Перейти к содержанию

Шифровальщик .id-D2EAA25E.[decrypthelp@qq.com].arrow

JBsup
 Share Подписчики 0

Рекомендуемые сообщения

JBsup

JBsup 0

Опубликовано
Опубликовано

Добрый день!

Поймали шифровальщик dharma. Все файлы зашифрованы с расширением указанным в теме: .id-D2EAA25E.[decrypthelp@qq.com].arrow

Защитник Windows обнаружил вирус, 1 файл удалил, и 3 файла поместил на карантин. После этого установили KIS, программа работает, но управлять ею нет возможности, значок из трея пропадает, запуск проверки через правую кнопку на носителях ничего не дает, отключить KIS через диспетчер не получается.

 

 

 

Помогите пожалуйста расшифровать файлы, если это возможно!

 

 

CollectionLog-2018.07.13-14.22.zip

report1.log

report2.log

Ссылка на сообщение
Поделиться на другие сайты
akoK

akoK 138

Опубликовано
Опубликовано

С расшифровкой помочь (скорее всего) не получится, только зачистим следы.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты
JBsup

JBsup 0

Опубликовано
  • Автор
Опубликовано

 

С расшифровкой помочь (скорее всего) не получится, только зачистим следы.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

 

Добрый день!

Отчеты прикрепил. Можно ли узнать как произошло заражение компьютера?

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты
akoK

akoK 138

Опубликовано
Опубликовано (изменено)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
Start::
CreateRestorePoint:
VirusTotal: C:\Users\remoteuser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8XT2IZ_payload.exe
HKLM-x32\...\Run: [] => [X]
Startup: C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar218.lnk.id-D2EAA25E.[decrypthelp@qq.com].arrow [2018-07-13]
Startup: C:\Users\remoteuser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8XT2IZ_payload.exe [2018-07-13] ()
C:\Users\remoteuser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8XT2IZ_payload.exe
BHO: ClassicIEBHO Class -> {EA801577-E6AD-4BD5-8F71-4BE0154331A4} -> C:\Program Files\Classic Shell\ClassicIEDLL_64.dll => No File
BHO-x32: ExplorerBHO Class -> {449D0D6E-2412-4E61-B68F-1CB625CD9E52} -> C:\Program Files\Classic Shell\ClassicExplorer32.dll => No File
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll => No File
BHO-x32: ClassicIEBHO Class -> {EA801577-E6AD-4BD5-8F71-4BE0154331A4} -> C:\Program Files\Classic Shell\ClassicIEDLL_32.dll => No File
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll No File
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll No File
Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL No File
ShellExecuteHooks-x32: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> No File
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.50907.0\npctrl.dll [No File]
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
FF Plugin-x32: @EDVR/WebClient -> C:\windows\system32\WebClient\npwebclient.dll [No File]
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.50907.0\npctrl.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File]
FF Plugin-x32: Adobe Acrobat -> C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Air\nppdf32.dll [No File]
FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll [No File]
ShellIconOverlayIdentifiers-x32-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> No File
ShellIconOverlayIdentifiers-x32-x32-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> No File
ShellIconOverlayIdentifiers-x32-x32-x32-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> No File
ShellIconOverlayIdentifiers-x32-x32-x32-x32-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> No File
ShellIconOverlayIdentifiers-x32-x32-x32-x32-x32-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> No File
ContextMenuHandlers1: [Adobe.Acrobat.ContextMenu] -> {A6595CD1-BF77-430A-A452-18696685F7C7} => C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat Elements\ContextMenuShim64.dll -> No File
ContextMenuHandlers1-x32-x32: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> No File
ContextMenuHandlers3-x32: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> No File
ContextMenuHandlers4-x32: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> No File
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => C:\Program Files\Windows Sidebar\sbdrop.dll -> No File
ContextMenuHandlers5-x32: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> No File
ContextMenuHandlers6: [Adobe.Acrobat.ContextMenu] -> {A6595CD1-BF77-430A-A452-18696685F7C7} => C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat Elements\ContextMenuShim64.dll -> No File
ContextMenuHandlers6-x32-x32: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> No File
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено пользователем akoK
Ссылка на сообщение
Поделиться на другие сайты
akoK

akoK 138

Опубликовано
Опубликовано

Исправьте по возможности

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19036 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.18.0.0.405 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Classic Shell v.4.1.0 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ IM ] ----------------------------------
Viber v.9.0.0.6 Внимание! Скачать обновления
^Необязательное обновление.^
Skype, версия 8.16 v.8.16 Внимание! Скачать обновления
 
На этом все. 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • a.egorov
      Шифровальщик имена файлов имеют расширение .ARROW
      От a.egorov
      Добрый день!
       
      На сервере во время когда никого в организации обычно нет (22.28-22.33) были зашифрованы файлы.
      Такие файлы теперь имеют вид 1Cv8.1CD.id-0ABBFEF6.[decrypthelp@qq.com].arrow
      Зашифрованы как ни странно не все данные, а как будто избирательно.
      При том в основном пострадала папка с базами 1С и она же имела доступ через сеть ограниченному числу людей.
      Так же пострадали файлы на диске С, но как то странно.
      В основном связанные с 1С, пользовательскими данными ОС и драйверами связанными с бухгалтерской деятельностью (ККМ, ключи защиты, криптография)
      Помогите пожалуйста определить и устранить источник проблемы.
      У нас есть лицензия Касперского.
       
      Да и он же нашел и удалил файл E:\1\1task.exe с вирусом Trojan-Ransom.Win32.Crusis.to
      Данный файл в архиве avp.zip
       

      Строгое предупреждение от модератора Soft Вредоносный файл удалён! Правилами форума запрещено прикреплять файлы подобного рода! CollectionLog-2018.05.25-16.10.zip
×
×
  • Создать...