ypershin 0 Опубликовано 15 октября, 2018 Share Опубликовано 15 октября, 2018 (изменено) Проник шифровальщик, зашифровал содержимое сетевых папок, имена файлов изменил следующим образом: в каких-то местах они такие: email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-ABBBCDDEEFFFGGHHIIJJKKKLLMMNNO.OOP.qqr email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-IJJJKLLMNNOOOPPQQRRSSSTTUUVVWX.XXY.zzz email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-OOPPRRSSSTTUUVVWXXXXYYZZABBBBC.DDE.fff email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-QRSSTTUUVWWWWXXYZZAAAABBCCDDEF.FFG.ghh email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-STUUVVWWXYYZZZZAABCCDDEEEEFGGH.III.ijj email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-TUUVWXXXXYYZAABBBBCCDEEFFGGGGH.IIJ.kkk email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-UUUVWXXYYZZZAABBCCDDDEEFFGGHHI.IIJ.kkk email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-WXYYZAABCCCCDEEFFGGHHHIIJJKKLL.LMN.noo email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-WXYYZABBBBCDDEEFFFFGHHIIJJJJKK.MMN.ooo а в каких-то такие: email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-cspcomsetup_v2.msi.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-temp.txt.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-Настройка рабочего места 2_5.2.doc.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-ЭЛЕКТРОННЫЙ АРХИВ ДОКУМЕТОВ - Ярлык (2).lnk.doubleoffset На всякий случай, прикрепляю примеры зашифрованных файлов CollectionLog-2018.10.16-00.21.zip Файлы.zip Изменено 15 октября, 2018 пользователем ypershin Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 15 октября, 2018 Share Опубликовано 15 октября, 2018 Здравствуйте,Удалите IObit через установку программ в панели управления.HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O3 - HKLM\..\Toolbar: (no name) - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - (no file) O4 - HKCU\..\Run: [Microsoft Visual C++ 2010] = C:\Users\User\AppData\Roaming\cppredistx86.exe (file missing) O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O22 - Task: {77108E3C-4C71-191B-AD1B-E1D1F566BF0E} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\bdd75b60\d136dad1.dll" O22 - Task: {D87F83B6-6FD4-341D-5A43-00D7897A294C} - C:\ProgramData\{21E5B5DD-964E-0276-0B64-81800627C241}\B82E5508-0F85-E2A3-D67D-D8181F6BD6AD.exe /run (file missing) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\{21E5B5DD-964E-0276-0B64-81800627C241}\B82E5508-0F85-E2A3-D67D-D8181F6BD6AD.exe',''); QuarantineFile('C:\PROGRA~3\bdd75b60\d136dad1.dll',''); QuarantineFile('C:\Users\User\AppData\Roaming\sweet-page\UninstallManager.exe',''); QuarantineFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe',''); QuarantineFile('C:\Users\User\AppData\Local\Hostinstaller\1108260341_monster.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\cppredistx86.exe',''); DeleteFile('C:\Users\User\AppData\Roaming\cppredistx86.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010','x32'); DeleteFile('C:\Users\User\AppData\Roaming\cppredistx86.exe','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010','x64'); DeleteSchedulerTask('Soft installer'); DeleteFile('C:\Users\User\AppData\Local\Hostinstaller\1108260341_monster.exe','64'); DeleteFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe','64'); DeleteSchedulerTask('Uninstaller_SkipUac_User'); DeleteSchedulerTask('{52D1D134-7894-48CF-9073-0C7644EBC6F0}'); DeleteFile('C:\Users\User\AppData\Roaming\sweet-page\UninstallManager.exe','64'); DeleteSchedulerTask('{77108E3C-4C71-191B-AD1B-E1D1F566BF0E}'); DeleteFile('C:\PROGRA~3\bdd75b60\d136dad1.dll','64'); DeleteSchedulerTask('{D87F83B6-6FD4-341D-5A43-00D7897A294C}'); DeleteFile('C:\ProgramData\{21E5B5DD-964E-0276-0B64-81800627C241}\B82E5508-0F85-E2A3-D67D-D8181F6BD6AD.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму- Подготовьте лог AdwCleaner и приложите его в теме. P.S. Проверьте лс. Ссылка на сообщение Поделиться на другие сайты
ypershin 0 Опубликовано 16 октября, 2018 Автор Share Опубликовано 16 октября, 2018 Все сделал. Файлы во вложении. Сможете ли помочь с расшифровкой файлов? AdwCleanerC00.txt AdwCleanerS00.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 16 октября, 2018 Share Опубликовано 16 октября, 2018 По поводу расшифровки жду информации. Уточните пожалуйста Вы карантин отправляли, через указанную форму?- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
