newsantaclaus@aol.com шифровальщик

[iceberg31]

Зашифровались все данные с разрешением .[newsantaclaus@aol.com].santa

all your data has been locked us
You want to return?
write email newsantaclaus@aol.comтся.

 

Стоит лицензионная версия

Kaspersky Small Office Security

 

Ни чего не защитило, прошу помощи

Изменено 9 декабря, 2018 пользователем iceberg31

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[iceberg31]

Порядок оформления запроса о помощи

 

CollectionLog-2018.12.09-18.26.zip

FILES ENCRYPTED.zip

[regist]

Здравствуйте!

Стоит лицензионная версия Kaspersky Small Office Security

можете тогда взять и и сразу создать запрос в тех. поддержку и заодно у них узнать почему он пропустил. Тем более у вас там кроме шифратора и другие вирусы. И раз антвирус поставили только этим летом, то стоило сразу ставить актуальную версию, а не прошлогодню или позапрошлогоднюю.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\buh2\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\krutko\Desktop\shutdown-r.cmd', '');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 QuarantineFile('D:\UCS\restart_egais.bat', '');
 QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\buh2\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteService('spoolsrvrs');
 DeleteService('wcvvses');
 DeleteService('werlsfks');
 DeleteService('wscsvs');
 DeleteFileMask('c:\windows\inf\axperflib', '*', true);
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\axperflib');
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\buh2\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 9 декабря, 2018 пользователем regist

[iceberg31]

Прикладываю файлы

удалено

тут файл quarantine

CollectionLog-2018.12.10-11.49.zip

Изменено 10 декабря, 2018 пользователем regist
карантин

[regist]

@iceberg31, не первый раз уже лечите систему от шифратора. Пора бы уже знать, что карантин в теме выкладывать запрещено!

Отправьте его куда просили и сообщите ответ.

[iceberg31]

Новый вирус [KLAN-9246706433]

[regist]

 

 

Новый вирус

а какой именно и в каком файле предлагаете погадать на картах таро?

[iceberg31]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В ходе проверки в автоматическом режиме не удалось распаковать архив. Пожалуйста, пришлите нам пароль, которым защищен ваш архив или создайте новый архив с паролем "infected" (без кавычек).
quarantine.zip

 

 

 

но при выполнения скипта я никакой пароль не устанавливал

Изменено 10 декабря, 2018 пользователем iceberg31

[regist]

@iceberg31, вот вы сами себе противоречите, то

 

 

Новый вирус [KLAN-9246706433]

то

 

 

не удалось распаковать архив.

лучше тогда отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. Там сам гляну.

[iceberg31]

отправил.

[iceberg31]

Если я правильно понял из соседних тем, лаборатория Касперского не в силах расшифровать файлы этого шифратора. Ждать дешифратора нет смысла?

[regist]

@iceberg31, и как же вы сделали такой вывод если никто из людей, который пишет в соседних темах не имеет никакого отношения в лаболатории Касперского и как следствие не знает, что она может, а что нет.

[iceberg31]

@iceberg31, и как же вы сделали такой вывод если никто из людей, который пишет в соседних темах не имеет никакого отношения в лаболатории Касперского и как следствие не знает, что она может, а что нет.

 тогда буду ждать от вас ответ. спасибо.

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '64');
 DeleteService('spoolsrvrs');
 DeleteService('wcvvses');
 DeleteService('werlsfks');
 DeleteService('wscsvs');
 DeleteFileMask('c:\windows\inf\axperflib', '*', true);
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\axperflib');
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

R3 - HKU\S-1-5-80-1184457765-4068085190-3456807688-2200952327-3769537534: Default URLSearchHook is missing
O4 - Startup other users: C:\Users\admin_kassir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\aspnet.ICEBERG31\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\buh2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - Startup other users: C:\Users\buh2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\buruyanova_ev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\grankina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\grankina_ov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\horoshilova_gs\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\kruchkova_vv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\krutko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\kudinov_ma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\markov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\melehina_lv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\obolonskaya_ii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\osipchuk_ia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\remote\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\soft\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\sutina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\sysadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\sysoev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa
O4 - Startup other users: C:\Users\администратор.ICEBERG31\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-F49C7D1D.[newsantaclaus@aol.com].santa

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.