Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. Помогите разобраться с проблемой.

На одном из рабочих ПК все файлы зашифровались.

Скорее почту с вирусом открыли или флешка с другом на борту была.

 

На логических дисках появились файлы Readme с текстом

 

Bашu файлы былu зaшифpoвaны.
Чmoбы расшифрoвamь их, Baм нeобxoдuмo oтпрaвuть koд:
E9C3CD2652937F05EF06|0
нa электpoнный адpеc pilotpilot088@gmail.com .
Далее вы noлyчитe все необходимые инструkцuи.

 

 

Бесплатными сканерами от Касперского и Дк. Вэба, пользовался. Удалил трояны.

 

Прилагаю логи от AVZ, Farbar Recovery Scan Tool, AutoLogger

 

В архиве аrchive_files_crypted000007.zip

несколько зашифрованых файлов и файлы ридми

 

еще лог от virusinfo  -> ссылка на архив (22мб)

Залил на обменик т.к. огранич. здесь.

Farbar_Recovery_Scan.zip

CollectionLog-2019.02.12-16.07.zip

Archive_files_crypted000007.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe', '');
 QuarantineFile('C:\ProgramData\services\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFileF('C:\ProgramData\Drivers\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\Windows\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 DeleteFile('C:\ProgramData\services\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFileMask('C:\ProgramData\Drivers\', '*', true);
 DeleteFileMask('C:\ProgramData\Windows\', '*', true);
 DeleteDirectory('C:\ProgramData\Drivers\');
 DeleteDirectory('C:\ProgramData\Windows\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem', 'command', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS', 'command', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Session Manager', 'command', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 


еще лог от virusinfo -> ссылка на архив (22мб) Залил на обменик т.к. огранич. здесь.

 

403

вам запрещено это действие, этот файл приватный и ваш ключ неправильный

Ссылка на комментарий
Поделиться на другие сайты

Если бы вы прочли инструкцию, то увидели бы, что:

Утилита AVZ находится в папке ..\AutoLogger\AVZ, т.е. там, откуда Вы запускали автоматический сборщик логов

Ссылка на комментарий
Поделиться на другие сайты

Заново все проделал

 

virusinfo_log ссылка на файловобменик

 

Архивы с назв. system32 and virus_crypter00007 зашиф.файлы

CollectionLog-2019.02.18-09.24.zip

Farbar Recovery Scan.zip

quarantine.zip

System32.zip

virus_crypter00007.zip

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {0102f43b-f734-11e1-9b22-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {023295cc-fbf8-11e1-9c0f-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {023295ce-fbf8-11e1-9c0f-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {023295d0-fbf8-11e1-9c0f-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {33305656-f805-11e1-93ba-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {3330565b-f805-11e1-93ba-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {3c881351-19ac-11e2-b434-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {3c881353-19ac-11e2-b434-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {4b2c477e-1295-11e2-aff0-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {528a1514-0084-11e2-8778-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {57150c55-f71b-11e1-92fb-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {57150c6a-f71b-11e1-92fb-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {674d435a-0217-11e2-9d56-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {674d435c-0217-11e2-9d56-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {8c26f293-9b66-11e5-8489-005056c00008} - G:\LaunchU3.exe -a
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {b077fb76-39ef-11e2-8241-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {b4f40d40-cc18-11e1-bed2-806e6f6e6963} - F:\AUTORUN.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {d7044fa6-f016-11e1-89a6-806e6f6e6963} - E:\AUTORUN.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HomePage: Default -> inline.go.mail.ru
    C:\Users\Roman\AppData\Local\Google\Chrome\User Data\Default\Extensions\necfmkplpminfjagblfabggomdpaakan
    C:\Users\Roman\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme
    C:\Users\Roman\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf
    C:\Users\Roman\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmpoaahleccaibbhfjfimigepmfmmbbk
    2019-02-11 08:54 - 2019-02-11 12:57 - 000000000 __SHD C:\ProgramData\services
    2019-02-11 08:54 - 2019-02-11 11:36 - 000000000 __SHD C:\ProgramData\Resources
    2019-02-11 08:54 - 2019-02-11 08:54 - 006220854 _____ C:\Users\Roman\AppData\Roaming\2D3F6EFF2D3F6EFF.bmp
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README9.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README8.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README7.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README6.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README5.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README4.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README3.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README2.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README10.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README1.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README9.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README8.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README7.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README6.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README5.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README4.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README3.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README2.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README10.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README1.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000000000 __SHD C:\ProgramData\SysWOW64
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README9.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README8.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README7.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README6.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README5.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README4.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README3.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README2.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README10.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README1.txt
    FirewallRules: [{AD24E643-658D-47AD-87DF-CBA00133AF30}] => (Allow) C:\GV-600\GV600.exe No File
    FirewallRules: [{32D852C2-7660-4496-AD2B-5DD61EDED06B}] => (Allow) C:\GV-600\GV600.exe No File
    FirewallRules: [{BE505CC5-630C-4807-B34A-C114BE6A792F}] => (Allow) C:\GV-NVR\CMSvr.exe No File
    FirewallRules: [{CB99E811-D2D7-4F21-A36F-5A5CCF1C51DF}] => (Allow) C:\GV-NVR\CMSvr.exe No File
    FirewallRules: [{1A60D224-7788-47B7-B501-2B7CDCD12751}] => (Allow) C:\GV-NVR\CMShttpSvr.exe No File
    FirewallRules: [{96AFBEF2-A494-4510-B437-ADAE56587CEE}] => (Allow) C:\GV-NVR\CMShttpSvr.exe No File
    FirewallRules: [{5884EB88-6E00-4D9B-9D26-BD4FC11282F4}] => (Allow) C:\GV-NVR\GVNVR.exe No File
    FirewallRules: [{2EEE5A27-6A90-41E6-9519-452C3008A42A}] => (Allow) C:\GV-NVR\GVNVR.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо всем кто откликнулся на мою проблему.

