Перейти к содержанию

Расшифровать файлы с именами типа id-7093F6D4.[decrypthelp@qq.com].java

satmon
 Поделиться

Рекомендуемые сообщения

satmon

satmon

Опубликовано
Опубликовано

Нужна помощь с расшифровкой файлов, закодированных вредоносной программой или вирусом, имена файлов получили расширение: id-7093F6D4.[decrypthelp@qq.com].java и теперь выглядят так: shtatnoe-raspisanie.xls.id-7093F6D4.[decrypthelp@qq.com].java

CollectionLog-2018.03.08-03.19.zip

зашифрованные файлы.rar

thyrex

thyrex

Опубликовано
Опубликовано

С расшифровкой помочь не сможем. Будет зачистка возможных следов вирусов.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Логи собирали на пострадавшей машине?

satmon

satmon

Опубликовано
  • Автор
Опубликовано

Данные файлы были обнаружены в облачных сервисах (типа dropbox, google drive, яндекс диск) одной из машины имеющих доступ к ним, завтра остальные проверю. Возможно источником являются другие компы

satmon

satmon

Опубликовано
  • Автор
Опубликовано

Сделал CollectionLog на явно зараженной машине, в корне дисков есть текстовый файл с рекомендациями по отправке письма для расшифровки, прилагаю эти файлы

CollectionLog-2018.03.12-11.30.zip

FILES ENCRYPTED.txt

зашифрованные файлы.rar

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\temp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wreck\winint.exe','');
 DeleteFile('C:\Users\temp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wreck\winint.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\wreck','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

satmon

satmon

Опубликовано
  • Автор
Опубликовано (изменено)
c:\quarantine.zip - отправил, получил:

Благодарим за обращение в Антивирусную Лабораторию. Присланные вами файлы и ссылки были проверены в автоматическом режиме В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip
Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.
 
KLAN-7752591294, кажется файл пустой получился
повторно запустил Autologger, логи во вложении.
 
PS: файл FILES ENCRYPTED.txt - существует на всех дисках в корне, кроме диска С

CollectionLog-2018.03.13-01.29.zip

Изменено пользователем satmon
thyrex

thyrex

Опубликовано
Опубликовано

Сделайте логи Farbar на этом компьютере

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-1657978776-2133829164-3060405073-1003\...\Run: [OneDrive] => C:\Users\temp\AppData\Local\Microsoft\OneDrive\OneDrive.exe [1559200 2018-03-07] (Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-21-1657978776-2133829164-3060405073-1003\...\Run: [files] => C:\Keno\sel.exe
HKU\S-1-5-21-1657978776-2133829164-3060405073-1003\...\Run: [RegAsm.exe] => C:\Users\temp\AppData\Roaming\RegAsm.exe [64664 2018-03-06] (Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-21-1657978776-2133829164-3060405073-1003\...\Run: [C:\Users\temp\AppData\Roaming\Info.hta] => C:\Users\temp\AppData\Roaming\Info.hta [13923 2018-03-07] () <==== ATTENTION
Startup: C:\Users\temp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-07] ()
Startup: C:\Users\temp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wreck [2018-03-12] ()
CHR HKU\S-1-5-21-1657978776-2133829164-3060405073-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
2018-03-07 18:29 - 2018-03-07 18:29 - 000013923 _____ C:\Users\temp\AppData\Roaming\Info.hta
2018-03-07 18:29 - 2018-03-07 18:29 - 000000218 _____ C:\Users\temp\Desktop\FILES ENCRYPTED.txt
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
thyrex

thyrex

Опубликовано
Опубликовано

Мусор почистили. Больше помочь нечем

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
    • Romchik45
      вирус закрывает антивирус
      Автор Romchik45
      1. Удалил антивирус 360 security.
      2. Захожу в антивирус винды (чтобы восстановить нужный мне файл) -журнал защиты и хочу восстановить один файл, в итоге там появляется непонятный файл и антивирус сам закрывается.
      3. Провел полное сканирование с помощью dr web cureit и обнаружились угрозы, переместились в карантин.
      После этого всего всеравно антивирус закрывается как на видео.
      Прилагаю еще скриншот с двумя непонятными программами которые установлены на пк.
      у меня виндовс 10 на пк
      https://www.youtube.com/watch?v=j5aPu8TweZI

      CollectionLog-2026.01.14-20.08.zip Архив ZIP - WinRAR.zip
    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
    • Beshan
      После kms auto появляется самовосстанавливающаяся папка с trojan (czyuzabpfprl и ztbhbqffszlu)
      Автор Beshan
      Добрый день, пытался активировать виндовс через kms auto, после чего начали появляться самовосстанавливающиеся папки с файлом внутри, которые антивирус бесконечно теперь удаляет. Прикрепляю логи с Farbar Recovery Scan Tool. Спасибо
      Addition.zip FRST.zip
×
×
  • Создать...