ypershin 0 Опубликовано 16 октября, 2018 Автор Share Опубликовано 16 октября, 2018 Карантин отправлял, после отправки пишет, что данный файл уже был загружен. Сам архив quarantin изначально создается пустой. Запустил утилиту Farbar, файлы, созданные после сканирования во вложении. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 16 октября, 2018 Share Опубликовано 16 октября, 2018 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [] => [X] GroupPolicy: Restriction - Chrome <==== ATTENTION CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2017-06-29] CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2018-02-05] CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2018-02-05] CHR HKU\S-1-5-21-2270554093-2864587344-2727639988-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-2270554093-2864587344-2727639988-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-2270554093-2864587344-2727639988-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [mibfbmhijjgpkmobcfdlelpccpeafoom] - <no Path/update_url> File: C:\Program Files\RDP Wrapper\rdpwrap.dll S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] File: C:\Program Files (x86)\MSI\Super-Charger\NTIOLib_X64.sys S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] 2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Все пользователи\README.txt 2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\User\AppData\Roaming\README.txt 2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Public\README.txt 2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Public\Downloads\README.txt 2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\ProgramData\README.txt 2018-10-15 16:50 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Public\Documents\README.txt 2018-10-16 10:51 - 2017-03-02 14:02 - 000000000 ____D C:\Users\Все пользователи\IObit 2018-10-16 10:51 - 2017-03-02 14:02 - 000000000 ____D C:\Users\User\AppData\LocalLow\IObit 2018-10-16 10:51 - 2017-03-02 14:02 - 000000000 ____D C:\ProgramData\IObit 2018-10-16 10:51 - 2017-03-02 14:01 - 000000000 ____D C:\Users\User\AppData\Roaming\IObit Folder: C:\Users\User\AppData\Roaming\HpUpdate Folder: C:\ProgramData\{8A39DEA2-3D92-6909-16EB-3DBF309A65DF} Folder: C:\ProgramData\{39DD736F-8E76-C4C4-54F9-18580F9CDE94} Folder: C:\ProgramData\{0C9234C2-BB39-8369-09D2-EEB4749B93CD} Folder: C:\ProgramData\8floor ContextMenuHandlers1: [FineReader11ContextMenu] -> [CC]{79E48320-C6B5-49F1-992B-571D53586885} => -> No File ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> No File ContextMenuHandlers1: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File ContextMenuHandlers4: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> No File ContextMenuHandlers4: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File ContextMenuHandlers6: [FineReader11ContextMenu] -> [CC]{79E48320-C6B5-49F1-992B-571D53586885} => -> No File ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> No File ContextMenuHandlers6: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File Task: {31CE1B16-7C02-470A-BFBA-D7056F473574} - \{0D0B0B47-040C-0F79-7F11-087F0B0D110D} -> No File <==== ATTENTION Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на сообщение Поделиться на другие сайты
ypershin 0 Опубликовано 16 октября, 2018 Автор Share Опубликовано 16 октября, 2018 Все сделал. Файл во вложении. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 16 октября, 2018 Share Опубликовано 16 октября, 2018 Касаемо decrypt-files.info.ver-CL 1.3.1.0. выполните следующие инструкции:https://forum.kasperskyclub.ru/index.php?showtopic=48525Касаемо другого шифровальщика ожидайте ответа от одного из консультантов в ближайщее время. 1 Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 16 октября, 2018 Share Опубликовано 16 октября, 2018 Отправил в ЛС для email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-cspcomsetup_v2.msi.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-temp.txt.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-Настройка рабочего места 2_5.2.doc.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-ЭЛЕКТРОННЫЙ АРХИВ ДОКУМЕТОВ - Ярлык (2).lnk.doubleoffset 2 Ссылка на сообщение Поделиться на другие сайты
ypershin 0 Опубликовано 16 октября, 2018 Автор Share Опубликовано 16 октября, 2018 Огромное спасибо всем, кто помогал мне с зараженным компьютером. Все файлы одного из шифровальщиков успешно расшифрованы!! Помогли с расшифровкой файлов типа email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset По другому шифровальщику написал в ЛК по вашей инструкции. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти