Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Помогите пожалуйста почистить компьютер после вируса шифровальщика.

Сразу после работы шифровальщика перестала работать  вот эта программа, которая очень нужна:

"C:\Richpeace CAD\Rp-GGS.exe"

 

При запуске выдает вот такое сообщение:

RPGRADE MFC Application - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

 

AppName: rp-ggs.exe     AppVer: 1.0.0.1     ModName: ntdll.dll
ModVer: 5.1.2600.6055     Offset: 0000100b

 

Тип события:    Ошибка
Источник события:    Application Error
Категория события:    Отсутствует
Код события:    1000
Дата:        20.12.2017
Время:        11:21:32
Пользователь:        Н/Д
Компьютер:    II-31
Описание:
Ошибка приложения rp-ggs.exe, версия 1.0.0.1, модуль ntdll.dll, версия 5.1.2600.6055, адрес 0x0000100b.
Данные:
0000: 41 70 70 6c 69 63 61 74   Applicat
0008: 69 6f 6e 20 46 61 69 6c   ion Fail
0010: 75 72 65 20 20 72 70 2d   ure  rp-
0018: 67 67 73 2e 65 78 65 20   ggs.exe
0020: 31 2e 30 2e 30 2e 31 20   1.0.0.1
0028: 69 6e 20 6e 74 64 6c 6c   in ntdll
0030: 2e 64 6c 6c 20 35 2e 31   .dll 5.1
0038: 2e 32 36 30 30 2e 36 30   .2600.60
0040: 35 35 20 61 74 20 6f 66   55 at of
0048: 66 73 65 74 20 30 30 30   fset 000
0050: 30 31 30 30 62 0d 0a      0100b..
 

 

Заранее благодарен.

 

CollectionLog-2017.12.19-17.54.zip

cureit2.log

KAV-карантин.txt

KAV-резервное хранилище.txt

README1.txt

report2.log

Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

McAfee Security Scan Plus

Orbitum

Unity Web Player

Амиго

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\TEMP\3170218aq', '');
 ExecuteFile('schtasks.exe', '/delete /TN "At1.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "C:\WINDOWS\Tasks\At1.job" /F', 0, 15000, true);
 DeleteFile('C:\Documents and Settings\user31\Рабочий стол\Интернет (2).lnk');
 DeleteFile('C:\Documents and Settings\user31\Рабочий стол\Интернет.lnk');
 DeleteFile('C:\WINDOWS\TEMP\3170218aq', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Опубликовано

Cкрипты выполнил

 

[KLAN-7378009013]

Присланные вами файлы и ссылки были проверены в автоматическом режиме
В антивирусных базах информация по присланным вами файлам отсутствует:
3170218aq
В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=58012&do=findComment&comment=857488
Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Повторные логи собрал

 

CollectionLog-2017.12.20-14.11.zip

report2.log

Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве. (Ссылку на скачивание специально дал с safezone.cc, это последняя версия для XP).
Опубликовано (изменено)

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Опубликовано

Извините пожалуйста, не совсем внимательно прочитал Ваши предыдущие указания по поводу  AdwCleaner и сразу запустил после сканирования очистку.

Сейчас еще раз его запустил.

 

Прилагаю текущие и предыдущие логи.

 

Addition.txt

AdwCleanerC0.txt

AdwCleanerC2.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

FRST.txt

Shortcut.txt

Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    FF HKU\S-1-5-21-883975513-3260390037-428801737-1006\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Application Data\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi => not found
    FF Plugin HKU\S-1-5-21-883975513-3260390037-428801737-1006: @tools.orbitum.com/Orbitum Update;version=3 -> C:\Documents and Settings\user31\Local Settings\Application Data\Orbitum\Update\1.3.99.0\npGoogleUpdate3.dll [No File]
    FF Plugin HKU\S-1-5-21-883975513-3260390037-428801737-1006: @tools.orbitum.com/Orbitum Update;version=9 -> C:\Documents and Settings\user31\Local Settings\Application Data\Orbitum\Update\1.3.99.0\npGoogleUpdate3.dll [No File]
    S4 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe" [X]
    2017-12-18 13:31 - 2017-12-18 13:31 - 005292054 _____ C:\Documents and Settings\user31\Application Data\CF8351C1CF8351C1.bmp
    2017-12-18 12:59 - 2017-12-18 12:59 - 000004154 _____ C:\README9.txt
    2017-12-18 12:59 - 2017-12-18 12:59 - 000004154 _____ C:\README8.txt
    2017-12-18 12:59 - 2017-12-18 12:59 - 000004154 _____ C:\README7.txt
    2017-12-18 12:59 - 2017-12-18 12:59 - 000004154 _____ C:\README6.txt
    2017-12-18 12:59 - 2017-12-18 12:59 - 000004154 _____ C:\README5.txt
    2017-12-18 12:59 - 2017-12-18 12:59 - 000004154 _____ C:\README4.txt
    2017-12-18 12:59 - 2017-12-18 12:59 - 000004154 _____ C:\README3.txt
    2017-12-18 12:59 - 2017-12-18 12:59 - 000004154 _____ C:\README2.txt
    2017-12-18 12:59 - 2017-12-18 12:59 - 000004154 _____ C:\README10.txt
    2017-12-18 12:59 - 2017-12-18 12:59 - 000004154 _____ C:\README1.txt
    2017-12-18 12:55 - 2017-12-19 17:29 - 000000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
    Task: C:\WINDOWS\Tasks\At1.job => C:\WINDOWS\system32\drivers\etc\hosts && copy C:\WINDOWS\TEMP\3170218aq C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hostsSYSTEMСоставлено NetScheduleJobAdd.0A粑蠴茞Ό䲲䭀ആ꣗૷⏜䇎ຘओ鱽퐟애냡譄뽇鶍驏䥕ᔅ௯韛뻬ⱊ쾍馡◟ <==== ATTENTION
    Task: C:\WINDOWS\Tasks\MailRuUpdateTask.job => C:\Documents and Settings\user31\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe/scheduler C:\Documents and Settings\user31\Local Settings\Application Data\Mail.Ruu <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Опубликовано

