Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Доброго дня, Коллеги

 

сегодня один из моих пользователей открыл архив из почты и зашифровал прилично файлов

 

вложение в прицепе, вирус точно там

 

если есть возможность помочь с дешифратором, большая просьба

 

b.r. vto

Изменено пользователем Sandor
Убрал подозрительный файл
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.txt', '');
 QuarantineFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-x.vbs.fairytail', '');
 QuarantineFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt', '');
 QuarantineFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '');
 DeleteFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.txt', '32');
 DeleteFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-x.vbs.fairytail', '32');
 DeleteFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt', '32');
 DeleteFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '32');
 DeleteFile('C:\Users\user\Desktop\Поиск в интернете.URL');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Ярлыки

C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Опубликовано

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

Все выполнил

AdwCleanerS0.txt

Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Готово

Addition.txt

AdwCleanerC0.txt

FRST.txt

Shortcut.txt

Опубликовано

Не цитируйте, пожалуйста, все предыдущее сообщение. Используйте форму быстрого ответа внизу.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-13518408-1576052608-956698421-1143\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2018-02-05 16:12 - 2018-02-05 16:12 - 000001620 _____ C:\Users\ksenia\Рабочий стол\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
    2018-02-05 16:12 - 2018-02-05 16:12 - 000000380 _____ C:\Users\Public\README.txt
    2018-02-05 16:12 - 2018-02-05 16:12 - 000000380 _____ C:\Users\Public\Downloads\README.txt
    2018-02-05 16:12 - 2018-02-05 16:12 - 000000380 _____ C:\Users\ksenia\Рабочий стол\README.txt
    2018-02-05 16:12 - 2018-02-05 16:12 - 000000380 _____ C:\Users\ksenia\README.txt
    2018-02-05 16:12 - 2018-02-05 16:12 - 000000380 _____ C:\Users\ksenia\Downloads\README.txt
    2018-02-05 16:12 - 2018-02-05 16:12 - 000000380 _____ C:\Users\ksenia\Documents\README.txt
    2018-02-05 16:11 - 2018-02-05 16:12 - 000000380 _____ C:\Users\ksenia\AppData\Local\README.txt
    2018-02-05 16:11 - 2018-02-05 16:11 - 000000380 _____ C:\Users\ksenia\AppData\README.txt
    2018-02-05 16:11 - 2018-02-05 16:11 - 000000380 _____ C:\Users\ksenia\AppData\LocalLow\README.txt
    2018-02-05 12:42 - 2018-02-05 16:12 - 000001620 _____ C:\Users\ksenia\Documents\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
    2018-02-05 12:42 - 2018-02-05 16:12 - 000000380 _____ C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2018-02-05 12:42 - 2018-02-05 16:11 - 000001620 _____ C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
    2018-02-05 12:41 - 2018-02-05 16:11 - 000001620 _____ C:\Users\ksenia\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
    2018-02-05 12:41 - 2018-02-05 16:11 - 000000380 _____ C:\Users\ksenia\AppData\Roaming\README.txt
    2018-02-05 12:40 - 2018-02-05 16:11 - 000001620 _____ C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
    2018-02-05 12:40 - 2018-02-05 16:11 - 000000380 _____ C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
    2018-02-05 12:27 - 2018-02-05 16:11 - 000001620 _____ C:\Users\ksenia\AppData\Local\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
    2018-02-05 12:26 - 2018-02-05 16:12 - 000001620 _____ C:\Users\Public\Documents\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
    2018-02-05 12:26 - 2018-02-05 16:12 - 000000380 _____ C:\Users\Public\Documents\README.txt
    2018-02-05 12:26 - 2018-02-05 16:07 - 000000380 _____ C:\Users\Все пользователи\README.txt
    2018-02-05 12:26 - 2018-02-05 16:07 - 000000380 _____ C:\ProgramData\README.txt
    2018-02-05 12:26 - 2018-02-05 12:26 - 000001620 _____ C:\Users\Все пользователи\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
    2018-02-05 12:26 - 2018-02-05 12:26 - 000001620 _____ C:\ProgramData\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
    2017-05-23 14:23 - 2017-05-23 15:20 - 000000000 _____ () C:\Users\ksenia\AppData\Local\Temp\bbb92fa0488dac77cc.exe
    2018-02-05 12:24 - 2018-02-05 12:24 - 000332288 _____ () C:\Users\ksenia\AppData\Local\Temp\Приложение 1 постановление для службы судебных приставов.exe
    2017-05-23 16:41 - 2017-05-23 16:41 - 000000000 _____ () C:\Users\rinchest\AppData\Local\Temp\5046b277b95bad3ce1.exe
    ask: {394BD511-B0A0-4756-A1CB-ABA94E5C7E3E} - System32\Tasks\DRPNPS => mshta.exe "hxxp://update.drp.su/nps/online/bin/tools/run.hta" "17.7.17 Online"
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Опубликовано

