Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте, поймали шифровальщик. подскажите, что делать? Можно ли восстановить бэкапы базы?

post-52686-0-70402700-1548081188_thumb.png

Опубликовано (изменено)

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('c:\windows\media\long\certsvc.exe', '');
 QuarantineFile('c:\windows\migration\wtr\ime\imonset.exe', '');
 QuarantineFile('c:\windows\vpnplugins\servicing\ibhost.exe', '');
 QuarantineFile('C:\Windows\winNT.dll', '');
 QuarantineFileF('c:\windows\media\long\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('c:\windows\vpnplugins\servicing', '');
 DeleteFile('c:\windows\media\long\certsvc.exe');
 DeleteFile('c:\windows\migration\wtr\ime\imonset.exe');
 DeleteFile(''c:\windows\vpnplugins\servicing\ibhost.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузите вручную.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Эти батники вам знакомы?



c:\sm2000\cash_restart.cmd
c:\optimizer\run.cmd
c:\backuper\start.bat

"Пофиксите" в HijackThis:


O4 - Startup other users: C:\Users\DiWiZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt
O4 - Startup other users: C:\Users\DiWiZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\email-tapok@tuta.io.ver-CL 1.5.1.0.id-206820879-915636319776137253601.fname-README.txt.doubleoffset
O4-32 - HKLM\..\Run: [3453577] = 3453577  (file missing)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\vpnplugins\servicing\ibhost.exe

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 
+ Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

Изменено пользователем regist
Опубликовано

 

 


Полученный ответ сообщите здесь (с указанием номера KLAN)
Где?
Опубликовано

KLAN-9485736440

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
certsvc.exe
ibhost.exe
winNT.dll

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
imonset.exe - UDS:DangerousObject.Multi.Generic

Опубликовано

@DePacos, просьба закачайте этот архив с карантином на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.
 

Опубликовано

Будет добавлено детектирование:

winNT.dll - Trojan.Win64.Agent.qwhupr

certsvc.exe - Trojan-Spy.Win32.Agent.jsxn

Так что смените все пароли, после окончания лечения смените ещё раз.


Выполните скрипт AVZ

begin
 QuarantineFile('C:\Windows\winNT.dll','');
 DeleteFile('C:\Windows\winNT.dll','64');
ExecuteSysClean;
end.

после выполнения скрипта перезагрузите систему вручную.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

Опубликовано (изменено)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    AppInit_DLLs: winNT.dll => No File
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\AppData\Roaming\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\�������������\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\�������������\AppData\README.txt
    2019-01-21 00:30 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Admins\Desktop\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\AppData\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\AppData\LocalLow\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\Downloads\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\Documents\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\AppData\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\AppData\LocalLow\README.txt
    2019-01-21 00:29 - 2019-01-21 00:29 - 000000056 _____ C:\Program Files\README.txt
    2019-01-21 00:22 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Default\AppData\README.txt
    2019-01-21 00:22 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Default User\AppData\README.txt
    2019-01-20 23:00 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\README.txt
    2019-01-20 23:00 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\AppData\Roaming\README.txt
    2019-01-20 23:00 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Admins\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 23:00 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Admins\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\Documents\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\Documents\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\Documents\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Public\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Public\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Merofako\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Merofako\Documents\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\README.txt
    2019-01-20 01:05 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ C:\Program Files\Common Files\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ C:\Program Files (x86)\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Trusted\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\TARTAR\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\olegon\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Grisha\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:03 - 2019-01-21 00:30 - 000001282 _____ C:\Users\DiWiZ\Documents\README.txt
    2019-01-20 01:03 - 2019-01-21 00:30 - 000001282 _____ C:\Users\DiWiZ\AppData\Roaming\README.txt
    2019-01-20 01:03 - 2019-01-21 00:30 - 000001282 _____ C:\Users\Default\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000000056 _____ C:\Users\DiWiZ\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000000056 _____ C:\Users\DiWiZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
    2019-01-20 01:03 - 2019-01-20 01:05 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:02 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Public\Documents\README.txt
    2019-01-20 01:02 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Public\Desktop\README.txt
    2019-01-20 01:02 - 2019-01-21 00:29 - 000001282 _____ C:\Users\Все пользователи\README.txt
    2019-01-20 01:02 - 2019-01-21 00:29 - 000001282 _____ C:\ProgramData\README.txt
    2019-01-21 00:29 - 2019-01-21 00:29 - 000000056 _____ () C:\Program Files\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ () C:\Program Files (x86)\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ () C:\Program Files\Common Files\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ () C:\Program Files (x86)\Common Files\README.txt
    EmptyTemp:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Изменено пользователем regist
Опубликовано

Вы для скрипта от имени адмистратора запускали? Надо было от админа. Переделайте ещё раз выполнение скрипта.

+ При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Михаил Пряженцев
      Автор Михаил Пряженцев
      Доброе время всем, на работе случилось несчастье, вордовские файлы зашифровались, подцепил вирус в письме по электронке! помогите расшифровать
      заранее благодарен
    • Натали Инфинити
      Автор Натали Инфинити
      Рабочий комп заразился вирусом, который большую часть важных баз данных и прочих файлов переименовал в подобные имена файлов:
      email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-JWNUVCILOLORVYYEELORXBEHKNQXDGKNTWZD-05.11.2015 12@56@411479365.randomname-LNOYNAKHBVROPPMGQMJDNHEXHBVSCV.HNR.cbf

      Kaspersky Virus Removal Tool показал следующее:
       

       
      Запуск AVZ собрал вот эти логи (судя по инструкции):
       
      KL_syscure.zip
    • Bambuk72
      Автор Bambuk72
      Добрый день!
      Пользователь получил письмо и запустил прикрепленный файл.
      Результат не заставил себя ждать. Файлы зашифрованы.
      Посмотрите пожалуйста.
      CollectionLog-2015.11.06-16.24.zip
    • ProntoAndrey
      Автор ProntoAndrey
      Здравствуйте! При обычной работе с почтовой программой Bat и обработке почтовых писем в один момент все файлы превратились в формат .cbf и через часа два на рабочем столе образовалась надпись "Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почтуiizomer@aol.com ..."
      Все файлы зашифрованы и переименованы в "email-iizomer@aol.com.ver-CL 1.2.0.0.id-OOPQRSSSTUVVWXXXYZAABBCCDEFFGGHHIJKK-02.11.2015 14@07@511428102.randomname-PQQRCCDDEFFGHHHIJKKLMMMNOOPQQQ.SST"
      Что делать и как быть? Очень нужно восстановить документы.
      Прошу о помощи.
      CollectionLog-2015.11.05-16.32.zip
    • GansZ
      Автор GansZ
      Логи новые
      CollectionLog-2015.11.04-10.58.zip
      New folder.rar
×
×
  • Создать...