Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Доброго времени, словили довольно странный шифровальщик. Создает файлы вида: email-hola-veglass@x-mail.pro.ver-CL 1.5.1.0.id-875139473-452241725463815457776148.fname-ReadMe.txt.bat.doubleoffset. Почему странный? Потому что он шифровал файлы .ini, .dat, некоторые экзешники, .bmp, png файлы, а стандартный файлы пользователя (док, ексель, пдф) не тронул. Самое интересное, что ни установленный касперский, ни KVRT и Cureit ничего не нашли! Вот хотелось бы все таки найти его и провести лечение, и вообще узнать что это было??))

 

Могу прикрепить только то что на создавал этот вирус

 

Спасибо!

email-hola-veglass.rar

Опубликовано

Создайте запрос на расшифровку.

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Файл Hosts правили самостоятельно?

Опубликовано (изменено)

И кажется я нашел сам вирус. Осторожно!

Изменено пользователем Sandor
Убрал вирус
Опубликовано

Не нужно сюда выкладывать вирус.

 

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicyScripts: Restriction <==== ATTENTION
    BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
    BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Опубликовано

Создайте запрос на расшифровку.

Если будет возможно, здесь сообщите результат.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • andrew1966
      Автор andrew1966
      Здравствуйте уважаемые консультанты!
       
      Наш сотрудник по неопытности открыл письмо с вирусом. В результате работы вируса зашифровались файлы документов на компьютере и на сетевом устройстве (сервере), к которому он был в это время подключен. Имена файлов стали иметь вид: email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-VWWXYZABBBCDEEFFGGHIJJKKLLMNOOOPQQRS-21.09.2015 9@23@348638788.randomname-ADEFHIJJJKLMNNNOPQRRRSTUUVWWXX.ZAA.cbf
       
      Вирус изменил картинку рабочего стола с указанием адреса эл. почты (Seven_Legion2@aol.com).
       
      Компьютер был отключен от локальной сети, проверен утилитами CureIt и Kaspersky Virus Removal Tool 2015. Найденные вирусы удалены.
       
      Автолог выполнялся также на компьютере отключенном от сети, т.к. не было уверенности что утилиты удалили все вирусы.
       
      Прикрепляю коллекцию логов и картинку рабочего стола.
       
      Помогите разшифровать файлы!
      Заранее СПАСИБО.
       
      Андрей.
       
      CollectionLog-2015.09.21-14.58.zip

    • Егор Орлов
      Автор Егор Орлов
      Помогите, пожалуйста, с дешифрацией файлов.
      Ребенок скачал и запустил на компьютере файл с вирусом flashplayer.exe
      Часть файлов была зашифрована с названием C:\Users\Egor\Downloads\email-hontekilla@aol.com.ver-CL 1.1.0.0.id-YZZAABBCCDDEEEEFFGGHHIIJJJJKLLMMNNNN-17.09.2015 18@05@164038342.randomname-JKLLMMMNNOOPPQQQRRSSTTUUVVVVWW.XYY.cbf
      Логи прилагаю.
      Addition.txt
      FRST.txt
    • den_kz
      Автор den_kz
      Получил письмо типа от налоговой. запустил с виду вордовский файл и получил все вайлы на компе зашифроваными. 
      название файлов типа: email-oduvansh@aol.com.ver-CL 1.0.0.0.id-HIJKLMMMNOOPQQQRRSTTUVVVWWXYYZZZABCC-21.09.2015 9@29@145199768.randomname-UVWXYZZZABBCDDDEFFGHHIIIJKKLMM.MNO
       
      проверил комп антивирусом касперский интернет секьюрити, то что нашел - удалил или вылечил, но ситуация не изменилась. подозреваю файл docs.exe, который находился в программ файлс и был удален. прикрепляю файл который пришел по почте и был распакован и запущен.
      Так же прикрепляю лог программы AutoLogger.
       
      возможна ли дешифрация файлов?
      CollectionLog-2015.09.21-17.10.zip
    • DartKane
      Автор DartKane
      Юрис словил вирус (или скрипт). который зшифровал все документы и картинки (хорошо, что в сеть не полез, а то убил бы её).
      Как обычно, ничего не запускали, никуда не ходили. Оно само БАХ! и зашифровалось...
      Просит отправить любойй файл на почту seven_legion2@aol.com
      Все файлы миеют такое имя: 
      email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-IKKLLMNNOOPPPQQRSSTTTTUUVWWXXYYYZZAA-18.09.2015 11@58@07645392.randomname-PRSTTUUVVWXXYYYYZZAABBCCCCDDEE.FGH.cbf
       
      Тут примерно об этом же писали, но чувствую - ключ всегда меняется.
       
      CollectionLog-2015.09.19-19.09.zip
    • baddiw
      Автор baddiw
      файлы переименованы в email-seven_legion@india.com .ver-CL 1.0.0.0.id-MNOQQSTUVWXYZABCDDEFGIIJKLMMNOPRRSTU-16.09.2015 18@06@287370553.randomname-FIJLMNPQQRTUVVWYZZABDEEFGIIJKL.MNO 
      можно ли их расшифровать? лог прилагаю
      CollectionLog-2015.09.17-16.58.zip
×
×
  • Создать...