Зашиф. файлы записал на ДВД.

Систему снес, поставил с нуля, т.к. запросили ПК (работать надо на нем).

Соотв. выше операц. выполнить не могу.

Данные похоронили. 

Ссылка на комментарий
Поделиться на другие сайты

Расшифровка вряд ли появится в ближайшее время. Сносить систему не было необходимости.

 

На будущее: Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Расшифровка вряд ли появится в ближайшее время. Сносить систему не было необходимости.

 

На будущее: Рекомендации после удаления вредоносного ПО

система давно не обслуживалась, и там черт ногу поломает. За консультации и помощь всем спасибо.

Ссылка на комментарий
Поделиться на другие сайты

@joker84, на будущее в таких случаях лучше не только файлы записывать, а делать образ диска. Ибо для рассшировки (если она появится) могут потребоваться дополнительные файлы или ветки реестра созданные при работе вируса.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Leo_Pahomov
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • Leo_Pahomov
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • gin
      От gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
    • ArAREM
      От ArAREM
      Здравствуйте!
      Около двух месяцев назад на корпоративный сервер организации попал вирус-шифровальщик. Все базы данных 1C и важные файлы были зашифрованы. На данный момент уже проведены все мероприятия для восстановления работоспособности и налаживания безопасности, однако после этого инцидента остался жесткий диск с сервера с зашифрованными на нём файлами. Исходя из всех проведенных проверок - самого вирус-шифровальщика на нём уже нет. Файл FRST не смогу предоставить, так как накопитель уже не используется на сервере и по сути просто лежит у обслуживающей организации ожидая выхода дешифратора.
      В свою очередь изначально в качестве одного из "условий" сделки, которую мы, естественно, не стали проводить после получения необходимого файла, нам удалось убедить злоумышленников расшифровать один из наших файлов для подтверждения возможности расшифровки. Возможно это как-то поможет в подборе дешифратора.
      В архиве будут представлены: текст с требованием, а также два других зашифрованных файла малого размера (архив Files).
      Хотел также прикрепить дополнительно образец расшифрованного файла базы данных Excel ДО и ПОСЛЕ расшифровки, но каждый из них весит по 3 мб, поэтому форма заполнения обращения не позволяет прикрепить их оба. В связи с чем в архиве (Sample) прикреплю уже расшифрованный файл. Если дополнительно понадобится версия файла ДО расшифровки, то предоставлю отдельным сообщением.
      Files KP.zip Sample.zip
    • DmitriyDy
      От DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
×
×
  • Создать...