Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик под именем "626"

paramorez
 Share Подписчики 1

Рекомендуемые сообщения

paramorez

paramorez 0

Опубликовано
Опубликовано (изменено)

Подловил шифровальщик,все разширения файлов поменялись на " .626 " 

 

Вот файл

CollectionLog-2018.09.29-00.22.zip

Addition.txt

FRST.txt

Изменено пользователем paramorez
Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 785

Опубликовано
Опубликовано

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=127.0.0.1:8080 (disabled)
R1 - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=127.0.0.1:8080 (enabled)
O2-32 - HKLM\..\BHO: Html5 geolocation provider - {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} - (no file)
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\MSetup\BA46-12225A02\EPM.exe','');
 QuarantineFile('C:\Users\user\M-505052076762740272672920\winmgr.exe','');
 QuarantineFileF('C:\Users\user\M-505052076762740272672920', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\Users\user\AppData\Roaming\iset\RunCC.exe','');
 QuarantineFile('C:\windows\system32\drivers\btrnzgkv.sys','');
 BC_DeleteFile('C:\Users\user\M-505052076762740272672920\winmgr.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Manager','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте новые логи утилиты FRST.
 
 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Xynire
      HEUR:Trojan.Multi.GenBadur.genw Прошу помощь в Удалении
      От Xynire
      Измучал меня этот троян. Антивирус борется с ним, но после перезагрузки будто ничего не было. Заранее благодарю
    • Андрей_22222299
      Нагрузка на видеокарту в простое.
      От Андрей_22222299
      Здравствуйте. 
      В простое видеокарта постоянно под небольшой (5-7%) нагрузкой, видно в HWMonitor и Диспетчере задач. Если их свернуть, нагрузка доходит до 20% или 50%, максимум до 80%.
      Видеокарта нагревается до примерно 45-48 градусов. До этого в простое температура была 36 градусов. 
      В работе кроме браузера, проводник и телеграм.  В диспетчере задач показывает, что грузит "Процесс исполнения клиент-сервер".
      Kaspersky Virus Removal Tool ничего не обнаружил.
      Файл протоколов прикрепил.
      CollectionLog-2024.10.15-20.14.zip
    • Magashmug
      [РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw после лечения с перезагрузкой снова появляется
      От Magashmug
      Здравствуйте, после перезагрузки опять появляется вирус, вот мой файл.
      CollectionLog-2024.10.15-18.27.zip
    • Belzak
      Не могу вылечить вирус
      От Belzak
      Здравствуйте, у меня такая- же проблема, вот мой файл
      WIN-GSIH82VECDJ_2024-10-11_22-13-38_v4.99.2v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Myugs
      Heur:Trojan.Multi,GenBadur.genw после лечения с перезагрузкой восстанавливается
      От Myugs
      Здравствуйте, после перезагрузки ПК снова появляется предупреждение.

      CollectionLog-2024.10.10-22.18.zip
×
×
  • Создать...