Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день, ноутбук был сдан без боя шифровальщику.
Подхвачен классическим путем - через почтовое вложение.

Файлы *.crypted000007

Прошу помощи с восстановлением.
Файлы логов и записка от зловреда приложены.

README4.txt

CollectionLog-2018.12.12-02.30.zip

Опубликовано (изменено)

Здравствуйте!
 

Прошу помощи с восстановлением.

с рассшифровкой помочь не сможем.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('bd0004', 4);
 StopService('bd0004');
 QuarantineFile('C:\Users\134E~1\AppData\Local\Temp\Rar$DIa0.793\Scans073.scr', '');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys', '');
 DeleteFile('C:\Users\134E~1\AppData\Local\Temp\Rar$DIa0.793\Scans073.scr', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys', '64');
 DeleteService('bd0004');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', 'x32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Classic Start Menu', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LManager', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

"Пофиксите" в HijackThis:

R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://api.youqian.baidu.com/v1/nav?soft=12&uid=50100127&guid=9e75c9ab213864ef7b13b437a9911e7f&vd=4093785194
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2448}: [SuggestionsURL_JSON] = http://www.search.ask.com/suggest.php?src=ieb&gct=ds&appid=280&systemid=448&v=n13898-484&apn_uid=9388323113784380&apn_dtid=TCH001&o=APN10648&apn_ptnrs=AGI&qu={searchTerms}&ft=json - Ask.com
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2448}: [URL] = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=280&systemid=448&v=n13898-484&apn_uid=9388323113784380&apn_dtid=TCH001&o=APN10648&apn_ptnrs=AGI&q={searchTerms} - Ask.com
R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2448}: [SuggestionsURL_JSON] = http://www.search.ask.com/suggest.php?src=ieb&gct=ds&appid=280&systemid=448&v=n13898-484&apn_uid=9388323113784380&apn_dtid=TCH001&o=APN10648&apn_ptnrs=AGI&qu={searchTerms}&ft=json - Ask.com
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O3 - HKLM\..\Toolbar: (no name) - {05bf0e05-a298-4d0a-b6eb-f55b30a2e662} - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.
Изменено пользователем regist
Опубликовано (изменено)

Отчеты CollectionLog и AdwCleaner прикреплены.

Ответ от newvirus@kaspersky.com

KLAN - 9256368546

The files have been scanned in automatic mode.

Malicious code has been detected in the following files:
Scans073.scr - Trojan-Ransom.Win32.Shade.pfg

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

CollectionLog-2018.12.12-19.05.zip

AdwCleanerS00.txt

Изменено пользователем Lethal Ghost
Опубликовано

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  • Запустите AVZ.
  • Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  • В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  • Закачайте полученный архив, как описано на этой странице.
  • Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
McAfee Security Scan Plus [2018/10/02 10:23:17]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
Кнопка "Яндекс" на панели задач [2017/09/29 17:14:14]-->C:\Users\Ольга\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned
Менеджер браузеров [2017/09/29 17:16:28]-->"C:\Users\Ольга\AppData\Local\Package Cache\{d4bb3741-07a4-443a-8c73-0cfda821c697}\BrowserManagerInstaller.exe"  /uninstall
Менеджер браузеров [20170929]-->MsiExec.exe /X{FABA89D9-D588-4770-9F85-F6FF9F064257}
Служба автоматического обновления программ [2017/01/20 12:51:08]-->C:\Users\Ольга\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

деинсталируйте.

ImageCropResize [2016/04/24 16:00:26]-->C:\Users\Ольга\AppData\Roaming\ImageCropResize\uninstaller.exe

знакома? Сами ставили?

 

Программы/расширения от Mail.ru используете?
 

Опубликовано
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ

Готово.

 

 

знакома? Сами ставили?

Программы/расширения от Mail.ru используете?

Нет и нет. Компьютер использовался не мной, но эти программы определенно установлены без осознанного согласия пользователя.

Опубликовано

1) ImageCropResize -  тогда деинсталируйте.

2)

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Вдрун в будущем появится рассшифровка.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
  • Согласен 1
Опубликовано

Все готово.
Рекомендации выполнил.

Спасибо за помощь.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • SergeyAO
      Автор SergeyAO
      Приветсвую всех.
      Нужна помощь, вчера вирус зашифровал все файлы в основном документы office, на 4 дисках.
      Человеку пришло на почту письмо с документом по работе, но неизвестно от кого, открыли документ пустая страница ничего нет, и через некоторое время на экране сообщение, ваши файлы зашифрованы отправьте код на почту.
       
      Файл был "Здравствуйте.docx" KAV никак не отреагировал, на другой машине где были ограничены права пользователя док не открылся, KAV увидел в "здравствуйте.docx/word/embeddings/oleObject1.bin/C:/Users/836D~1/AppData/Local/Temp/PEWER POINT PRESENTATION.exe".
       
      Kaspersky Virus Removal Tool нашел Trojan-Ransom.Win32.Shade.ur.
      Утилита TDSSKiller для борьбы с руткитами ничего не обнаружил.
       
      Очень много информации, и важных документов, жду помощи, спасибо.
      CollectionLog-2015.09.22-11.30.zip
    • Йоптель
      Автор Йоптель
      Доброго времени суток. Случилась беда (и возникли некоторые нюансы). На компьютере из за действия какой то вредоносной программы, зашифровались все фотографии с расширением *.xtbl и появился текстовый файл с таким текстом:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 2E939351FF076C2B69B7|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   По не знанию, да и по торопливости, была пере установлена ОС с полным форматированием диска. Но папки с файлами были скопированы на DVD. В последствии они не открылись и на вновь установленной ОС.   Прошу помощи.   P.S. В прикрепленных, текстовый файл с текстом приведенным выше. README5.txt
    • mikaua
      Автор mikaua
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      E8C1480D46A8A89F2B83|0
      на электронный адрес files100001@gmail.com или files100002@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      E8C1480D46A8A89F2B83|0
      to e-mail address files100001@gmail.com or files100002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      CollectionLog-2015.09.17-20.10.zip
    • Олег-63
      Автор Олег-63
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      CF453C0249C61D14E3CF|0
      на электронный адрес decode010@gmail.com или decode1110@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
      CollectionLog-2015.09.16-10.24.zip
    • Олег-63
      Автор Олег-63
      все файлы фото,видео,док,были зашифрованы.на диске D /
      CollectionLog-2015.09.16-10.24.zip
×
×
  • Создать...