Зашифрованные файлы в формате bomber

[BlackCrossuna]

День, добрый. Тоже поймали шифровальщика. Сделал всё по инструкции описанной в других темах, загрузить архив не получается, пишет ошибку. хотя обновление прошло. Прилагаю файл сюда.

CollectionLog-2018.06.19-14.38.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

VKMusic 4

Кнопка "Яндекс" на панели задач

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\krb updater utility\krbupdater-utility.exe');
 QuarantineFile('c:\programdata\krb updater utility\krbupdater-utility.exe', '');
 QuarantineFile('C:\Users\Ольга\AppData\Local\Microsoft\48C2631B363108FE214980983D7701E2\D5EC2D9F937A37327804362CC4E2B234.exe', '');
 QuarantineFile('C:\Users\Ольга\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
 QuarantineFile('C:\Windows\System32\config\systemprofile\AppData\Roaming\INT\MSVFW32.dll', '');
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\ольга\appdata\local\microsoft\extensions', '*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MailRuUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\E2B2344CC26340872373A739F9D5EC2D" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\E2B2344CC26340872373A739F9D5EC2DSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\E2B2344CC26340872373A739F9D5EC2D" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\E2B2344CC26340872373A739F9D5EC2DSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true);
 DeleteFile('c:\programdata\krb updater utility\krbupdater-utility.exe', '');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '32');
 DeleteFile('C:\Users\Ольга\AppData\Local\Microsoft\48C2631B363108FE214980983D7701E2\D5EC2D9F937A37327804362CC4E2B234.exe', '32');
 DeleteFile('C:\Users\Ольга\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32');
 DeleteFile('C:\Users\Ольга\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\users\ольга\appdata\local\microsoft\extensions', '*', true);
 DeleteDirectory('c:\programdata\krb updater utility');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено 19 июня, 2018 пользователем Sandor

[BlackCrossuna]

KLAN-8252549500

 

У нас на данном компьютере стоял антивирус касперского. Не можем его запустить. подскажите пожалуйста как решить проблему ?

[Sandor]

KLAN-8252549500

Ответ тоже процитируйте, пожалуйста.

 

Жду:

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Прикрепите к следующему сообщению свежий CollectionLog.

[BlackCrossuna]

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

krbupdater-utility.exe

updver

 

В следующих файлах обнаружен вредоносный код:

MSVFW32.dll - Trojan.Win32.Agent2.jtkr

bcqr00007.dat - Trojan.Win32.Agent2.jtkr bcqr00008.dat - Trojan.Win32.Agent2.jtkr

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

               

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

 

После проведения повторной диагностики, напишу результат.

Новый отчет

прикрепил

CollectionLog-2018.06.19-16.19.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\{2283E782-62F9-4859-BBA7-EAA49FBE3B83}.exe', '');
 QuarantineFile('C:\Windows\System32\config\systemprofile\AppData\Roaming\INT\MSVFW32.dll', '');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{2283E782-62F9-4859-BBA7-EAA49FBE3B83}.exe', '32');
 DeleteFile('C:\Windows\System32\config\systemprofile\AppData\Roaming\INT\MSVFW32.dll', '32');
 DeleteFile('C:\Windows\system32\Tasks\{2283E782-62F9-4859-BBA7-EAA49FBE3B83}', 'x32');
 DeleteFile('C:\Windows\system32\Tasks\{664C600E-9103-4425-9BA2-E1F6F6446924}', 'x32');
 DeleteFile('C:\Windows\system32\Tasks\{747A0E38-218C-44B7-A060-FC983E7EB1AA}', 'x32');
 DeleteFile('C:\Windows\system32\Tasks\{82E6E8D3-2F74-4BF8-B3FC-967D16B2F0C0}', 'x32');
 DeleteFile('C:\Windows\system32\Tasks\{C6FB88A2-D356-4271-B25E-EF7608C58901}', 'x32');
 DeleteFile('C:\Windows\system32\Tasks\{D3E77036-09D5-4EFC-B5B8-C449C3AC0B85}', 'x32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'OYTfqa');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'OYTfqa');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[BlackCrossuna]

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В следующих файлах обнаружен вредоносный код:

MSVFW32.dll - Trojan.Win32.Agent2.jtkr

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

               

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

после очистки

AdwCleanerS00.txt

AdwCleanerC00.txt

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[regist]

TeamViewer - используете? К вам шифровальщик похоже подбросили через него.

[BlackCrossuna]

много еще этапов ? рабочий день заканчивается, на завтра продолжение придется перенести.

TeamViewer - используете? К вам шифровальщик похоже подбросили через него.

Да, на данном компьютере он установлен

FRST.txt

Addition.txt

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\config\systemprofile\appdata\roaming\int\regsvr.exe');
 QuarantineFile('C:\Windows\System32\config\systemprofile\AppData\Roaming\INT\MSVFW32.dll', '');
 QuarantineFile('c:\windows\system32\config\systemprofile\appdata\roaming\int\regsvr.exe', '');
 QuarantineFileF('C:\Windows\System32\config\systemprofile\AppData\Roaming\INT', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Windows\System32\config\systemprofile\AppData\Roaming\INT\MSVFW32.dll', '32');
 DeleteFile('c:\windows\system32\config\systemprofile\appdata\roaming\int\regsvr.exe', '32');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
 

[BlackCrossuna]

 

на этот почтовый ящик: quarantine <at> safezone.cc 

 

Некорректно написан адрес

quarantine@safezone.cc я правильно понял ? 

[akoK]

 

 

я правильно понял ? 

Да, все верно. Защита от спама такая

[BlackCrossuna]

 

я правильно понял ? 

Да, все верно. Защита от спама такая

 

Файл направлен

[regist]

 

 

Файл направлен

не вижу его. Через что отправляли? Ссылку на тему и ник указали?