Перейти к содержанию

Странный шифровальщик email-hola-veglass@x-mail.pro.ver-CL 1.5.1.0

den1308
 Поделиться

Рекомендуемые сообщения

den1308

den1308

Опубликовано
Опубликовано

Доброго времени, словили довольно странный шифровальщик. Создает файлы вида: email-hola-veglass@x-mail.pro.ver-CL 1.5.1.0.id-875139473-452241725463815457776148.fname-ReadMe.txt.bat.doubleoffset. Почему странный? Потому что он шифровал файлы .ini, .dat, некоторые экзешники, .bmp, png файлы, а стандартный файлы пользователя (док, ексель, пдф) не тронул. Самое интересное, что ни установленный касперский, ни KVRT и Cureit ничего не нашли! Вот хотелось бы все таки найти его и провести лечение, и вообще узнать что это было??))

 

Могу прикрепить только то что на создавал этот вирус

 

Спасибо!

email-hola-veglass.rar

Sandor

Sandor

Опубликовано
Опубликовано

Создайте запрос на расшифровку.

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Файл Hosts правили самостоятельно?

den1308

den1308

Опубликовано
  • Автор
Опубликовано (изменено)

И кажется я нашел сам вирус. Осторожно!

Изменено пользователем Sandor
Убрал вирус
Sandor

Sandor

Опубликовано
Опубликовано

Не нужно сюда выкладывать вирус.

 

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicyScripts: Restriction <==== ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Создайте запрос на расшифровку.

Если будет возможно, здесь сообщите результат.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Atokarev
      Шифровальщик, помогите решить
      Автор Atokarev
      Помогите пожалуйста определить что за шифровальщик. На момент зараения антивирусов не было установлено. Windows 10.
      README.txt Logs.zip Зашифрованные — копия.zip
    • Руслан057
      Помогите восстановить файлы после вируса gruzinrussian@aol.com
      Автор Руслан057
      Добрый день!
      Помогите восстановить файлы после вируса gruzinrussian@aol.com пример файла высылаю. Заранее спасибо.
      email-gruzinrussian@aol.com.ver-CL 1.3.1.0.id-@@@@@D0FA-8FAE.randomname-DDCAAYWTTTQNMJGECZXURQOKIGDAZX.WUS.rar
    • Admitriev
      Вирус-шифровальщик email-gruzinrussian@aol.com
      Автор Admitriev
      Очень странно зашифровались лишь некоторые файлы исключительно в расшаренных для общего доступа сетевых папках в домене.
      Официальный Kaspersky Endpiont Security 10 для Windows  к сожалению пропустил данную заразу.
      CollectionLog-2017.04.13-14.44.zip
    • yazva
      шифровальщик - drakosha_new@aol.com
      Автор yazva
      Здравствуйте.
      Поймал такой вирус как и когда пока не разобрался этот комп очень редко используется , но всегда включен , файлы зашифровались 10.03.2017 , обнаружил только сегодня.
      На всех дисках файлы стали называться примерно так - email-drakosha_new@aol.com.ver-CL 1.3.1.0.id-@@@@@D8AF-6E19.randomname-BCCDNNOOPPPQQRRSSTTTTUUVWWXXXX.YYZ и в каждой папке появился текстовый документ с таким содержимым- for decrypt files write you country to drakosha_new@aol.com
      Прошу помощи! 
      CollectionLog-2017.03.21-21.19.rar
    • nameless0209
      Шифрованные данные
      Автор nameless0209
      Добрый день.
      Есть шифрованные данные. Очень хотелось бы восстановить.
      Есть несколько файлов "до шифрования"
       
      Отчет по FRSTи пример зашифрованных файлов.
      FRST.zip
      email-ivanivanov34@aol.com.ver-CL 1.3.1.0.id-@@@@@B8A6-6A29.randomname-SSSTUVWWXYYZABBBCDEEFFGGHIJJKK.LMN.zip
×
×
  • Создать...