id-F6FDADCC.[youneedfiles@india.com].adobe

[gazinur]

что с этим делать? зашифровал кучу файлов

CollectionLog-2019.01.24-14.40.zip

[akoK]

https://forum.kasperskyclub.ru/index.php?showtopic=61722- эта тема дубль?

[gazinur]

да, я первый раз писал, и там не нашел кнопки удалить тему

https://forum.kasperskyclub.ru/index.php?showtopic=61722- эта тема дубль?

[akoK]

Судя по названию темы у вас Dharma (.cezar Family), для этой версии пока нет дешифратора.Будет только чистка системы.

 

Логи сделали устаревшей версией автологера - вот нужная https://tools.safezone.cc/drongo/test/AutoLogger-test.zip

Изменено 24 января, 2019 пользователем akoK

[gazinur]

вот логи в нужной версии, так мне мои файлы нет возможности запустить больше?

Судя по названию темы у вас Dharma (.cezar Family), для этой версии пока нет дешифратора.Будет только чистка системы.

 

Логи сделали устаревшей версией автологера - вот нужная https://tools.safezone.cc/drongo/test/AutoLogger-test.zip

 

CollectionLog-2019.01.24-16.37.zip

[akoK]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\NewExt\nssm.exe','');
 QuarantineFile('zCdF.sys','');
 QuarantineFile('yCwp.sys','');
 QuarantineFile('gjJO.sys','');
 QuarantineFile('C:\Windows\System32\spool\Logs\svchost.exe','');
 DeleteFile('C:\Windows\System32\spool\Logs\svchost.exe','32');
 DeleteFile('gjJO.sys','64');
 DeleteFile('yCwp.sys','64');
 DeleteFile('zCdF.sys','64');
 DeleteService('gjJO');
 DeleteService('zCdF');
 DeleteService('yCwp');
 DeleteSchedulerTask('updatev');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

 

Компьютер перезагрузится. 

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

 

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O18 - HKLM\Software\Classes\Protocols\Handler\ms-help: [CLSID] = {314111C7-A502-11D2-BBCA-00C04F8EC294} - (no file)
O23 - Service S2: gjJO - C:\Windows\system32\cmd.exe /c powershell -w 1 -C "sv yD (далее много текста)
O23 - Service S2: yCwp - C:\Windows\system32\cmd.exe /c powershell -w 1 -C "sv yDL -;sv Xvq ec;sv z (далее много текста)
O23 - Service S2: zCdF - C:\Windows\system32\cmd.exe /c powershell -w 1 -C "sv yDL -;sv Xvq ec;sv z (далее много текста)

 

•  

• Скачайте AdwCleaner и сохраните его на Рабочем столе.

• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

Изменено 24 января, 2019 пользователем akoK

[gazinur]

вот это вышло

[regist]

@gazinur, инструкции внимательней читать надо. Там написано, где AVZ находится.

[gazinur]

понял,спасибо, отправил жду ответа с newvirus@kaspersky.com

[akoK]

Дальше есть еще инструкция которую можно выполнить пока идет анализ

[gazinur]

newvirus [KLAN-9502967538]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
svchost.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.jwhy

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

O18 - HKLM\Software\Classes\Protocols\Handler\ms-help: [CLSID] = {314111C7-A502-11D2-BBCA-00C04F8EC294} - (no file)

O23 - Service S2: gjJO - C:\Windows\system32\cmd.exe /c powershell -w 1 -C "sv yD (далее много текста)
O23 - Service S2: yCwp - C:\Windows\system32\cmd.exe /c powershell -w 1 -C "sv yDL -;sv Xvq ec;sv z (далее много текста)
O23 - Service S2: zCdF - C:\Windows\system32\cmd.exe /c powershell -w 1 -C "sv yDL -;sv Xvq ec;sv z (далее много текста)

была только 1 строчка, пофиксил

AdwCleanerS00.txt

[akoK]

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Настройки отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[gazinur]

вроде все?

там вирусы не нашлись поэтому кнопку не нажимал clean and repair

AdwCleanerS01.txt

FRST.txt

Addition.txt

Изменено 24 января, 2019 пользователем gazinur

[gazinur]

ну как бы файлы зашифрованы остались, это так и останется да? )

[akoK]

ну как бы файлы зашифрованы остались, это так и останется да? )

Да, пока не появится дешифратор. Сохраните зашифрованное отдельно + письмо вымогателей.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-1912503722-895821702-2121432576-1001\...\MountPoints2: {dc43cdce-a61b-11e7-82c6-201a060c9324} - "I:\Setup.exe" 
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
  ContextMenuHandlers3: [UnlockerShellExtension] -> {DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} =>  -> No File
  ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
  ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> No File
  ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
  ContextMenuHandlers6: [UnlockerShellExtension] -> {DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} =>  -> No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.