Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Здравствуйте!

Запустили пришедший по email файл, после этого стали появляться файлы с расширением .no_more_ransom.
Компьютер сначала запускался, а потом, после того, как CureIt повис при запуске, при включении стал писать, что ставит обновление и подвисал еле-еле считая проценты. После запуска в защищенном режиме сообщение об установке обновления появляется, но быстро пролетает.

Запущенный в защищенном режим KVRT от 12.02.2018 отправил компьютер в перезагрузку, после обработки некоторой части диска. Лог пуст.

Тестирование всего диска с помощью Dr.Web Livedisk от 08.02.2018 никаких проблем не выявило.

Прилагаю архив AutoLoggera запущенного в защищенном режиме. При запуске, программы периодически жаловались на недостаток прав учетной записи administrator.

Спасибо!

CollectionLog-2018.02.12-21.39.zip

Изменено пользователем AlexAndr11
Опубликовано

Здравствуйте!

 

На время лечения удалите все антивирусы и утилиты:

 

AVG

AVG PC TuneUp

AVG Protection

Kaspersky Internet Security

McAfee Parental Controls

После стандартного удаления пройдитесь спец. утилитами:

Чистка системы после некорректного удаления антивируса.

 

Также удалите нежелательное ПО:

Funmoods on IE and Chrome

Затем попробуйте собрать логи в обычном режиме.

Опубликовано (изменено)

Здравствуйте!

 

После удаления всех антивирусов и утилит, последним был удален Kaspersky, компьютер впал в то же состояние, что и в стандартном режиме: постоянно горит лампочка диска, работа заторможена.  (Хотя находится в защищенном.)
Каждый раз при включении/выключении пролетает надпись, как при установке обновления. В каталоге, где сохраняются обновления, лежит явно исполняемый файл с длинным именем из букв и цифр.
При запуске автоматического сборщика логов, он доходит до того как расписывается, что будет сделано, нажимаешь ОК и ничего не происходит.

Процессы в диспетчере задач выглядят так:
Постоянно работают:
Узел службы: сетевая служба.
Системные прерывания
Система и сжатие памяти

Есть процесс "Проводник", который я точно не запускал.
Каталог процесса ведет в C:\Windows\.

Так же висят замороженные процессы:
Антивирусная утилита AVZ
Автоматический сборщик логов

Да, когда еще компьютер работал нормально в защищенном режиме, попытка удалить обновление KB4023057 приводила к сообщению "Не удалось получить доступ к службе Windows Installer".
(Windows 10 Home)
 

Funmoods уже удалить не удалось. При нажатии на пункт меню "Программы и компоненты" ничего не происходит.

 

Все это происходит в защищенном режиме. В обычном запускать компьютер даже и не пытался.

Изменено пользователем AlexAndr11
Опубликовано

То есть, сейчас Вы и в безопасном режиме не можете собрать CollectionLog?

Опубликовано

То есть, сейчас Вы и в безопасном режиме не можете собрать CollectionLog?

 

Да, все что я описал происходит при запуске в безопасном режиме.

 

(Грешу на обновление, которое запускается до запуска системы и при перезагрузке.)

Опубликовано

Пробуйте отключить ПК от сети и собрать логи.

Опубликовано

Пробуйте отключить ПК от сети и собрать логи.

 

В смысле Интернет?

Он и не был подключен к сети.

Опубликовано

Откатить изменения на предыдущую точку восстановления тоже нет возможности?

Опубликовано (изменено)

Откатить изменения на предыдущую точку восстановления тоже нет возможности?

 

Удивительная история! Запустил Windows в защищенном режиме, с созданием загрузочных логов. И все нормально запустилось, логи снял. Но как я понимаю вируса в них нет.

 

 

(Добавление.)

 

Удалось запустить систему в обычном состоянии.

Запустил сборщик, AVZ повис с надписью:

 

....

Сканирование длилось 00:00:43.

Если у вас есть подозрение на наличие...

Выполняется исследование системы.

 

Логов соответственно нет.

CollectionLog-2018.02.13-18.16.zip

Изменено пользователем AlexAndr11
Опубликовано

После стандартного удаления пройдитесь спец. утилитами: Чистка системы после некорректного удаления антивируса.

Вы это проделали? Хвосты по-прежнему видны.

 

удалите нежелательное ПО: Цитата Funmoods on IE and Chrome

Это тоже в списке установленных.

 

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Sony\AppData\Local\Temp\UnKIS.vbs', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Опубликовано

В безопасном режиме:

Проверил еще раз удаление указанных антивирусов с помощью спец. утилит. Они не находят установленных программ.
До этого утилитами естественно проходил.
Хвосты вижу, единственное, что могу сделать - это дотереть руками.
Funmoods - ошибка при попытке удаления стандартной утилитой, файлы не обнаружены.
Скачал последний KVRT и проверил каталог \WINDOWS и \Users - ничего не обнаружено.

