• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Расшифровать файлы - naverno Trojan Kotver

Tomak

Новый пользователь
Сообщения
10
Симпатии
0
#1
Priklepliu paru zarazhonyx fajlov.

Prostite chto latinskije bukvy, ja nie iz Rosji.

Zarazheny i tesktobye fajly, i fotki i video.

Sposibo za pomoshch.

+ fajl iz AutoLogera
 

Вложения

Последнее редактирование:

Tomak

Новый пользователь
Сообщения
10
Симпатии
0
#2
Nikakix dokumentov s ugrazhenjami nenashol poka.
Posle zapuska Farbar Recovery Scan Tool takije otchety:
Esli chto est fajl i zarazhonyj i ne zarazhonyj tot zhe sam.
Tolko nashol takoj interesnyj fail - jesli otkryt cherez notepad++ mozhna uvidet spisak vsex peredelanyx fajlov: cl_data_18gmqs2dqc2SkTMZRT51ToPMKeyqAeBMw9.bak
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,378
Симпатии
2,443
#3
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Tomash\AppData\Roaming\Macromedia\Caches\mdm','');
 QuarantineFile('C:\Users\Tomash\AppData\Local\Agworks\xcddulqb.dll','');
 QuarantineFile('C:\Users\Tomash\AppData\Local\Olkics\slkwybdj.dll','');
 DeleteFile('C:\Users\Tomash\AppData\Local\Olkics\slkwybdj.dll','32');
 DeleteFile('C:\Users\Tomash\AppData\Local\Agworks\xcddulqb.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\MdmUpdateTaskMachineCore','64');
 DeleteFile('C:\Users\Tomash\AppData\Roaming\Macromedia\Caches\mdm','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Eption');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Agworks');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!


Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,378
Симпатии
2,443
#5
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
C:\Users\Tomash\AppData\Local\c645\9716.lnk
AlternateDataStreams: C:\Windows:nlsPreferences [514]
AlternateDataStreams: C:\Windows\steam_api64.dll:BDU [0]
AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [118]
Task: {8CB15686-ABEA-4F6C-82C2-20963D153F96} - \eec125ee-832f-44ac-ab8b-a857362350e3-11 -> No File <==== ATTENTION
HKU\S-1-5-21-2254411139-718755899-994215963-1001\...\StartupApproved\StartupFolder: => "w0rm.vbs"
HKLM\...\StartupApproved\Run32: => "w0rm"
HKU\S-1-5-21-2254411139-718755899-994215963-1001\...\StartupApproved\Run: => "w0rm"
C:\Users\Tomash\AppData\Local\Temp\libeay32.dll
C:\Users\Tomash\AppData\Local\Temp\msvcr120.dll
C:\Users\Tomash\AppData\Local\Temp\ReimagePackage.exe
C:\Users\Tomash\AppData\Local\Temp\sqlite3.dll
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,378
Симпатии
2,443
#7
cl_data_18gmqs2dqc2SkTMZRT51ToPMKeyqAeBMw9.bak прислать можете в архиве?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,378
Симпатии
2,443
#9
Получил, спасибо.

Занятный файл, но без тела шифровальшика сказать что-то определенное не представляется возможным. Разве что Kovter не шифрует файлы, а идет как довесок к Nemucod Ransomware, который меняет расширение у файлов
 

Tomak

Новый пользователь
Сообщения
10
Симпатии
0
#10
Tak chto delat dalshe ne znaete? Nikakix ideji net?
A jesli dam takoj zhe sam fajl zashyfrovan i xoroshyj?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,378
Симпатии
2,443
#11
А как Вы предлагаете определить алгоритм шифрования? Были бы сообщения от вымогателя, можно было бы информацию поискать
 

Tomak

Новый пользователь
Сообщения
10
Симпатии
0
#12
nikakix logov ili readme, decrypt/encrypt ili chevo nenashol :(
a tak sam kompiutar pochisten uzhe iz logov chto vy poluchili?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,378
Симпатии
2,443
#13
Шифратора там не нашлось
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,378
Симпатии
2,443
#15

Tomak

Новый пользователь
Сообщения
10
Симпатии
0
#16
Tolko chto neimeju nikakova pisma ot zlodeev ;/
 
Сверху Снизу