Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Вирус шифровальщик id-7A40A1B8.[youneedfiles@india.com].adobe

malyshok.d
 Поделиться

Рекомендуемые сообщения

malyshok.d Новичок

malyshok.d

Опубликовано
Опубликовано (изменено)

Здравствуйте, на компьютере (сервере) активировался вирус-шифровальщик id-7A40A1B8.[youneedfiles@india.com].adobe. Видимо через почту. Зашифровало всё, даже файлы винды. Большинство из них. Стояло резервное копирование на другой диск, но и архивы так же зацепило. Файл с самим вирусом нашел (exe.exe) сидел в StartUp и Sysytem32. После удаления в безопасном режиме перестал активироваться сам и всплывающие окна с требованием! \

Прикрепляю файл логов сделанный с помощью программы AutoLogger-test

CollectionLog-2019.01.17-09.59.zip

Изменено пользователем malyshok.d
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\exe.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\exe.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteService('DCgE');
 DeleteService('edPO');
 DeleteService('gJNe');
 DeleteService('IeRB');
 DeleteService('iGoT');
 DeleteService('ndME');
 DeleteService('SveB');
 DeleteService('XTVH');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', 'x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis (некоторых строк может не быть):

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\exe.exe    ->    (PE EXE)
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - HKLM\..\Run: [exe.exe] = C:\Windows\System32\exe.exe  (file missing)
O4 - Startup other users: C:\Users\oracle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\exe.exe    ->    (PE EXE)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
malyshok.d Новичок

malyshok.d

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\exe.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\exe.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteService('DCgE');
 DeleteService('edPO');
 DeleteService('gJNe');
 DeleteService('IeRB');
 DeleteService('iGoT');
 DeleteService('ndME');
 DeleteService('SveB');
 DeleteService('XTVH');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', 'x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis (некоторых строк может не быть):

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\exe.exe    ->    (PE EXE)
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - HKLM\..\Run: [exe.exe] = C:\Windows\System32\exe.exe  (file missing)
O4 - Startup other users: C:\Users\oracle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\exe.exe    ->    (PE EXE)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

Спасибо сейчас сделаю...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)

    • Olga650
      вирус шифровальщик (.1mJ3g1TA4)
      Автор Olga650
      Addition.txtFRST.txtТабель 2025 (.1mJ3g1TA4)  ссылка удалена облако с вирусом (без пароля)
      Отчёт Касперского.txt 1mJ3g1TA4.README.txt  Поймали вирус шифровальщик 26.02. Антивирус не стоял. После был установлен Касперский стандарт. Стандартные решения по расшифровке не помогли. Удалось найти несколько документов оригиналов, до шифровки и после.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы, а также ссылки на них.
       
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
    • Андрей2029
      Kaspersky Plus и продукты Adobe
      Автор Андрей2029
      Добрый день. С нредавних пор, порядка месяца постоянно вижу вот такие сообщения:

      Каждый раз новый адрес и порт, но все это касается только Adobe. Разумеется. в системе стоит лицензионный пакет Adobe Creative Cloud с набором софта, и разумеется, в исключения я все добавлял и ни раз. Каждый день, несколько раз за день вижу эти окошки. Можно как-то такое поведение Касперского Плюс изменить, ибо дастало?
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      Автор CreativeArch
      Log.7z
×
×
  • Создать...