Попытка отправить файл в карантин не удалась:
==
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Users\Sony\AppData\Local\Temp\UnKIS.vbs)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Users\Sony\AppData\Local\Temp\UnKIS.vbs)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Users\Sony\AppData\Local\Temp\UnKIS.vbs)
 Карантин с использованием прямого чтения - ошибка
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
==

Архив получился размером 22 байта и пустой.

Логи были сняты 2 раза в безопасном режиме. Сначала и после вхождения в обычный режим.

Обнаружен файл с расширением .no_more_ransom от 13.02.2018.

В обычном режиме:

Просканирована память KVRT - ничего не найдено.
Несколько раз попытался запустить логгер - AVZ зависает при  Выполнении исследования системы. Может просто отключить этот пункт в скрипте? Все остальное он выполняет.

CollectionLog-2018.02.14-13.49.zip

CollectionLog-2018.02.14-16.50.zip

crypted.zip

Опубликовано

Пробуйте в обычном режиме:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Mega Browse

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\...\Run: [AvgUi] => "C:\Program Files (x86)\AVG\Framework\Common\avguirna.exe" /lps=fmw
    Toolbar: HKLM - No Name - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} -  No File
    2018-02-13 16:28 - 2017-02-25 15:31 - 000000000 ____D C:\ProgramData\Avg
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    Task: {85C10991-3CC3-4BA6-994D-0EBCD1E0F92C} - System32\Tasks\AVG EUpdate Task => avgsetupx.exe
    Task: {928406CB-97F0-48ED-BBC8-09258D8034CD} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe
    Task: {E56077A3-4BB0-49B1-9DDA-1EF088D25B54} - System32\Tasks\Antivirus Emergency Update => C:\Program Files (x86)\AVG\Antivirus\AvEmUpdate.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

стали появляться файлы с расширением .no_more_ransom

Заражение точно произошло на этом компьютере? Следов не видно.
Опубликовано

При удаление MegaBrowser было получено сообщение об ошибке и программа удалена из списка установленных.

Fix запустил.
Fixlog прилагаю.

По поводу заражение у меня тоже же возникло подозрение, что вируса нет, но есть 2 момента:

1. Невозможность работы и постоянная загрузка жесткого диска в основном режиме.
2. Файл с расширением .no_more_ransom от 13.02.2018, который я приложил к сообщению чуть раньше.

Сейчас попробую в основном режиме еще раз запустить логгер и FRST.


Прикладываю логи FRST сделанные в основном режиме. AVZ все так же зависает.

 


Да, в основном режиме, диспетчер задач показывает "Загрузка диска - 100%".

Fixlog.txt

Shortcut.txt

Addition.txt

FRST.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • SergeyAO
      Автор SergeyAO
      Приветсвую всех.
      Нужна помощь, вчера вирус зашифровал все файлы в основном документы office, на 4 дисках.
      Человеку пришло на почту письмо с документом по работе, но неизвестно от кого, открыли документ пустая страница ничего нет, и через некоторое время на экране сообщение, ваши файлы зашифрованы отправьте код на почту.
       
      Файл был "Здравствуйте.docx" KAV никак не отреагировал, на другой машине где были ограничены права пользователя док не открылся, KAV увидел в "здравствуйте.docx/word/embeddings/oleObject1.bin/C:/Users/836D~1/AppData/Local/Temp/PEWER POINT PRESENTATION.exe".
       
      Kaspersky Virus Removal Tool нашел Trojan-Ransom.Win32.Shade.ur.
      Утилита TDSSKiller для борьбы с руткитами ничего не обнаружил.
       
      Очень много информации, и важных документов, жду помощи, спасибо.
      CollectionLog-2015.09.22-11.30.zip
    • Йоптель
      Автор Йоптель
      Доброго времени суток. Случилась беда (и возникли некоторые нюансы). На компьютере из за действия какой то вредоносной программы, зашифровались все фотографии с расширением *.xtbl и появился текстовый файл с таким текстом:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 2E939351FF076C2B69B7|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   По не знанию, да и по торопливости, была пере установлена ОС с полным форматированием диска. Но папки с файлами были скопированы на DVD. В последствии они не открылись и на вновь установленной ОС.   Прошу помощи.   P.S. В прикрепленных, текстовый файл с текстом приведенным выше. README5.txt
    • mikaua
      Автор mikaua
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      E8C1480D46A8A89F2B83|0
      на электронный адрес files100001@gmail.com или files100002@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      E8C1480D46A8A89F2B83|0
      to e-mail address files100001@gmail.com or files100002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      CollectionLog-2015.09.17-20.10.zip
    • Олег-63
      Автор Олег-63
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      CF453C0249C61D14E3CF|0
      на электронный адрес decode010@gmail.com или decode1110@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
      CollectionLog-2015.09.16-10.24.zip
    • Олег-63
      Автор Олег-63
      все файлы фото,видео,док,были зашифрованы.на диске D /
      CollectionLog-2015.09.16-10.24.zip
×
×
  • Создать...