Шифровальшик .gladn

12 октября, 2017

здравствуйте, тоже попался этот вирус

Помогите пожалуйста

куплена лицензия KES

CollectionLog-2017.10.12-11.04.zip

12 октября, 2017

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 TerminateProcessByName('C:\Windows\min\xmrig.exe');
 TerminateProcessByName('c:\windows\hashstrem\svhosts.exe');
 StopService('AdobeFlashPlayerHash');
 DeleteService('AdobeFlashPlayerHash');
 QuarantineFile('c:\windows\hashstrem\svhosts.exe','');
 QuarantineFileF('c:\windows\hashstrem', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 QuarantineFile('C:\Windows\min\xmrig.exe','');
 QuarantineFileF('C:\Windows\min', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 DeleteFile('C:\Windows\min\xmrig.exe','32');
 DeleteFile('c:\windows\hashstrem\svhosts.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

12 октября, 2017

Запрос на исследование вредоносного файла [KLAN-6970385268]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
svhosts.exe - Trojan.Win32.Delf.elyh

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
xmrig.exe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen

12 октября, 2017

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

12 октября, 2017

Вот

Addition.txt

FRST.txt

12 октября, 2017

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
2017-10-09 03:23 - 2017-10-09 03:23 - 000006517 _____ C:\Users\rarus_anch\Как расшифровать файлы.TXT
2017-10-09 03:22 - 2017-10-09 03:22 - 000006517 _____ C:\Users\tor\Как расшифровать файлы.TXT
2017-10-09 03:22 - 2017-10-09 03:22 - 000006517 _____ C:\Users\rarus\Как расшифровать файлы.TXT
2017-10-09 03:22 - 2017-10-09 03:22 - 000006517 _____ C:\Users\fannur\Как расшифровать файлы.TXT
2017-10-09 03:22 - 2017-10-09 03:22 - 000006517 _____ C:\Users\Default\Как расшифровать файлы.TXT
2017-10-09 03:22 - 2017-10-09 03:22 - 000006517 _____ C:\Users\Classic .NET AppPool\Как расшифровать файлы.TXT
2017-10-09 03:22 - 2017-10-09 03:22 - 000006517 _____ C:\Users\al\Как расшифровать файлы.TXT
Folder: C:\Windows\HashStrem
2017-10-09 03:18 - 2017-10-10 10:37 - 000000000 ____D C:\Windows\HashStrem

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что сервер возможно будет перезагружен.

13 октября, 2017

Сделал

Вот сразу два файлика, если вдруг потребуются

Fixlog.txt

Lnk.zip

14 октября, 2017

@dendilz, проверьте ЛС.

15 октября, 2017

Спасибо огромное, всё расшифровал)

15 октября, 2017

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

Шифровальшик .gladn

Рекомендуемые сообщения

dendilz

Ссылка на комментарий

Поделиться на другие сайты

SQ

Ссылка на комментарий

Поделиться на другие сайты

dendilz

Ссылка на комментарий

Поделиться на другие сайты

SQ

Ссылка на комментарий

Поделиться на другие сайты

dendilz

Ссылка на комментарий

Поделиться на другие сайты

SQ

Ссылка на комментарий

Поделиться на другие сайты

dendilz

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

dendilz

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum