Перейти к содержанию

Рекомендуемые сообщения

Добрый день. Вчера попал под атаку. Компьютер весь день просто стоял включенным, ничего не запускали.

KVRT проверил, логи прилагаю. Буду очень благодарен за помощь.

CollectionLog-2018.06.20-10.49.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities 2014

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Админ\appdata\local\temp\ueiqc\teamviewer.exe');
 QuarantineFile('C:\Users\Админ\AppData\Local\Temp\UeIqC\tv.dll', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\z.vbs', '');
 QuarantineFileF('C:\Users\Админ\AppData\Local\Temp\UeIqC\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Админ\AppData\Local\Temp\UeIqC\tv.dll', '');
 DeleteFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '32');
 DeleteFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\z.vbs', '32');
 DeleteFileMask('C:\Users\Админ\AppData\Local\Temp\UeIqC\', '*', true);
 DeleteDirectory('C:\Users\Админ\AppData\Local\Temp\UeIqC\');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

@Sandor,

 

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:

tv.dll

x.vbs

z.vbs


Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

KLAN-8257064790

CollectionLog-2018.06.20-12.05.zip

Изменено пользователем Alexandr56
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    (PortableApps.com) C:\Users\Админ\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe
    (Igor Pavlov) C:\Users\Админ\AppData\Roaming\Microsoft\7-Zip\App\7-Zip\7zFM.exe
    HKLM\...\RunOnce: [{4D556359-8D62-4F1F-BA6D-357648AB81C2}] => C:\Users\836D~1\AppData\Local\Temp\{AFE73ED8-339B-4DED-AC8C-D1DAE7830787}\{4D556359-8D62-4F1F-BA6D-357648AB81C2}.cmd [292 2018-06-20] () <==== ATTENTION
    HKU\S-1-5-21-326127899-2917109375-113457443-1000\...\Run: [7-ZipPortable] => C:\Users\Админ\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)
    HKU\S-1-5-21-326127899-2917109375-113457443-1000\...\CurrentVersion\Windows: [Load] C:\Users\Админ\AppData\Local\Temp\msiexec.exe <==== ATTENTION
    Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HQ-Realtek АС 3.9.4.738.lnk [2018-05-04]
    ShortcutTarget: HQ-Realtek АС 3.9.4.738.lnk -> C:\Users\Администратор\AppData\Local\Temp\UeIqC\TeamViewer.exe (No File)
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    2018-06-19 12:46 - 2018-06-19 12:46 - 000002442 _____ C:\Users\Админ\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
    2018-06-19 12:12 - 2018-06-19 12:12 - 000002442 _____ C:\Users\Администратор\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
    2018-06-20 11:44 - 2002-01-01 00:05 - 000000000 ____D C:\ProgramData\TuneUp Software
    ContextMenuHandlers1: [TuneUp Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => D:\TuneUP\TuneUp Utilities 2014\SDShelEx-win32.dll -> No File
    ContextMenuHandlers4: [TuneUp Disk Space Explorer Shell Extension] -> {4838CD50-7E5D-4811-9B17-C47A85539F28} => D:\TuneUP\TuneUp Utilities 2014\DseShExt-x86.dll -> No File
    ContextMenuHandlers4: [TuneUp Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => D:\TuneUP\TuneUp Utilities 2014\SDShelEx-win32.dll -> No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Если Восстановление системы было включено ДО заражения, пробуйте восстановить файлы средствами Windows.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Дополнительно:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
Ссылка на сообщение
Поделиться на другие сайты

cryptbase.dll из папки C:\Users\Админ\AppData\Roaming\Microsoft\7-Zip проверьте на virustotal.com и пришлите ссылку на результат.

 

После этого написанное в сообщении №10 выполните

Ссылка на сообщение
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.12 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    bl 2C4960A8A1386ED87723A17D32CE344A 154032
    zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\7-ZIPPORTABLE.EXE
    delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\7-ZIPPORTABLE.EXE
    bl 051AA5B5DC2567E3CB3E4B647DA2DC6C 177664
    zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\APP\7-ZIP\7ZFM.EXE
    delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\APP\7-ZIP\7ZFM.EXE
    apply
    
    zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\CRYPTBASE.DLL
    bl 6D28A57EA1BA702E7D21B3A008E1C9A9 84480
    addsgn A7679B1928664D070E3CE6B264C8ED70357589FA768F17901B3D3A43D3127D11E11BC302B5B9160C23D60FD77A1581F5CA9EFCFF04C2B3FC22C0E529ACF60A70 64 Trojan.Win32.BuhTrap.h [Kaspersky] 7
    
    deldir %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP
    
    chklst
    delvir
    
    czoo
    restart
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

 

 

Соберите контрольный повторный лог uVS.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • vyz-project
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
×
×
  • Создать...