Показано с 1 по 15 из 15.

Зашифрованные файлы. Расширение AES256 у .doc .xls .jpg .mdf на всех локальных дисках кроме .exe .ISO файлов. [not-a-virus:RemoteAdmin.Win32.Ammyy.hq ] (заявка № 168166)

  1. #1
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    13
    Вес репутации
    35

    Thumbs up Зашифрованные файлы. Расширение AES256 у .doc .xls .jpg .mdf на всех локальных дисках кроме .exe .ISO файлов. [not-a-virus:RemoteAdmin.Win32.Ammyy.hq ]

    Доброго времени, профи!


    Зашифрованные файлы. Расширение AES256 у .doc .xls .jpg .mdf на всех локальных дисках кроме .exe .ISO файлов.
    В каждой зараженной папке присутствует текстовый документ "Внимание_ откройте-меня" с след. содержимым:


    "Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
    Для этого откройте ярлык 'Ваш консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

    Скрытый текст


    Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
    TOR: https://www.torproject.org/ | Видео инструкция: http://youtu.be/43feBLwHzn0
    url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
    url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
    HashKey: 7d6ea713c17690236683d80dda7c8120
    ID: 6667




    Согласно инструкции сделал логи без подключенного интернета из этой темы http://virusinfo.info/showthread.php?t=167795


    Перед этим порывшись по темам удалось убить следующее:
    через cureit


    \device\harddiskvolume2\users\mama\appdata\roaming\microsoft\windows\start menu\programs\startup\runwin.exe - Ok




    \device\harddiskvolume2\users\ded\appdata\local\microsoft\windows\system.vbs - infected with Trojan.Ormes.9
    \device\harddiskvolume2\users\ded\appdata\local\microsoft\windows\system.vbs - infected


    C:\Users\DED\AppData\Local\Temp\RarSFX0\install.vbs - infected with Trojan.Ormes.9


    C:\Users\Mama\AppData\Roaming\Opera Software\Opera Stable\Extensions\efinmbicabejjhjafeidhfbojhnfiepj\1.0.3\manifest.json - infected with Trojan.Ormes.8




    C:\Users\Mama\Downloads\jovesmodpack_0_9_3_v12.7.exe - is adware program Adware.Downware.5907
    C:\Users\Mama\Downloads\jovesmodpack_0_9_3_v12.7.exe - infected


    C:\Users\Timafey\AppData\Roaming\newSI_23\s_inst.exe - infected with Trojan.Fakealert.47029
    C:\Users\Timafey\AppData\Roaming\newSI_23\s_inst.exe - infected


    C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA\desktop.ini - Ok
    C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M\MySafeProxy32[1].dll - is adware program Adware.Siggen.31165
    C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5\MySafeProxyBroker[1].exe - is adware program Adware.Siggen.31165
    C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M\MySafeProxy32[1].dll - infected




    ...и вручную удалены папки у пользователей : artem/mama/ded/timafey


    \AppData\Roaming\Mail.RU NewGamesT
    Microsoft DB
    tor
    Tor Project
    GemWare
    Browsers
    ICL
    newSI_23
    Скрыть


    Надеюсь на вашу помощь!
    Вложения Вложения
    Последний раз редактировалось mike 1; 09.10.2014 в 13:06.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378

    Зашифрованные файлы. Расширение AES256 у .doc .xls .jpg .mdf на всех локальных дисках кроме .exe .ISO файлов. [not-a-virus:RemoteAdmin.Win32.Ammyy.hq ]

    Уважаемый(ая) Realbe, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\Users\Timafey\AppData\Roaming\newSI_23\s_inst.exe','');
     QuarantineFile('C:\Program Files (x86)\Microsoft Data\nsi.exe','');
     DeleteFile('C:\Program Files (x86)\Microsoft Data\nsi.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
     DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
     DeleteFile('C:\Windows\Tasks\newSI_23.job','64');
     DeleteFile('C:\Users\Timafey\AppData\Roaming\newSI_23\s_inst.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\newSI_23','64');
     DeleteFileMask('C:\Users\Timafey\AppData\Roaming\newSI_23', '*', true, ' ');
     DeleteDirectory('C:\Users\Timafey\AppData\Roaming\newSI_23');     
    BC_ImportAll;
    ExecuteSysClean;          
    BC_Activate;  
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите checkbrowserlnk.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
    5. Прикрепите этот отчет в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    13
    Вес репутации
    35
    ПРикрепил по красной ссылке пасс вы знаете Файл сохранён как 141010_165505_virus_54380f6941c7f.zip (там был найден ammyy admin)

    Создавая логи пользователь Timafey в системе уже был удален, а вход был осущ. через artem.
    Вложения Вложения
    Последний раз редактировалось Realbe; 10.10.2014 в 21:08.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Перетащите CheckBrowserLnk.log на эту http://virusinfo.info/soft/tool.php?tool=ClearLNK утилиту.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    13
    Вес репутации
    35
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Перетащите CheckBrowserLnk.log на эту http://virusinfo.info/soft/tool.php?tool=ClearLNK утилиту.
    ClearLNK by Alex Dragokas ver. 2.3.0.1

    OS: x64 Windows 7 Ultimate. Service Pack: 1
    IsAdmin: True
    User: Artem
    _____________________________ Begin of Log ______________________________

    [ OK ] "C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Opera.lnk" [ "C:\Program Files (x86)\Opera\launcher.exe" ] (ОК). Метод AN-RN
    [WARN !] "C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Opera.lnk" [ "C:\Program Files (x86)\Opera\launcher.exe" ] (ОШИБКА: новые цель и аргументы дублируют старые). Метод AN-RN
    [WARN !] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk" [ "C:\Program Files (x86)\Opera\launcher.exe" ] (ОШИБКА: новые цель и аргументы дублируют старые). Метод AN-RN

    ______________________________ Статистика ______________________________
    Исправлено: 1
    Удалено: 0
    Пропущено: 0
    Блокировок: 0
    Предупреждений: 2
    Ошибок: 0
    ______________________________ End of Log ______________________________

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Эти ярлыки пересоздайте вручную:

    C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Opera.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    13
    Вес репутации
    35
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Эти ярлыки пересоздайте вручную:



    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Opera вообще снёс
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Этот файл удалите:

    20.08.2014 22:52:42 ----A---- C:\Windows\SysWOW64\drivers\bd0002(3).sys
    Пробуйте http://support.kaspersky.ru/viruses/disinfection/10556
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    13
    Вес репутации
    35
    Файл bd0002(3).sys удалил, но утилита не подобрала пароль на xls doc и jpg. Вчера и эта rannohdecryptor не помогла

    Дальнейшие мои действия?...надеится и ждать!

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Вчера и эта rannohdecryptor не помогла
    Она для этого шифратора не предназначена.

    но утилита не подобрала пароль
    Значит с расшифровкой не поможем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. Это понравилось:


  14. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. Это понравилось:


  16. #13
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    13
    Вес репутации
    35
    Спасибо камрады! Всё восстановилось в свои форматы с aes256.
    Запускать со всех сущ. пользователей - это если не все файлы сразу расшифровались.

    Видео прилагается

    Какая инфа или файлы еще от меня требуются? И в чем выразить благодарность

  17. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Больше никакая. Повезло вам

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
    begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
    else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Советы и рекомендации после лечения компьютера
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  18. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\artem\downloads\aa_v3 (1).exe - not-a-virus:RemoteAdmin.Win32.Ammyy.hq ( DrWEB: Program.RemoteAdmin.745 )


  • Уважаемый(ая) Realbe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Карантин 7AE10DA530071C05B7268099A7820821 [not-a-virus:HEUR:RemoteAdmin.Win32.Generic, not-a-virus:RemoteAdmin.Wi= n32.Ammyy.xkm]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 1
      Последнее сообщение: 07.09.2014, 00:24
    2. Карантин 4440B4A56786DAE37F1A966E07341DEB [not-a-virus:RemoteAdmin.Win32.Ammyy.xkm, not-a-virus:RemoteAdmin.Win32= =2EAmmyy.yuc]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 1
      Последнее сообщение: 04.08.2014, 13:35
    3. Ответов: 16
      Последнее сообщение: 14.07.2014, 12:11
    4. Карантин 071667BB3176E864CFD60B7428F3D780 [not-a-virus:RemoteAdmin.Win32.Ammyy.xkm]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 1
      Последнее сообщение: 19.06.2014, 09:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00207 seconds with 18 queries