Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Пользователь на виндовой машине из почты открыл вложение из электронной почты. Как результат - зашифрованные файлы вида email-biger@x-mail.pro.ver-CL 1.5.1.0.id-3365436957-966744531236442324916398.fname.

Утилиты тел вирусов не обнаруживают.

 

CollectionLog-2018.12.10-21.22.zip

Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\DOCUME~1\2739~1\LOCALS~1\Temp\LOSWACGILP.exe','');
 DeleteFile('C:\DOCUME~1\2739~1\LOCALS~1\Temp\LOSWACGILP.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3365436957','x32');
ExecuteSysClean;
RebootWindows(true);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 



O4 - HKCU\..\Run: [3365436957] = C:\Documents and Settings\Депозит\Local Settings\Temp\LOSWACGILP.exe
O4 - HKLM\..\Run: [2036353] = 2036353  (file missing)
O4 - HKLM\..\Run: [3208938] = 3208938  (file missing)
O4 - HKLM\..\Run: [3942140] = 3942140  (file missing)
O4 - HKLM\..\Run: [487764] = 487764  (file missing)
O4 - Startup other users: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\README.txt
O4 - Startup other users: C:\Documents and Settings\Chernikov\Главное меню\Программы\Автозагрузка\README.txt
O4 - Startup other users: C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\README.txt
O4 - Startup other users: C:\Documents and Settings\Lutchak\Главное меню\Программы\Автозагрузка\README.txt
O4 - Startup other users: C:\Documents and Settings\Lutchakur\Главное меню\Программы\Автозагрузка\README.txt
O4 - Startup other users: C:\Documents and Settings\lisihea\Главное меню\Программы\Автозагрузка\README.txt
O4 - Startup other users: C:\Documents and Settings\rama\Главное меню\Программы\Автозагрузка\README.txt
O4 - Startup other users: C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\README.txt


 

Сделайте новые логи Автологгером. 

 

Опубликовано

После выполнения первого скрипта в АВЗ и перезагрузки комп не завелся - "NTLDR is missing".

Ждем доставки компа из отдела.

Опубликовано

Загрузчик повреждён или был зашифрован вместе с файлами, выполните команды fixboot и fixmbr.

Опубликовано

Загрузчик восстановили, станция доступна. Продолжать выполнение вышеописанных скриптов АВЗ?


Файл карантина направил на почту.

Опубликовано

В HiJackThis нашел только эти строки.

O4 - HKLM\..\Run: [2036353] = 2036353  (file missing)
O4 - HKLM\..\Run: [3208938] = 3208938  (file missing)
O4 - HKLM\..\Run: [3942140] = 3942140  (file missing)
O4 - HKLM\..\Run: [487764] = 487764  (file missing)


Не прикрепились почему-то

CollectionLog-2018.12.11-14.47.zip

Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.


  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".


  • Нажмите кнопку Scan.


  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.


  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png

 

Опубликовано
Не вижу чтобы был установлен хоть какой-то антивирус в системе. 

 


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
Folder: C:\istall
Folder: C:\1.0.0.36n
Folder: C:\1



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • S-e-r-s-h
      Автор S-e-r-s-h
      Добрый день. Хватанули троян, который зашифровал все документы таким образом: email-load180@aol.com.ver-CL 1.0.0.0.id-SBJKZCVMEGNQHJLOSVXZEGIMPSVXCEGJNQTU-02.09.2015 8@18@454361717.randomname-CNOCKUQNTOEVIVKQBSIWJZUKAQVPET.MGZ.cbf
      После заражения воспользовались восстановлением системы на предыдущий дату и проверили Kaspersky Virus Removal Tool 2015, а после, продленным Small Office Security. Вроде ничего не нашел.  Очень нужна ваша помощь. Как убедиться, что источника заразы больше нет и как расшифровать документы? CollectionLog-2015.09.07-11.35.zip
    • sidor
      Автор sidor
      Здравствуйте!
      Все как обычно, пришло письмо, якобы от налоговой, дальше открытие архива, без сохранения и проверки антивирусом.
      Результат-все файлы  MSO зашифрованы - названия начинаются с seven_legion@aol.com
      Что сделал:
      1. Прошелся по диску kav_rescue_10.
       по классификации каспера выявлено Win32.VBKryjetor.wes  в program files и в корневике системы.
      2. Удалил из автозагрузки окошко с предупреждением.
      3. Собрал логи.

         CollectionLog-2015.09.04-14.27
      Посмотрите, пожалуйста, может где еще дыры или зверье сидит?
       
      По поводу расшифровки: пробовал rectordecryptor и xoristdecryptor, не помогло.
      Может у кого есть дешифратор для моего случая? Плзз. А то девчонкам этим несчастным неделю на складе ревизию проводить....
       
      CollectionLog-2015.09.04-14.27.zip
    • Елена К
      Автор Елена К
      Получила письмо на почту, открыла прикрепленный файл, через пару часов на рабочем столе надпись "Твои файлы зашифрованы, отправь файл на почту Seven_legion2@aol.com ...."  Все файлы текстовые, все фото зашифрованы. Можно расшифровать фото?

      Прочитала предыдущее сообщение, сделала как там было написано, прикрепляю файлы. Очень надеюсь на помощь.
      CollectionLog-2015.09.05-22.02.zip
      Addition_05-09-2015_22-36-03.txt
      FRST_05-09-2015_22-36-03.txt
    • Klu4nik
      Автор Klu4nik
      Здравствуйте!
       
      Пользователь запустил файл из прикрепленного к письму с мэйл.ру архива wordpad.rar. Kaspersky WS не среагировал. Прошло шифрование, фото документы (много, важное), обои сменились на требование. После перезагрузки, KWS-ом автоматически был обнаружен троян: "Удалено троянская программа Trojan.Win32.Inject.vgcj C:\Program Files\explore.exe 27.08.2015 12:35:13".
       
      Спасибо за ваше время и желание помочь!
        CollectionLog-2015.08.27-13.23.zip
    • Арсен Омаров
      Автор Арсен Омаров
      Всем привет! Прошу Вашей помощи! Сегодня к моей сестре на почту пришло письмо по работе! Она открыла и запустила файл который..в общем во вложении прикрепляю фото рабочего стола на котором сообщение:
       Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почту
      и т.д.
       
      так же высылаю логи..


      CollectionLog-2015.08.24-14.29.zip
×
×
  • Создать...