Вирус шифровальщик

[Артем Воробьев]

Обнаружен вирус- шифровальщик: [Название файла].id-C0F8EC7D.[GeorgeWashington@cock.li].java

Ситуация схожа с https://forum.kasperskyclub.ru/index.php?showtopic=58958&hl=cock.li

Возможно ли декодировать файлы?

FRST.txt

FILES ENCRYPTED.txt

Addition.txt

Изменено 5 июля, 2018 пользователем Артем Воробьев

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Артем Воробьев]

Порядок оформления запроса о помощи

Прикладываю архив логов

CollectionLog-2018.07.05-20.09.zip

[Sandor]

Здравствуйте!

 

С расшифровкой помочь не сможем. Будет только очистка системы.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\RSoftAleGiu\bin\rslmd.exe', '');
 QuarantineFile('C:\Users\TWIN3\no_aes\min.js', '');
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

В этой папке

C:\Users\TWIN3\no_aes\

есть файлы?

 

Один из файлов Info.hta вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

Изменено 6 июля, 2018 пользователем Sandor

[Артем Воробьев]

Такая папка отсутствует

Файл Info.hta не найден

Зашифрованные документы приложены ниже

Здравствуйте!

С расшифровкой помочь не сможем. Будет только очистка системы.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\RSoftAleGiu\bin\rslmd.exe', '');
 QuarantineFile('C:\Users\TWIN3\no_aes\min.js', '');
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


В этой папке

C:\Users\TWIN3\no_aes\

есть файлы?

Один из файлов Info.hta вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Однако еще есть проблема при перезагрузке ПК. Возникает окно от Info.hta. Однако найти его не получается

data.rar

[Sandor]

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы

Отправили?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Артем Воробьев]

 

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы

Отправили?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta"
  HKLM\...\Run: [C:\Users\TWIN3\AppData\Roaming\Info.hta] => C:\Users\TWIN3\AppData\Roaming\Info.hta [13939 2018-07-05] ()
  HKU\S-1-5-21-1111432657-1694111387-774876336-1000\...\Run: [C:\Users\TWIN3\AppData\Roaming\Info.hta] => C:\Users\TWIN3\AppData\Roaming\Info.hta [13939 2018-07-05] ()
  2018-06-30 14:55 - 2018-06-30 14:55 - 000000182 _____ C:\FILES ENCRYPTED.txt
  2018-07-06 09:59 - 2018-07-06 09:59 - 000000000 _____ () C:\Users\TWIN3\AppData\Local\Temp\1.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Артем Воробьев]

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta"
  HKLM\...\Run: [C:\Users\TWIN3\AppData\Roaming\Info.hta] => C:\Users\TWIN3\AppData\Roaming\Info.hta [13939 2018-07-05] ()
  HKU\S-1-5-21-1111432657-1694111387-774876336-1000\...\Run: [C:\Users\TWIN3\AppData\Roaming\Info.hta] => C:\Users\TWIN3\AppData\Roaming\Info.hta [13939 2018-07-05] ()
  2018-06-30 14:55 - 2018-06-30 14:55 - 000000182 _____ C:\FILES ENCRYPTED.txt
  2018-07-06 09:59 - 2018-07-06 09:59 - 000000000 _____ () C:\Users\TWIN3\AppData\Local\Temp\1.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Fixlog.txt

[Sandor]

Возникает окно от Info.hta

Этого больше нет?

[Артем Воробьев]

 

Возникает окно от Info.hta

Этого больше нет?

 

Больше нет

[Sandor]

На этом все. Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Артем Воробьев]

На этом все. Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18792 Warning! Download Update

Online installation. Last version available when Windows update is enabled throught the Internet.

--------------------------- [ OtherUtilities ] ----------------------------

LibreOffice 5.3.3.2 v.5.3.3.2 Warning! Download Update

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 59.0.2 (x64 en-US) v.59.0.2 Warning! Download Update

 

 

Рекомендации после удаления вредоносного ПО