Решена Расшифровать файлы - naverno Trojan Kotver

Статус
В этой теме нельзя размещать новые ответы.

Tomak

Новый пользователь
Сообщения
10
Реакции
0
Priklepliu paru zarazhonyx fajlov.

Prostite chto latinskije bukvy, ja nie iz Rosji.

Zarazheny i tesktobye fajly, i fotki i video.

Sposibo za pomoshch.

+ fajl iz AutoLogera
 

Вложения

  • Model_Release.pdf
    21.6 KB · Просмотры: 2
  • odpowiedzi.pdf
    152.3 KB · Просмотры: 0
  • CollectionLog-2016.11.12-00.31.zip
    96.6 KB · Просмотры: 7
Последнее редактирование:
Nikakix dokumentov s ugrazhenjami nenashol poka.
Posle zapuska Farbar Recovery Scan Tool takije otchety:
Esli chto est fajl i zarazhonyj i ne zarazhonyj tot zhe sam.
Tolko nashol takoj interesnyj fail - jesli otkryt cherez notepad++ mozhna uvidet spisak vsex peredelanyx fajlov: cl_data_18gmqs2dqc2SkTMZRT51ToPMKeyqAeBMw9.bak
 

Вложения

  • FRST64 fajly.zip
    36.5 KB · Просмотры: 1
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Tomash\AppData\Roaming\Macromedia\Caches\mdm','');
 QuarantineFile('C:\Users\Tomash\AppData\Local\Agworks\xcddulqb.dll','');
 QuarantineFile('C:\Users\Tomash\AppData\Local\Olkics\slkwybdj.dll','');
 DeleteFile('C:\Users\Tomash\AppData\Local\Olkics\slkwybdj.dll','32');
 DeleteFile('C:\Users\Tomash\AppData\Local\Agworks\xcddulqb.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\MdmUpdateTaskMachineCore','64');
 DeleteFile('C:\Users\Tomash\AppData\Roaming\Macromedia\Caches\mdm','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Eption');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Agworks');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!


Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 
Последнее редактирование:
Pismo vyslal, novye logi:
 

Вложения

  • CollectionLog-2016.11.12-16.14.zip
    98 KB · Просмотры: 0
  • report1.log
    511 байт · Просмотры: 0
  • report2.log
    1.7 KB · Просмотры: 0
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
C:\Users\Tomash\AppData\Local\c645\9716.lnk
AlternateDataStreams: C:\Windows:nlsPreferences [514]
AlternateDataStreams: C:\Windows\steam_api64.dll:BDU [0]
AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [118]
Task: {8CB15686-ABEA-4F6C-82C2-20963D153F96} - \eec125ee-832f-44ac-ab8b-a857362350e3-11 -> No File <==== ATTENTION
HKU\S-1-5-21-2254411139-718755899-994215963-1001\...\StartupApproved\StartupFolder: => "w0rm.vbs"
HKLM\...\StartupApproved\Run32: => "w0rm"
HKU\S-1-5-21-2254411139-718755899-994215963-1001\...\StartupApproved\Run: => "w0rm"
C:\Users\Tomash\AppData\Local\Temp\libeay32.dll
C:\Users\Tomash\AppData\Local\Temp\msvcr120.dll
C:\Users\Tomash\AppData\Local\Temp\ReimagePackage.exe
C:\Users\Tomash\AppData\Local\Temp\sqlite3.dll
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
 
Sdelano:
 

Вложения

  • Fixlog.txt
    2.9 KB · Просмотры: 1
cl_data_18gmqs2dqc2SkTMZRT51ToPMKeyqAeBMw9.bak прислать можете в архиве?
 
Neznat gde prislat, napisal vam lichnoe sobshchenje.
 
Получил, спасибо.

Занятный файл, но без тела шифровальшика сказать что-то определенное не представляется возможным. Разве что Kovter не шифрует файлы, а идет как довесок к Nemucod Ransomware, который меняет расширение у файлов
 
Tak chto delat dalshe ne znaete? Nikakix ideji net?
A jesli dam takoj zhe sam fajl zashyfrovan i xoroshyj?
 
А как Вы предлагаете определить алгоритм шифрования? Были бы сообщения от вымогателя, можно было бы информацию поискать
 
nikakix logov ili readme, decrypt/encrypt ili chevo nenashol :(
a tak sam kompiutar pochisten uzhe iz logov chto vy poluchili?
 
Шифратора там не нашлось
 
Tolko chto neimeju nikakova pisma ot zlodeev ;/
 
A jesli podozhdat - mesec, neskolko mesecov? shans budet?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу