Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день!

 

Нашел сегодня на сервере троян, удалил, но до этого он успел зашифровать файлы - везде есть файл с оригинальным расширением и файл с серийным номером и почтой kiaracript@gmail.com. Есть ли какой-либо способ вернуть все как было? Знаю, что надежды немного. Во вложении файл протокола.

CollectionLog-2017.10.16-10.16.zip

Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player

Амиго

Служба автоматического обновления программ

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

3.

Записку с требованием выкупа (если такая есть) и несколько зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    CHR HomePage: Default -> inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=20818721
    CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn11.0.1
    CHR DefaultSearchKeyword: Default -> mail.ru
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
    VirusTotal: C:\Users\REKTOR\Desktop\svhost.exe.bat
    2017-10-14 05:07 - 2017-10-16 09:28 - 000000176 _____ C:\Users\REKTOR\Desktop\svhost.exe.bat
    2017-08-18 21:05 - 2017-08-11 17:20 - 001314008 _____ (Mail.Ru) C:\Users\Бухгалтерия\AppData\Local\Temp\614a-1a18-a64e-329e.exe
    2016-10-11 10:17 - 2017-02-21 17:27 - 052665336 _____ (Mail.Ru) C:\Users\Бухгалтерия\AppData\Local\Temp\amigo_setup.exe
    2017-10-16 10:33 - 2017-08-11 17:20 - 001314008 _____ (Mail.Ru) C:\Users\Бухгалтерия\AppData\Local\Temp\d28d-d21a-dc41-0ac3.exe
    2016-09-01 20:01 - 2017-07-03 17:44 - 004087000 _____ (Mail.Ru) C:\Users\Бухгалтерия\AppData\Local\Temp\mrutmp.exe
    AlternateDataStreams: C:\Users\КАССА\Documents\Дипломная работа.docx:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\КАССА\Documents\Касса Сентябрь.docx:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\КАССА\Documents\на папки.docx:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\КАССА\Documents\Печать конвертов.docx:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\КАССА\Documents\Приказы СКСИ.docx:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Опубликовано

Дополнительно, пожалуйста:

 

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
Zip: c:\FRST\Quarantine\
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Опубликовано

Отправил - архив получился большой (54 Мб), поэтому отправился в виде ссылки на google drive. Отчет во вложении.

Fixlog.txt

Опубликовано

Прошу прощения, в основном скрипте я упустил одну строку.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    Startup: C:\Users\REKTOR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{F39SN97D-K73M-YLR9-1I59-YW9R799VKF}.bmp [2017-10-14] ()
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

 

Расшифровки пока нет. Создайте запрос на расшифровку.

 

По логам видны точки восстановления, поэтому можете аккуратно попробовать восстановить файлы средствами Windows.

Будьте внимательны, это не значит откатить саму систему.

 

Настройте антивирус по этой инструкции.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Опубликовано

Все сделал, отчет во  вложении. Сейчас создам запрос на расшифровку, т.к. есть активная коммерческая лицензия. Спасибо!

FRST.txt

Опубликовано

Точно, прошу прощения! И можно еще один вопрос - у нас лицензия в виде файла ключа - его можно как-то прикрепить в личном кабинете?

Fixlog.txt

Опубликовано

Вам следует создать Company Account, если он еще не создан. При создании можно либо указать код, либо прикрепить ключ.

Опубликовано

Спасибо большое - зарегистрировался и оставил запрос. Еще раз большое спасибо за оперативную помощь!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • mibds
      Автор mibds
      Здравствуйте. 
       
      Значит все по стандарту.
       
      Секретарше прислали письмо на почту, со вложенным архивом "Сообщение о задолженности". (Прикрепил к теме архив, переименовал в "осторожно вирус")
       
      В архиве скрипт *.js.  с названием "сообщение о задолженности"
       
      Девочка архив распаковала, файл попыталась открыть, скрипт видимо сработал и заблокировались все файлы excel (xls, xlsx) и word (doc).
       
      Вроде другие файлы не пострадали... но могу и не знать. Знаю точно что не пострадали PDF-файлы и те файлы где стояла галка "только чтение", но таких единицы к сожалению.
       
      Прикрепил для примера архив "несколько зашифрованных файлов для примера". Там 5 зашифрованных файлов, точно не скажу "доки" или "эксели".
       
      Прикрепил логи
       
      несколько зашифрованных файлов для примера.rar
      CollectionLog-2015.10.08-17.09.zip
    • AltayResort
      Автор AltayResort
      Добрый День!
       
      Получили по электроной почте файл с вирусом (прекреплен в скрепке) после открытия файла зашифровались файлы с расширением doc, xls
      Пример заражонного файла в скрепке, так же прекладываем логи собранные программной autologger.
       Учитывая финансовый характер заражонных файлов просьба помочь в расшифровке файлов как можно скорее
      Мы являемся владельцами корпоративной линцензии kaspersky endpoint security.
      С Уважением.
      ООО Алтай Резорт
       
    • nikolay_2009
      Автор nikolay_2009
      добрый день
      все фотки заблокированы и зашифрованы. 
      списывался с криптолокером. он дерзит и просит 15000р хотя и говорит что только рабочие компьютеры банит. выручайте.
      прикрепляю файлы из разных папок. "тела" вируса уже наверное нет. т.к. обратился за помощью к знакомому и он мне переустановил винду даже не активировав и файл логгера с вашего сайта. спасибо.  и фото почему то не загружаются((((. что делать? ни большие ни маленькие
      CollectionLog-2015.11.04-21.51.zip
    • big_boy840
      Автор big_boy840
      Есть расшифровщик или нет?
      У меня с такими же названиями maxcrypt@foxmail2.com файлы.
      Это значит, что расшифровщик его должен мне подойти?
    • Ердаулет
      Автор Ердаулет
      Вирус зашифровал все файлы в формат.bad зашифрованные файлы переместил в одну папку расшифровать не получается или я не правильно делаиу?
      CollectionLog-2015.10.20-00.47.zip
×
×
  • Создать...