Перейти к содержанию

Вирус шифровальщик


Рекомендуемые сообщения

Артем Воробьев

Обнаружен вирус- шифровальщик: [Название файла].id-C0F8EC7D.[GeorgeWashington@cock.li].java

Ситуация схожа с https://forum.kasperskyclub.ru/index.php?showtopic=58958&hl=cock.li

Возможно ли декодировать файлы?

FRST.txt

FILES ENCRYPTED.txt

Addition.txt

Изменено пользователем Артем Воробьев
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

С расшифровкой помочь не сможем. Будет только очистка системы.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\RSoftAleGiu\bin\rslmd.exe', '');
 QuarantineFile('C:\Users\TWIN3\no_aes\min.js', '');
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

В этой папке

C:\Users\TWIN3\no_aes\
есть файлы?

 

Один из файлов Info.hta вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
Артем Воробьев

Такая папка отсутствует

Файл Info.hta не найден

Зашифрованные документы приложены ниже


Здравствуйте!

С расшифровкой помочь не сможем. Будет только очистка системы.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\RSoftAleGiu\bin\rslmd.exe', '');
 QuarantineFile('C:\Users\TWIN3\no_aes\min.js', '');
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


В этой папке
C:\Users\TWIN3\no_aes\
есть файлы?

Один из файлов Info.hta вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Однако еще есть проблема при перезагрузке ПК. Возникает окно от Info.hta. Однако найти его не получается

data.rar

Ссылка на сообщение
Поделиться на другие сайты

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы

Отправили?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Артем Воробьев

 

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы

Отправили?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta"
    HKLM\...\Run: [C:\Users\TWIN3\AppData\Roaming\Info.hta] => C:\Users\TWIN3\AppData\Roaming\Info.hta [13939 2018-07-05] ()
    HKU\S-1-5-21-1111432657-1694111387-774876336-1000\...\Run: [C:\Users\TWIN3\AppData\Roaming\Info.hta] => C:\Users\TWIN3\AppData\Roaming\Info.hta [13939 2018-07-05] ()
    2018-06-30 14:55 - 2018-06-30 14:55 - 000000182 _____ C:\FILES ENCRYPTED.txt
    2018-07-06 09:59 - 2018-07-06 09:59 - 000000000 _____ () C:\Users\TWIN3\AppData\Local\Temp\1.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Артем Воробьев

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta"
    HKLM\...\Run: [C:\Users\TWIN3\AppData\Roaming\Info.hta] => C:\Users\TWIN3\AppData\Roaming\Info.hta [13939 2018-07-05] ()
    HKU\S-1-5-21-1111432657-1694111387-774876336-1000\...\Run: [C:\Users\TWIN3\AppData\Roaming\Info.hta] => C:\Users\TWIN3\AppData\Roaming\Info.hta [13939 2018-07-05] ()
    2018-06-30 14:55 - 2018-06-30 14:55 - 000000182 _____ C:\FILES ENCRYPTED.txt
    2018-07-06 09:59 - 2018-07-06 09:59 - 000000000 _____ () C:\Users\TWIN3\AppData\Local\Temp\1.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

На этом все. Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты
Артем Воробьев

На этом все. Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18792 Warning! Download Update

Online installation. Last version available when Windows update is enabled throught the Internet.

--------------------------- [ OtherUtilities ] ----------------------------

LibreOffice 5.3.3.2 v.5.3.3.2 Warning! Download Update

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 59.0.2 (x64 en-US) v.59.0.2 Warning! Download Update

 

 

Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...