Перейти к содержанию

Вирус шифровальщик [goodjob24@foxmail.com].myjob

strange
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('d:\localprofiles$\test\downloads\expiorer.exe');
 TerminateProcessByName('d:\localprofiles$\test\downloads\local.exe');
 QuarantineFile('D:\LocalProfiles$\test\AppData\Roaming\expIorer.exe', '');
 QuarantineFile('D:\LocalProfiles$\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe', '');
 QuarantineFile('d:\localprofiles$\test\downloads\expiorer.exe', '');
 QuarantineFile('d:\localprofiles$\test\downloads\local.exe', '');
 DeleteFile('D:\LocalProfiles$\test\AppData\Roaming\expIorer.exe', '32');
 DeleteFile('D:\LocalProfiles$\test\AppData\Roaming\expIorer.exe', '64');
 DeleteFile('D:\LocalProfiles$\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe', '64');
 DeleteFile('d:\localprofiles$\test\downloads\expiorer.exe', '');
 DeleteFile('d:\localprofiles$\test\downloads\local.exe', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-130120475-197673812-912770495-1114\Software\Microsoft\Windows\CurrentVersion\Run', 'D:\LocalProfiles$\test\AppData\Roaming\Info.hta', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-130120475-197673812-912770495-1114\Software\Microsoft\Windows\CurrentVersion\Run', 'D:\LocalProfiles$\test\AppData\Roaming\Info.hta', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-130120475-197673812-912770495-1114\Software\Microsoft\Windows\CurrentVersion\Run', 'expIorer.exe', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-130120475-197673812-912770495-1114\Software\Microsoft\Windows\CurrentVersion\Run', 'expIorer.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

strange

strange

Опубликовано
  • Автор
Опубликовано (изменено)

@Sandor

 

Добрый день, при попытке выполнить скрипт - ошибка

 

 

post-47608-0-48978000-1543213356_thumb.jpg

Изменено пользователем strange
Sandor

Sandor

Опубликовано
Опубликовано

AVZ следует использовать из папки Автологера:

D:\LocalProfiles$\o.sychev\Desktop\AutoLogger-test\AutoLogger\AVZ\avz.exe

strange

strange

Опубликовано
  • Автор
Опубликовано

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код:
expIorer.exe - Trojan-Ransom.Win32.Crusis.to
expIorer_0.exe - Trojan-Ransom.Win32.Crusis.to
expiorer.exe - Trojan-Ransom.Win32.Crusis.to

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
local.exe - not-a-virus:NetTool.Win32.Scan.ot

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=61124&st=0&p=906883

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ


KLAN-9180198050

 

 


Как быть? Поможете с расшифровкой?

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

strange

strange

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Могу ошибиться, но шанс весьма невелик.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alex555
      Вирус шифровальщик wallet
      Автор Alex555
      Вирус зашифровал все файлы и переименовал их. Все файлы имеют расширение wallet. Скажите пожалуйста есть ли варианты решения данной проблемы? Пример файла во вложении.
    • jay228
      помогите расшифровать файлы с расширением *.onion
      Автор jay228
      Здраствуйте. не хотел создавать новую тему т.к. похожая ситуация . заметил что в время работы за пк перестал запускатся тотал командер . когда вошел через папку в корне диска С увидел файлы с расширением *.onion . поскольку не чего не запускалось то я сделал перегрузку и зашел в безопасный режим . там выяснилось что с расширением onion только файлы в корне диска С и часть файлов в папках первых по алфавиту. остальное все на месте. Сейчас загрузился с загрузочной флешки и пишу вам. у меня вопрос. возможно я успел до того как вирус пошифровал мне все. возможно как то удалить его и предотвратить его дальнейшую работу не находясь с системного диска а с live-cd или расшифровать зашифрованые файлы для дальнейшего сноса системы ?
       
      п.с. логи не приложил т.к. не загружал систему во избежание дальнейшей потери файлов. могу их предоставить если их можно сделать с загрузочного носителя
    • Анвар
      Шифровальщик
      Автор Анвар
      Поймали вирус, он зашифровал файлы в вид Имя_файла.оригинальное_расширение.id-9CD284DD.[amagnus00@dmx.com].wallet.  Возможна ли дешифровка?
      CollectionLog-2017.04.20-15.36.zip
    • synopsis
      зашифровались файлы [amagnus00@gmx.com].wallet
      Автор synopsis
      зашифровались файлы :
       
      KVRT обнаружил payload_127AMM.exe файлы как Trojan-Ransom.Win32.Crusis.so
       
      RakhniDecryptor не помог
      CollectionLog-2017.04.29-17.28.zip
    • MSBishop
      Новое Расширение: Dharma шифровальщика: .onion
      Автор MSBishop
      Поймали шифровальщик. 
      Со страху пользователь грохнул систему и переустановил ОС поэтому ни логов и прочей информации собрать не удалось, остались только зашифрованные фалы
      Имена фалов изменились по шаблону: config.sys.id -66813FE4.[felix_dies@aol.com].onion
      Идентификация в ID Ransomware: Dharma (.onion)
       
      Для прочих dharma шифровальщиков есть дешифраторы.
      Есть ли шанс что для этого расширения будет дешифратор?
×
×
  • Создать...