Очистка на этом закончена.

 

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Опубликовано

Спасибо Большое за помощь!

 

Обновим систему и будем пытаться восстановить работу программы,

которая после заражения перестала работать.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kiddr
      Автор kiddr
      Добрый день! Получил по почте письмо от "Бухгалтерии" с прикрепленным архивом (акт передачи и какой то длинный номер), после скачки и извлечения запустил файл. В следствии чего в течении 15 минут на компьютере были зашифрованы все картинки и текстовые файлы-Word в формат .xtbl, а на рабочем столе появилась заставка с координатами вымогателя и сообщение о том что файлы, описанные выше, зашифрованы, плюс текстовый файл формата .txt со следующим текстом:   "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 1E05A087200D94333D18|0 на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."   All the important files on your computer were encrypted. To decrypt the files you should send the following code: 1E05A087200D94333D18|0 to e-mail address decodefile001@gmail.com or decodefile002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Еще последствия: в реестре появились ветки с белебердовым именем, которых до этого не существовало. Файл boot.ini отсутствовал, но вместо него был boot.ini.backup, в котором добавлена еще одна строчка связанная с диском "С", но при этом загрузка Windows происходит в обычном режиме за исключением того что при загрузке Доса показана та самая "допонительная" строчка из boot.ini.backup. Возможность загрузки и восстановления, выбора операционки затенена, плюс выдает ошибку о том что не может найти файл boot.ini, зато может создать новый.    Прикрепляю файлы логов, отчет антивируса и ветку реестра.  
      Так же у меня имеется сам вирус-шифровальщик, при необходимости могу прикрепить "эту программу"
      CollectionLog-2015.09.25-10.15.zip
      cureit.rar
      Подозрительная вещь.Ветка того самого Вируса (Самурай-имя фотографий кота).rar
    • klastercomp
      Автор klastercomp
      Здравствуйте. На моем компьютере зашифровались файлы в расширение .xtbl От вирусов компьютер почистил. Помогите расшифровать файлы.
      CollectionLog-2015.09.28-15.27.zip
    • Владислав Карачурин
      Автор Владислав Карачурин
      Здравствуйте!
      Прошу помощи. Одна надежда на вас; ни одна утилита с оффициального сайта Касперского не подходит..
      Зашифровались все важные для меня файлы на диске С, там очень важная информация doc, для работы необходимая
       
      На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)
      А все файлы зашифровались в белиберду с расширением.xtbl,
      например вот: P4KZRt7EoBBd3CY3I-2LQVM2OL+-M2MAoNoNujqrXEY=.97C2755E910EF2E38D31.xtbl
       
      В многочисленных текстовиках созданных вирусом пишется вот это:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      97C2755E910EF2E38D31|0
      на электронный адрес decode010@gmail.com или decode1110@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      97C2755E910EF2E38D31|0
      to e-mail address decode010@gmail.com или decode1110@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
       
       
      В дополнение к вложениям вот ссылка на файлообменник https://yadi.sk/d/IhQEAOdqjHHBM  ; выложил тудазашифрованный файл, тхт созданный вирусом 
      Очень жду вашей помощи.
      Заранее огромное спасибо.
      CollectionLog-2015.09.24-01.32.zip
    • Алексей Байгашев
      Автор Алексей Байгашев
      Здравствуйте! Месяц назад принесли ноутбук мои знакомые, сказали что фотки не открываются, я посмотрел и увидел что они переименовались в формат *.xtbl проверил на вирусы, нашел примерно 5 штук, удалил. Потом почитал статью что их нельзя удалять, восстановил точку до того когда проверял на вирусы. Сейчас пишу Вам. Какие мои действия в данный момент?
      README8.txt
      ipc.log
    • falc0n
      Автор falc0n
      Вирус зашифровал файлы на компьютере, расширение у зашифрованных файлов .xtbl. На рабочем столе красная надпись предупреждающая об этом. в текстовом файле информация от злоумышленников (в прикрепленных файлах)
      README1.txt
      CollectionLog-2015.09.21-14.04.zip
×
×
  • Создать...