Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день!, попал комп друга вирус шифровальщик (открыл письмо и вложеный файл)

Антивмрус был 360 тотал секурити

 

Файл редми следующего содержания

Baши фaйлы были зaшифpoвaны.
Чтобы рacшuфpoвать иx, Вам необxoдuмо oтnpaвumь кoд:
D22FE02000699312DD06|0
нa элекmpонный aдpес pilotpilot088@gmail.com .
Далее вы noлучuте вce нeoбхoдимые инстpуkцuu.
Попытku pасшuфровать cамосmoяmeльнo нe nриведym ни k чeмy, kpoме бeзвoзвpaтной пoтеpu инфoрмaции.
Eслu вы всё жe хоmите поnыmаmься, то прeдварuтeльнo cдeлaйте резервные kоnuu фaйлoв, uначе в слyчае
uх uзменения paсшuфровка cmaнem нeвозмoжной нu npu kaкux yслoвияx.
Если вы не полyчилu оmвeта nо вышеyказaнному адpeсу в тeчeние 48 чаcов (u тольkо в эmом случае!),
вocnoльзуйтecь фopмой обpamнoй связu. Эmo можнo сделaть двумя cпоcoбами:
1) Сkачaйтe u yстaновите Tor Browser nо cсылке: https://www.torproject.org/download/download-easy.html.en
В адpеснoй сmрoкe Tor Browser-a введитe адрес:
и нажмиmе Enter. 3aгpyзиmcя cmpaница с фoрмoй обрamнoй связu.
2) B любoм бpаyзере пеpeйдumе по одномy из aдресов:
 
Установил логгер, результат работы во вложении

Файл во вложении

CollectionLog-2018.12.14-16.59.zip

Опубликовано

Здравствуйте!

 

Расшифровки этой версии к сожалению нет. Но вымогатель активен.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe');
 TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe');
 TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe');
 TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe');
 TerminateProcessByName('c:\progra~3\softwa~1\nheqmi~1.exe');
 QuarantineFile('c:\progra~3\softwa~1\nheqmi~1.exe', '');
 QuarantineFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', '');
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Resources\svchost.exe', '');
 QuarantineFile('C:\ProgramData\services\csrss.exe', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', '');
 QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', '');
 QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', '');
 QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', '');
 DeleteFile('c:\progra~3\softwa~1\nheqmi~1.exe');
 DeleteFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', '32');
 DeleteFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', '64');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '64');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '32');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '64');
 DeleteFile('C:\ProgramData\services\csrss.exe', '32');
 DeleteFile('C:\ProgramData\services\csrss.exe', '64');
 DeleteFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '64');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', '');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', '64');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', '');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', '64');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', '');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', '64');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', '');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SafeWeb

Менеджер браузеров

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Опубликовано (изменено)

Файл quarantine.zip отправил, 

Свежий Collection.log во вложении

 


ответ от newvirus@kaspersky.com KLAN-9300635936

CollectionLog-2018.12.17-13.20.zip

Изменено пользователем Стас67
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Опубликовано

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Опубликовано

Продолжаем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • рарук
      Автор рарук
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      FD1FACE47FA84A930EB6|0
      на электронный адрес post8881@gmail.com или post24932@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      FD1FACE47FA84A930EB6|0
      to e-mail address post8881@gmail.com or post24932@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
    • tankopia
      Автор tankopia
      У сестры на компьютере файлы зашифровались  и на рабочем столе черный экран типа такого (вложение 111111) высылаю вам несколько закодрованных файлов и файл readmy
       
      текст файла readmy
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      F1F716AE701CE60103D6|0
      на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      F1F716AE701CE60103D6|0
      to e-mail address decodefile001@gmail.com or decodefile002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
      Помогите пожалуйста, сделайте дескриптор. У сестры мног оважных документов пропало(((.
      Очень вас прошу.

      17-10-2015_22-42-28.zip
    • MonsterIsGood
      Автор MonsterIsGood
      Зашифрованы в основном фотографии и документы doc

      Kaspersky Virus Removal Tool Ничего не обнаружил

      Заранее спасибо!

      Логи:

      CollectionLog-2015.10.18-22.38.zip
    • Наталия Болясова
      Автор Наталия Болясова
      На компьютере зашифрованы все файлы. Около 50 Гб. Видео,фото,аудио. "Порядок оформления запроса о помощи" соблюден.
       
      Помогите,пожалуйста,спасти файлы!
    • виктория виктория
      Автор виктория виктория
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      1514D705323F4A305004|0
      на электронный адрес files100001@gmail.com или files100002@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      1514D705323F4A305004|0
      to e-mail address files100001@gmail.com or files100002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.                                                                                                                                                                                                                   ЧТО ДЕЛАТЬ?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы
×
×
  • Создать...