Решена Расшифровать файлы - naverno Trojan Kotver

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Tomak, 12 ноя 2016.

  1. Tomak

    Tomak Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Priklepliu paru zarazhonyx fajlov.

    Prostite chto latinskije bukvy, ja nie iz Rosji.

    Zarazheny i tesktobye fajly, i fotki i video.

    Sposibo za pomoshch.

    + fajl iz AutoLogera
     

    Вложения:

    Последнее редактирование: 12 ноя 2016
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Tomak

    Tomak Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Nikakix dokumentov s ugrazhenjami nenashol poka.
    Posle zapuska Farbar Recovery Scan Tool takije otchety:
    Esli chto est fajl i zarazhonyj i ne zarazhonyj tot zhe sam.
    Tolko nashol takoj interesnyj fail - jesli otkryt cherez notepad++ mozhna uvidet spisak vsex peredelanyx fajlov: cl_data_18gmqs2dqc2SkTMZRT51ToPMKeyqAeBMw9.bak
     

    Вложения:

  4. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.371
    Симпатии:
    3.112
    Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\Tomash\AppData\Roaming\Macromedia\Caches\mdm','');
     QuarantineFile('C:\Users\Tomash\AppData\Local\Agworks\xcddulqb.dll','');
     QuarantineFile('C:\Users\Tomash\AppData\Local\Olkics\slkwybdj.dll','');
     DeleteFile('C:\Users\Tomash\AppData\Local\Olkics\slkwybdj.dll','32');
     DeleteFile('C:\Users\Tomash\AppData\Local\Agworks\xcddulqb.dll','32');
     DeleteFile('C:\Windows\system32\Tasks\MdmUpdateTaskMachineCore','64');
     DeleteFile('C:\Users\Tomash\AppData\Roaming\Macromedia\Caches\mdm','32');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Eption');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Agworks');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!


    Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
     
    Последнее редактирование: 12 ноя 2016
  5. Tomak

    Tomak Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Pismo vyslal, novye logi:
     

    Вложения:

  6. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.371
    Симпатии:
    3.112
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код (Text):

    CreateRestorePoint:
    C:\Users\Tomash\AppData\Local\c645\9716.lnk
    AlternateDataStreams: C:\Windows:nlsPreferences [514]
    AlternateDataStreams: C:\Windows\steam_api64.dll:BDU [0]
    AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [118]
    Task: {8CB15686-ABEA-4F6C-82C2-20963D153F96} - \eec125ee-832f-44ac-ab8b-a857362350e3-11 -> No File <==== ATTENTION
    HKU\S-1-5-21-2254411139-718755899-994215963-1001\...\StartupApproved\StartupFolder: => "w0rm.vbs"
    HKLM\...\StartupApproved\Run32: => "w0rm"
    HKU\S-1-5-21-2254411139-718755899-994215963-1001\...\StartupApproved\Run: => "w0rm"
    C:\Users\Tomash\AppData\Local\Temp\libeay32.dll
    C:\Users\Tomash\AppData\Local\Temp\msvcr120.dll
    C:\Users\Tomash\AppData\Local\Temp\ReimagePackage.exe
    C:\Users\Tomash\AppData\Local\Temp\sqlite3.dll
    Reboot:
     
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    • Обратите внимание, что будет выполнена перезагрузка компьютера.
     
  7. Tomak

    Tomak Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Sdelano:
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      2,9 КБ
      Просмотров:
      1
  8. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.371
    Симпатии:
    3.112
    cl_data_18gmqs2dqc2SkTMZRT51ToPMKeyqAeBMw9.bak прислать можете в архиве?
     
  9. Tomak

    Tomak Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Neznat gde prislat, napisal vam lichnoe sobshchenje.
     
  10. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.371
    Симпатии:
    3.112
    Получил, спасибо.

    Занятный файл, но без тела шифровальшика сказать что-то определенное не представляется возможным. Разве что Kovter не шифрует файлы, а идет как довесок к Nemucod Ransomware, который меняет расширение у файлов
     
  11. Tomak

    Tomak Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Tak chto delat dalshe ne znaete? Nikakix ideji net?
    A jesli dam takoj zhe sam fajl zashyfrovan i xoroshyj?
     
  12. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.371
    Симпатии:
    3.112
    А как Вы предлагаете определить алгоритм шифрования? Были бы сообщения от вымогателя, можно было бы информацию поискать
     
  13. Tomak

    Tomak Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    nikakix logov ili readme, decrypt/encrypt ili chevo nenashol :(
    a tak sam kompiutar pochisten uzhe iz logov chto vy poluchili?
     
  14. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.371
    Симпатии:
    3.112
    Шифратора там не нашлось
     
  15. Tomak

    Tomak Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
  16. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.371
    Симпатии:
    3.112
  17. Tomak

    Tomak Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Tolko chto neimeju nikakova pisma ot zlodeev ;/
     
  18. Tomak

    Tomak Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    A jesli podozhdat - mesec, neskolko mesecov? shans budet?
     
  19. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.371
    Симпатии:
    3.112
    Вряд ли
     
Загрузка...
Похожие темы - Расшифровать файлы naverno
  1. tolstyy75
    Ответов:
    11
    Просмотров:
    180
  2. puertorikanez
    Ответов:
    8
    Просмотров:
    186
  3. 777KPL
    Ответов:
    17
    Просмотров:
    313
  4. texno5
    Ответов:
    1
    Просмотров:
    269
  5. leso
    Ответов:
    13
    Просмотров:
    347
  6. Aleksnyc
    Ответов:
    27
    Просмотров:
    2.364

Поделиться этой страницей

Загрузка...