Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день!


Днем шифровальщик в хаотичном порядке зашифровал файлы (включая БД) на одном сервере с расширением .doubleoffset


Касперский имел последние обновление и работал в это время.


 


Лог файлы прилагаю, включая пример зараженного файла и сопроводительного файла с контактами .txt (email-3nity@tuta.io...rar)


 


 


FRST.rar

CollectionLog-2019.06.25-17.39.zip

email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-DoNotCopy.txt.rar

Опубликовано

Здравствуйте.

 

Пофиксите в HiJackThis следующие строчки:

O26 - Debugger: HKLM\..\360Safe.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rps.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360sd.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360tray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KSWebShield.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVSrvXp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KsafeTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Kwatch.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCRTP.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\RSTRAY.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\SHSTAT.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Storm.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avcenter.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avgnt.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avguard.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cfp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cmdagent.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kavstart.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kissvc.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kvxp.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\ravmond.exe: [Debugger] = C:\Windows\system32\taskkill.exe

Сделайте такой лог  https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/ . Самостоятельно ничего не удаляйте!

  • Согласен 2
Опубликовано

Здравствуйте.

 

Пофиксите в HiJackThis следующие строчки:

O26 - Debugger: HKLM\..\360Safe.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rps.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360sd.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360tray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KSWebShield.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVSrvXp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KsafeTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Kwatch.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCRTP.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\RSTRAY.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\SHSTAT.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Storm.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avcenter.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avgnt.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avguard.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cfp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cmdagent.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kavstart.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kissvc.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kvxp.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\ravmond.exe: [Debugger] = C:\Windows\system32\taskkill.exe

Сделайте такой лог  https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/ . Самостоятельно ничего не удаляйте!

 

Сделал согласно инструкции в HiJackThis, но списке нет O26, только O2, O4, O8. O9, O10, O11, O16, O17, O18, O23

Опубликовано

HJT использовали версии 2.9.0.19?

 

Скачал свежую версию с гитхаба, сразу нашлась секция О26 - пофиксил.

 

лог Malwarebytes в закрепе.

.

При необходимости попробую поискать нетронутые бекапы с оригинальными файлами завтра. 

malware.rar

Опубликовано

C:\USERS\MOCUSERCAXARTERM\DESKTOP\DOSTUP.EXE
C:\WINDOWS\SYSTEM\LSASS.EXE

Упакуйте в zip архив с паролем и именем virus и пришлите карантин через данную форму  https://virusinfo.info/upload_virus.php?tid=37678

+ Пришлите еще зашифрованный файл более 100 КБ и его незашифрованную копию в архиве.

  • Согласен 1
Опубликовано

+++ а мне пришлите пару файлов зашифрованный и его оригинал, спасибо.

  • Согласен 1
Опубликовано
C:\USERS\MOCUSERCAXARTERM\DESKTOP\DOSTUP.EXE
C:\WINDOWS\SYSTEM\LSASS.EXE

Упакуйте в zip архив с паролем и именем virus и пришлите карантин через данную форму  https://virusinfo.info/upload_virus.php?tid=37678

+ Пришлите еще зашифрованный файл более 100 КБ и его незашифрованную копию в архиве.

 

 

Карантин выслал. Файлы зараженные+оригинал выложил на обменник. Ссылку отправил Вам в лс.

Опубликовано

Выражаю благодарность консультантам akoK и mike 1 за оперативную техническую поддержку. На данный момент проблема устранена полностью. :pioner:

  • Согласен 1
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Опубликовано

В MBAM удалите все найденное. Смените все пароли. Смените пароль от RDP. Закройте подключение извне по RDP, сделайте чтобы можно было подключаться только через VPN к серверу. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Михаил Пряженцев
      Автор Михаил Пряженцев
      Доброе время всем, на работе случилось несчастье, вордовские файлы зашифровались, подцепил вирус в письме по электронке! помогите расшифровать
      заранее благодарен
    • Натали Инфинити
      Автор Натали Инфинити
      Рабочий комп заразился вирусом, который большую часть важных баз данных и прочих файлов переименовал в подобные имена файлов:
      email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-JWNUVCILOLORVYYEELORXBEHKNQXDGKNTWZD-05.11.2015 12@56@411479365.randomname-LNOYNAKHBVROPPMGQMJDNHEXHBVSCV.HNR.cbf

      Kaspersky Virus Removal Tool показал следующее:
       

       
      Запуск AVZ собрал вот эти логи (судя по инструкции):
       
      KL_syscure.zip
    • Bambuk72
      Автор Bambuk72
      Добрый день!
      Пользователь получил письмо и запустил прикрепленный файл.
      Результат не заставил себя ждать. Файлы зашифрованы.
      Посмотрите пожалуйста.
      CollectionLog-2015.11.06-16.24.zip
    • ProntoAndrey
      Автор ProntoAndrey
      Здравствуйте! При обычной работе с почтовой программой Bat и обработке почтовых писем в один момент все файлы превратились в формат .cbf и через часа два на рабочем столе образовалась надпись "Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почтуiizomer@aol.com ..."
      Все файлы зашифрованы и переименованы в "email-iizomer@aol.com.ver-CL 1.2.0.0.id-OOPQRSSSTUVVWXXXYZAABBCCDEFFGGHHIJKK-02.11.2015 14@07@511428102.randomname-PQQRCCDDEFFGHHHIJKKLMMMNOOPQQQ.SST"
      Что делать и как быть? Очень нужно восстановить документы.
      Прошу о помощи.
      CollectionLog-2015.11.05-16.32.zip
    • GansZ
      Автор GansZ
      Логи новые
      CollectionLog-2015.11.04-10.58.zip
      New folder.rar
×
×
  • Создать...