Перейти к содержанию
Интервью с экспертом: задай вопрос Лере Прокопенко, системному аналитику Kaspersky eSIM Store

[РЕШЕНО] шифровальщик id-8650C123.[qqwp@tutanota.com].air

q3444
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

 QuarantineFile('C:\Users\Buh\AppData\Roaming\winhost.exe','');

 QuarantineFile('C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe','');

 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe','');

 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');

 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe','64');

 DeleteFile('C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe','64');

 DeleteFile('C:\Users\Buh\AppData\Roaming\winhost.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winhost.exe','x32');

 DeleteFile('C:\Users\Buh\AppData\Roaming\Info.hta','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Buh\AppData\Roaming\Info.hta','x32');

 DeleteFile('C:\Users\Buh\AppData\Roaming\winhost.exe','64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winhost.exe','x64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');

 DeleteFile('C:\Windows\System32\Info.hta','64');

 DeleteFile('C:\Users\KSU\AppData\Roaming\Info.hta','64');

 DeleteFile('C:\Users\Buh\AppData\Roaming\Info.hta','64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\KSU\AppData\Roaming\Info.hta','x64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Buh\AppData\Roaming\Info.hta','x64');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winhost.exe','x64');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Buh\AppData\Roaming\Info.hta','x64');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

4. Процитируйте ответ робота.

 

Сделайте новые логи Автологгером из обычного режима! 

 

q3444

q3444

Опубликовано
  • Автор
Опубликовано

При выполнениии первого скрипта авз ругается - Ошибка: Too many  actual parameters  в позиции 9:16

Sandor

Sandor

Опубликовано
Опубликовано

AVZ используйте ту, которая находится в папке ...\Autologger\AVZ

q3444

q3444

Опубликовано
  • Автор
Опубликовано

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код:
winhost.exe - Trojan-Ransom.Win32.Crusis.to
winhost_0.exe - Trojan-Ransom.Win32.Crusis.to
winhost_1.exe - Trojan-Ransom.Win32.Crusis.to

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=62461

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
        
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

CollectionLog-2019.04.05-12.00.zip

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

Startup: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-04-03] () [File not signed]

Startup: C:\Users\KSU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-04-02] () [File not signed]

Startup: C:\Users\KSU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2019-04-02] () [File not signed]

virustotal: C:\Users\KSU\AppData\Local\Temp\winhost.exe

2019-04-02 19:34 - 2019-03-19 21:32 - 000094720 ____H () C:\Users\KSU\AppData\Local\Temp\winhost.exe

Task: {764F7851-7B9F-4849-87EB-994CDC1AD2BC} - \cvc -> No File <==== ATTENTION

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::

WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]

WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

q3444

q3444

Опубликовано
  • Автор
Опубликовано

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-04-03] () [File not signed]
Startup: C:\Users\KSU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-04-02] () [File not signed]
Startup: C:\Users\KSU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2019-04-02] () [File not signed]
virustotal: C:\Users\KSU\AppData\Local\Temp\winhost.exe
2019-04-02 19:34 - 2019-03-19 21:32 - 000094720 ____H () C:\Users\KSU\AppData\Local\Temp\winhost.exe
Task: {764F7851-7B9F-4849-87EB-994CDC1AD2BC} - \cvc -> No File <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Выполнено!

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано

Лицензия на Антивирус Касперского у Вас имеется?

  • 1 месяц спустя...
mike 1

mike 1

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • zenit4ik
      Все файлы стали с расширением .arena
      Автор zenit4ik
      Нужна помощь. Сегодня с утра обнаружил, что все файлы приняли вид .xlsx.id-F4C56CBC.[payfordecrypt1@qq.com].arena Просто катастрофа. Помогите вернуть работоспособность хоть этому файлу или подскажите хоть , что делать ....
      РАБОТА (основа).xlsx.id-F4C56CBC.payfordecrypt1@qq.com.rar
    • Александр Жуков
      Вирус decrypex@tuta.io
      Автор Александр Жуков
      Доброго времени суток. Случилась вот такая беда - словили вирус-вымогатель на сервер c ОС Windows Server 2012R2 Standart.
      Зашифровались все данные, включая файлы форматов zip, rar, bak, mdf. 
      На сервер никто из пользователей не заходил. Подключились удаленно.
       
      У всех зараженных файлов поменялось расширение на JAVA и к имени добавилось "A0AED89E.decrypex@tuta.io".
       
      Может кто-то сталкивался с таким типом шифровки? 
       
      P.S. Вышел на диалог с вымогателями. Изначально просили 0,4 BTC (биткоина), после уговоров снизили цену до 1500$, что всё равно много.
      log28.11.17.txt
      Romexis - Сброс настроек - v2017-01-25.pdf.id-A0AED89E.decrypex@tuta.io.rar
      FILES ENCRYPTED.txt

      Check_Browsers_LNK.log
      HiJackThis.log
    • Arioh
      Дешифратор файлов Ransonware
      Автор Arioh
      Добрый день! официально может кто расшифровать файлы? 
    • Pivokarasi
      Шифровальщик зашифровал сервер
      Автор Pivokarasi
      Зашифровал в основном файлы .doc .xls .pdf .jpg .exe и другие. зашифровал примерно 70% файлов, по какому принципу выбирал - не понятно, 1с не тронул. Всем файлам к имени добавил id-32206A44.[db@all-ransomware.info].java (например: ViberSetup.exe.id-32206A44.[db@all-ransomware.info].java). Никаких требований нет.
      CollectionLog-2017.11.22-17.54.zip
    • khm_tech
      Шифровальщик картинок, БД и 1С [Parzexla@india.com].arena
      Автор khm_tech
      Добрый день.
      Помогите пожалуйста, сегодня столкнулись с невиданными действиями. Вирус зашифровал все картинки до которых смог добраться, MSSQL(базы, бэкапы), все ярлыки, все .exe файлы, базы 1С, стёр все теневые копии и что интересно, включил пользователя Гость, который еще утром был выключен и из под него всё было зашифровано, если не ошибаюсь(зашифрованные файлы помечены, что владелец "Гость").
       
      во вложении лог
      так же, во вложении пример зашифрованного файла
       
      Буду благодарен помощи!
      CollectionLog-2017.11.20-23.59.zip
      0001.jpg.id-0DFF0125.Parzexla@india.com.arena.zip
×
×
  • Создать...