Перейти к содержанию

Шифровальщик под именем "626"

paramorez
 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=127.0.0.1:8080 (disabled)
R1 - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=127.0.0.1:8080 (enabled)
O2-32 - HKLM\..\BHO: Html5 geolocation provider - {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} - (no file)
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\MSetup\BA46-12225A02\EPM.exe','');
 QuarantineFile('C:\Users\user\M-505052076762740272672920\winmgr.exe','');
 QuarantineFileF('C:\Users\user\M-505052076762740272672920', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\Users\user\AppData\Roaming\iset\RunCC.exe','');
 QuarantineFile('C:\windows\system32\drivers\btrnzgkv.sys','');
 BC_DeleteFile('C:\Users\user\M-505052076762740272672920\winmgr.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Manager','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте новые логи утилиты FRST.
 
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • Lesnik888
      data-centr@tech-center.com требуют денег
      Автор Lesnik888
      Добрый день,Евгений! У знакомых сломали компьютер,оставили только вот такое сообщение-
      "Здравствуйте.
      В течении продолжительного времени с Вашим сервером была проведена большая работа по перемещению всех доступных данных в расширенное
      облачное хранилище. В случае если данные представляют для Вас ценность просьба дать нам о этом знать написав на data-centr@tech-center.com
      в сообщении указав 3719595
      В случае своевременного обращения гарантируем полный возврат данных."
       
      Пробуем восстановить данные.Не сталкивались ли вы с такими?Как можно им защитится в будущем от подобного?
      С уважением,Александр.
       

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Задай вопрос Евгению Касперскому!"
    • pavuk-rv
      Файлы зашифрованы Trojan.Encoder.7223
      Автор pavuk-rv
      Здравствуйте!
      Зашифрованы файлы, Др.ВЕБ сделали заключение: 
       
      Есть ли у Вашей лаборатории возможность расшифровать файлы?
      Файлы протоколов прикрепляю.
      CollectionLog-2017.04.12-17.36.zip
      report2.log
      AutoLogger.zip
    • andrew0352
      Вирус шифровальщик *.decryptallfiles3@india
      Автор andrew0352
      Доброго времени суток. Подцепил вирус шифровальщик , все файлы стали с расширением " *.decryptallfiles3@india" и при запуске системы открывается окно с просьбой сообщить свой ID  на эл.почту "decryptallfiles3@india.com" (присвоился из файла "Read Me Please" который находится в каждой папке. Пробовал разные утилиты для расшифровки но ни что не помогло.

      1-я часть файла не шифрованный

      2-я часть файла не шифрованный

      1-я часть файла шифрованный

      2-я часть файла шифрованный
      CollectionLog-2017.03.08-14.54.zip
      foto-good.part1.rar
      foto-good.part2.rar
      pa-MZ3HLDO39cWbp.decryptallfiles3@india.part1.rar
      pa-MZ3HLDO39cWbp.decryptallfiles3@india.part2.rar
    • noname61
      Помогите с шифровальщиком
      Автор noname61
      Клиенты поймали шифровальщик, после зашифровки появился файл на диске D с ключем и ссылкой на сай для покупки дешифратора, покупка тоже не привела к успеху, деньги ушли в неизвестность. Прошу помощи по данному вирусу. Прилагаю файл вируса, ключ с ссылкой, а так же 2 файла (зашифрованный и дешифрованный)
×
×
  • Создать...