Прошу прощения, в оной строке потерялся символ. Еще раз:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    Task: {394BD511-B0A0-4756-A1CB-ABA94E5C7E3E} - System32\Tasks\DRPNPS => mshta.exe "hxxp://update.drp.su/nps/online/bin/tools/run.hta" "17.7.17 Online"
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • S-e-r-s-h
      Автор S-e-r-s-h
      Добрый день. Хватанули троян, который зашифровал все документы таким образом: email-load180@aol.com.ver-CL 1.0.0.0.id-SBJKZCVMEGNQHJLOSVXZEGIMPSVXCEGJNQTU-02.09.2015 8@18@454361717.randomname-CNOCKUQNTOEVIVKQBSIWJZUKAQVPET.MGZ.cbf
      После заражения воспользовались восстановлением системы на предыдущий дату и проверили Kaspersky Virus Removal Tool 2015, а после, продленным Small Office Security. Вроде ничего не нашел.  Очень нужна ваша помощь. Как убедиться, что источника заразы больше нет и как расшифровать документы? CollectionLog-2015.09.07-11.35.zip
    • sidor
      Автор sidor
      Здравствуйте!
      Все как обычно, пришло письмо, якобы от налоговой, дальше открытие архива, без сохранения и проверки антивирусом.
      Результат-все файлы  MSO зашифрованы - названия начинаются с seven_legion@aol.com
      Что сделал:
      1. Прошелся по диску kav_rescue_10.
       по классификации каспера выявлено Win32.VBKryjetor.wes  в program files и в корневике системы.
      2. Удалил из автозагрузки окошко с предупреждением.
      3. Собрал логи.

         CollectionLog-2015.09.04-14.27
      Посмотрите, пожалуйста, может где еще дыры или зверье сидит?
       
      По поводу расшифровки: пробовал rectordecryptor и xoristdecryptor, не помогло.
      Может у кого есть дешифратор для моего случая? Плзз. А то девчонкам этим несчастным неделю на складе ревизию проводить....
       
      CollectionLog-2015.09.04-14.27.zip
    • Елена К
      Автор Елена К
      Получила письмо на почту, открыла прикрепленный файл, через пару часов на рабочем столе надпись "Твои файлы зашифрованы, отправь файл на почту Seven_legion2@aol.com ...."  Все файлы текстовые, все фото зашифрованы. Можно расшифровать фото?

      Прочитала предыдущее сообщение, сделала как там было написано, прикрепляю файлы. Очень надеюсь на помощь.
      CollectionLog-2015.09.05-22.02.zip
      Addition_05-09-2015_22-36-03.txt
      FRST_05-09-2015_22-36-03.txt
    • Klu4nik
      Автор Klu4nik
      Здравствуйте!
       
      Пользователь запустил файл из прикрепленного к письму с мэйл.ру архива wordpad.rar. Kaspersky WS не среагировал. Прошло шифрование, фото документы (много, важное), обои сменились на требование. После перезагрузки, KWS-ом автоматически был обнаружен троян: "Удалено троянская программа Trojan.Win32.Inject.vgcj C:\Program Files\explore.exe 27.08.2015 12:35:13".
       
      Спасибо за ваше время и желание помочь!
        CollectionLog-2015.08.27-13.23.zip
    • Арсен Омаров
      Автор Арсен Омаров
      Всем привет! Прошу Вашей помощи! Сегодня к моей сестре на почту пришло письмо по работе! Она открыла и запустила файл который..в общем во вложении прикрепляю фото рабочего стола на котором сообщение:
       Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почту
      и т.д.
       
      так же высылаю логи..


      CollectionLog-2015.08.24-14.29.zip
×
×
  • Создать...