cryptsen7fo43rr6.onion/ u нажмumе Enter. 3arpузuтcя cтpаницa с фoрмoй обpаmной связи. 2) В любом бpaузерe nepeйдuте по однoму uз адрeсoв: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Журнал работы AutoLogger прикрепляю CollectionLog-2017.07.24-14.23.zip Изменено 24 июля, 2017 пользователем st.ranger Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 24 июля, 2017 Share Опубликовано 24 июля, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\PROGRA~2\SysWOW64\7Dsk7iw.cmd',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger Ссылка на комментарий Поделиться на другие сайты More sharing options...
st.ranger Опубликовано 27 июля, 2017 Автор Share Опубликовано 27 июля, 2017 Ответ из лаборатории: KLAN-6578092258 Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы и ссылки были проверены в автоматическом режимеВ антивирусных базах информация по присланным вами файлам отсутствует:7Dsk7iw.cmdbcqr00001.datbcqr00002.datВ следующих файлах обнаружен вредоносный код:csrss.exe - Trojan.Win32.Diple.gvloВ антивирусных базах информация по присланным вами ссылкам отсутствует:https://forum.kasperskyclub.ru/index.php?showtopic=56515Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ"Ленинградское шоссе 39A/3, Москва, 125212, RussiaТелефон/Факс: + 7 (495) 797 8700http://www.kaspersky.com http://www.viruslist.com" Новые логи Autologger прикладываю CollectionLog-2017.07.26-11.36.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 июля, 2017 Share Опубликовано 27 июля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
st.ranger Опубликовано 28 июля, 2017 Автор Share Опубликовано 28 июля, 2017 Добрый день! Архив с журналами FRST прикладываю. FRST.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 28 июля, 2017 Share Опубликовано 28 июля, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKU\S-1-5-21-4257001298-320341415-2988960421-1001\...\Run: [Command Line Support] => cmd.exe /C C:\PROGRA~2\SysWOW64\7Dsk7iw.cmd CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib 2017-07-24 12:21 - 2017-07-24 16:55 - 00262144 ___SH C:\Users\Ольга\Desktop\Thumbs.db 2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README9.txt 2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README8.txt 2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README7.txt 2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README6.txt 2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README5.txt 2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README4.txt 2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README3.txt 2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README2.txt 2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README10.txt 2017-07-22 08:01 - 2017-07-24 12:47 - 00000000 __SHD C:\Users\Все пользователи\SysWOW64 2017-07-22 08:01 - 2017-07-24 12:47 - 00000000 __SHD C:\ProgramData\SysWOW64 2017-07-20 12:44 - 2017-07-20 13:24 - 00000000 __SHD C:\Users\Все пользователи\System32 2017-07-20 12:44 - 2017-07-20 13:24 - 00000000 __SHD C:\ProgramData\System32 2017-07-20 12:34 - 2017-07-26 10:40 - 00000000 __SHD C:\Users\Все пользователи\Windows 2017-07-20 12:34 - 2017-07-26 10:40 - 00000000 __SHD C:\ProgramData\Windows Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Ссылка на комментарий Поделиться на другие сайты More sharing options...
st.ranger Опубликовано 31 июля, 2017 Автор Share Опубликовано 31 июля, 2017 Добрый день! Сделано. fixlog.txt прикладываю. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 31 июля, 2017 Share Опубликовано 31 июля, 2017 Мусор почистили. С расшифровкой помочь не сможем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти