Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день!


Днем шифровальщик в хаотичном порядке зашифровал файлы (включая БД) на одном сервере с расширением .doubleoffset


Касперский имел последние обновление и работал в это время.


 


Лог файлы прилагаю, включая пример зараженного файла и сопроводительного файла с контактами .txt (email-3nity@tuta.io...rar)


 


 


FRST.rar

CollectionLog-2019.06.25-17.39.zip

email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-DoNotCopy.txt.rar

Опубликовано

Здравствуйте.

 

Пофиксите в HiJackThis следующие строчки:

O26 - Debugger: HKLM\..\360Safe.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rps.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360sd.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360tray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KSWebShield.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVSrvXp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KsafeTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Kwatch.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCRTP.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\RSTRAY.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\SHSTAT.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Storm.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avcenter.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avgnt.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avguard.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cfp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cmdagent.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kavstart.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kissvc.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kvxp.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\ravmond.exe: [Debugger] = C:\Windows\system32\taskkill.exe

Сделайте такой лог  https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/ . Самостоятельно ничего не удаляйте!

  • Согласен 2
Опубликовано

Здравствуйте.

 

Пофиксите в HiJackThis следующие строчки:

O26 - Debugger: HKLM\..\360Safe.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rps.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360sd.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360tray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KSWebShield.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVSrvXp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KsafeTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Kwatch.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCRTP.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\RSTRAY.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\SHSTAT.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Storm.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avcenter.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avgnt.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avguard.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cfp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cmdagent.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kavstart.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kissvc.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kvxp.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\ravmond.exe: [Debugger] = C:\Windows\system32\taskkill.exe

Сделайте такой лог  https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/ . Самостоятельно ничего не удаляйте!

 

Сделал согласно инструкции в HiJackThis, но списке нет O26, только O2, O4, O8. O9, O10, O11, O16, O17, O18, O23

Опубликовано

HJT использовали версии 2.9.0.19?

 

Скачал свежую версию с гитхаба, сразу нашлась секция О26 - пофиксил.

 

лог Malwarebytes в закрепе.

.

При необходимости попробую поискать нетронутые бекапы с оригинальными файлами завтра. 

malware.rar

Опубликовано

C:\USERS\MOCUSERCAXARTERM\DESKTOP\DOSTUP.EXE
C:\WINDOWS\SYSTEM\LSASS.EXE

Упакуйте в zip архив с паролем и именем virus и пришлите карантин через данную форму  https://virusinfo.info/upload_virus.php?tid=37678

+ Пришлите еще зашифрованный файл более 100 КБ и его незашифрованную копию в архиве.

  • Согласен 1
Опубликовано

+++ а мне пришлите пару файлов зашифрованный и его оригинал, спасибо.

  • Согласен 1
Опубликовано
C:\USERS\MOCUSERCAXARTERM\DESKTOP\DOSTUP.EXE
C:\WINDOWS\SYSTEM\LSASS.EXE

Упакуйте в zip архив с паролем и именем virus и пришлите карантин через данную форму  https://virusinfo.info/upload_virus.php?tid=37678

+ Пришлите еще зашифрованный файл более 100 КБ и его незашифрованную копию в архиве.

 

 

Карантин выслал. Файлы зараженные+оригинал выложил на обменник. Ссылку отправил Вам в лс.

Опубликовано

Выражаю благодарность консультантам akoK и mike 1 за оперативную техническую поддержку. На данный момент проблема устранена полностью. :pioner:

  • Согласен 1
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Опубликовано

В MBAM удалите все найденное. Смените все пароли. Смените пароль от RDP. Закройте подключение извне по RDP, сделайте чтобы можно было подключаться только через VPN к серверу. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • rbcfvehvze
      Автор rbcfvehvze
      Файлы зашифрованы и переименованы в moshiax@aol.com
      http://rghost.ru/7hZgmxHL7
       
      http://rghost.ru/7rHT7qf9W
       
      посадил дед р е п к у вышел репка и убил дедку на moshiax@mail.ua
    • nkf
      Автор nkf
      Вирус зашифровал с расширением cbf
      Прилагаю шифровальщика
       
      Заранее благодарю
       

      Строгое предупреждение от модератора thyrex Не нужно выкладывать зверье в общий доступ
    • гари
      Автор гари
      Добрый день!
      На рабочем столе вылезла надпись-твои файлы зашифрованы, если хочешь все вернуть-отправь 1 зашифрованный файл на почту : moshiax@aol.com  и так далее.
      прошу помочь!!!
      Лог прилагаю!
      С уважением Игорь(Гари)
      SHS.rar
    • гари
      Автор гари
      Помогите восстановить файлы, зараженные  moshiax@aol.com, во вложении один из криптованных файлов.
      Заранее спасибо
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы SHS.rar
    • Божков
      Автор Божков
      Вирус зашифровал все офисные файлы
      Получились файлы вот такие, пример 
      email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-POYGHEWRFAWSUQMINJFVSOJGXTPKKFCXCZGD-13.07.2015 11@35@051467005.randomname-AEQHISUDRJNQQTXGWAJMISWRXGDGRV.XBV.cbf
       
      Как лечить не знаю.
      virus.rar
×
×
  • Создать...