Обнулены файлы (dizelmon@danwin1210.me)

[DLP167]

Здравствуйте!

12.01.2018 на компьютере все файлы из общедоступной папки стали равны 0 кб. При этом в папке появились два текстовых файла (один с нулевым размером) со следующим текстом:

 

"ЕСЛИ ЧТО-ТО СЛУЧИЛОСЬ С ВАШИМИ ФАЙЛАМИ ПИШИТЕ СЮДА____

dizelmon@danwin1210.me"

 

Логи прилагаю.

 

 

CollectionLog-2018.01.16-13.57.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\help\lsmosee.exe', '');
 DeleteFile('C:\WINDOWS\help\lsmosee.exe', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

[DLP167]

Добрый день!

 

Ответ от Лаборатории Касперского:

 

"Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.
В антивирусных базах информация по присланным вами файлам отсутствует:
lsmosee.exe
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."

 

Номер KLAN-7531286336

 

Свежие логи прилагаю.

 

З.Ы. Какова вероятность, что файлы можно будет восстановить?

 

CollectionLog-2018.01.17-12.27.zip

[Sandor]

Какова вероятность, что файлы можно будет восстановить?

Весьма невелика, увы.

 

1. Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

 

 

2.

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[DLP167]

Сделал.

 

Лог UVS 

SERVER_2018-01-17_13-30-47.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv5.1
  v400c
  BREG
  zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPLICATION DATA\MICROSOFT\SYSLOG\USERLOGON.EXE
  ;---------command-block---------
  delref WMI_.[FUCKYOUMM2_FILTER]
  apply
  
  czoo
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

 

Соберите и прикрепите свежий лог uVS.

[DLP167]

Архив на safezone отправил.

 

Новый лог uVS прилагаю/

SERVER_2018-01-17_14-17-07.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv5.1
  v400c
  BREG
  ;---------command-block---------
  bl 20B8AD7F38BB0C6FB9CBA1F4AAD9BB3D 25144
  zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPLICATION DATA\MICROSOFT\SYSLOG\USERLOGON.EXE
  delall %Sys32%\CONFIG\SYSTEMPROFILE\APPLICATION DATA\MICROSOFT\SYSLOG\USERLOGON.EXE
  delref %SystemDrive%\PROGRAM FILES\SOLVUSOFT\WINTHRUSTER\SYNC.EXE
  apply
  
  zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPLICATION DATA\MICROSOFT\SYSLOG\TENIODL_CORE.DLL
  bl 36B72ABBDE07B9FC3D3B3C9A1DCEF865 428032
  addsgn 92701F4B10FC44B54FF08A55BBA9BE99E3CED8F2123D5B5CA1A2C7382CBE958224D85F31F951B9DD2AE8FAEDB7D2C49E59EF011EDED9B06FFB547EB0E6134229 64 Win32:Dropper-gen [Drp] [Avast] 7
  
  chklst
  delvir
  
  czoo
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[DLP167]

Архив на safezone отправил.

 

Отчеты.

 

FRST.txt

Shortcut.txt

Addition.txt

[Sandor]

При наличии лицензии на любой из продуктов Касперского можете создать запрос на расшифровку.

Однако шансы на успех ничтожны.

[DLP167]

Запрос отправлю. Не подскажите, какие файлы стоит туда отправить?

 

З.Ы. По другому не восстановить?

 

З.З.Ы. На этом все? Все вычистили?

[Sandor]

какие файлы стоит туда отправить?

В архиве пару поврежденных и записку с требованием выкупа.

 

На всякий случай еще такой лог сделайте:

Скачайте Malwarebytes' Anti-Malware. Установите.

На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

[DLP167]

Спасибо за помощь.

Буду ждать ответа от техподдержки.