Заражение [decrypthelp@qq.com].arrow

[ukrainochka 0]

Добрый день. Нас поразил вирус. Судя по всему декриптор. Все файлы закодировались с расширением [decrypthelp@qq.com].arrow ПОМОГИТЕ ПОЖАЛУЙСТА !!!!!!!! Логи прикрепляем.

CollectionLog-2018.05.01-12.46.zip

Изменено 2 мая, 2018 пользователем ukrainochka

[mike 1 1 093]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например http://rgho.st/

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[ukrainochka 0]

Вот результат исполнения скрипта. http://rgho.st/6MKqNggzP

Результат работы Farbar Recovery Scan Tool : FRST.txt Addition.txt

[mike 1 1 093]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13921 2018-04-28] ()
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13921 2018-04-28] ()
HKLM-x32\...\Run: [Timestasks] => C:\ProgramData\TimeTasks\timetasks.exe"
HKLM-x32\...\Run: [gmsd_re_005010051] => [X]
HKLM-x32\...\Run: [gmsd_re_005010052] => [X]
HKLM-x32\...\Run: [gmsd_re_005010053] => [X]
HKLM-x32\...\Run: [] => [X]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-04-28] ()
Startup: C:\Users\maxy3d\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\MMadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Ірина Сергіївна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-04-28] ()
Startup: C:\Users\Анатолий ТЕАМ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Ирина Николаевна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Лина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Люба\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Надія Василівна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Наталья Анатоліївна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Наталья Леонідівна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Наталя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Наталя Сергіївна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Наташа_Витрати\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Оксана Васильевна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Ольга\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
Startup: C:\Users\Света\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28]
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hppp&ts=1438774172&z=65c273e616e0d42fc7e5decg2z9c8bam8m2z5ebt7t&from=cmi&uid=3219913727_198339_CA647AD7
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hppp&ts=1438774172&z=65c273e616e0d42fc7e5decg2z9c8bam8m2z5ebt7t&from=cmi&uid=3219913727_198339_CA647AD7
URLSearchHook: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {0DA50FCB-35E2-473D-AB40-2E8E6FE56D31} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1438943948&z=6145071bcf7e77ea5334adeg2z4c2bat0z3c3b8q5w&from=cmi&uid=3219913727_198339_CA647AD7
FF Plugin-x32: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll [No File]
2017-02-20 13:04 - 2017-02-20 13:04 - 000000001 _RHOT () C:\Program Files (x86)\03000200-1438766560-0500-0006-000700080009
2017-02-20 13:04 - 2017-02-20 13:04 - 000000001 _RHOT () C:\Program Files (x86)\AnyProtectEx
2017-02-20 13:04 - 2017-02-20 13:04 - 000000001 _RHOT () C:\Program Files (x86)\Crossbrowse
2017-02-20 13:05 - 2017-02-20 13:05 - 000000001 _RHOT () C:\Program Files (x86)\globalUpdate
2017-02-20 13:04 - 2017-02-20 13:04 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\AnyProtectEx
2017-02-20 13:05 - 2017-02-20 13:05 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\cpuminer
2017-02-20 13:04 - 2017-02-20 13:04 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\eTranslator
2017-02-20 13:04 - 2017-02-20 13:04 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\Homepager
2018-04-28 17:29 - 2018-04-28 17:29 - 000013921 _____ () C:\Users\Администратор\AppData\Roaming\Info.hta
2017-02-20 13:05 - 2017-02-20 13:05 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\IQIYI Video
2017-02-20 13:05 - 2017-02-20 13:05 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\Obnovi Soft
2017-02-20 13:05 - 2017-02-20 13:05 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\ppslog
2017-02-20 13:05 - 2017-02-20 13:05 - 000000001 _RHOT () C:\Users\Администратор\AppData\Local\globalUpdate
Task: {1CF71DEF-291E-49A8-BF71-4405F92B6AE5} - System32\Tasks\f706a8f7-287f-4a40-893c-ca55c01ea0aa-4 => C:\Program Files (x86)\CinemaPlus-3.2cV29.07\f706a8f7-287f-4a40-893c-ca55c01ea0aa-4.exe <==== ATTENTION
Task: {2069239C-868A-495A-843A-AADEA6367FA5} - System32\Tasks\MailRuUpdater => C:\Users\Ирина Николаевна\AppData\Local\Mail.Ru\MailRuUpdater.exe <==== ATTENTION
Task: {259E888C-0A3D-4DA4-B1B7-48BDB5CC0285} - System32\Tasks\Uninstaller_SkipUac_Администратор => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {7DFC033F-AFFE-492D-8024-13EDFFF113C6} - System32\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4 => C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4.exe <==== ATTENTION
Task: {B3A4F1C1-EE64-4268-B9FC-A9125958449B} - System32\Tasks\Driver Booster SkipUAC (Администратор) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {BC501010-C872-4D25-B9B9-A3F6C3B12222} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: {DBC2264A-FE1B-4F1C-8081-666EAA827CE7} - System32\Tasks\8f395291-838b-47df-8909-6b88c079a5fc-4 => C:\Program Files (x86)\GoHD\8f395291-838b-47df-8909-6b88c079a5fc-4.exe <==== ATTENTION
Task: {FD6E8D80-A8D5-498B-BCF7-787EEF047677} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: C:\Windows\Tasks\8f395291-838b-47df-8909-6b88c079a5fc-4.job => C:\Program Files (x86)\GoHD\8f395291-838b-47df-8909-6b88c079a5fc-4.exe <==== ATTENTION
Task: C:\Windows\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4.job => C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4.exe <==== ATTENTION
Task: C:\Windows\Tasks\f706a8f7-287f-4a40-893c-ca55c01ea0aa-4.job => C:\Program Files (x86)\CinemaPlus-3.2cV29.07\f706a8f7-287f-4a40-893c-ca55c01ea0aa-4.exe <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
MSCONFIG\startupreg: amigo => C:\Users\Администратор\AppData\Local\Amigo\Application\amigo.exe --no-startup-window
MSCONFIG\startupreg: gmsd_re_005010052 => "C:\Program Files (x86)\gmsd_re_005010052\gmsd_re_005010052.exe"
MSCONFIG\startupreg: MailRuUpdater => C:\Users\Администратор\AppData\Local\Mail.Ru\MailRuUpdater.exe
MSCONFIG\startupreg: ZaxarGameBrowser => "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s
MSCONFIG\startupreg: ZaxarLoader => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
MSCONFIG\startupreg: Обнови Софт => "C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe" -startup

 

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

Изменено 3 мая, 2018 пользователем mike 1

[ukrainochka 0]

Скрипт выполнили. Файл прилагаем  Fixlog.txt

Архив upload.zip на рабочем столе создан не был, поэтому не прилагаем.

[mike 1 1 093]

Лицензия на антивирус имеется?

[ukrainochka 0]

К сожалению на этом компьютере нет. Поэтому вынуждены просить помощи на Ваших условиях.

Точнее стоял ESSENTIAL. Судя по всему он не справляется со своими функциями.

[mike 1 1 093]

К сожалению на этом компьютере нет. Поэтому вынуждены просить помощи на Ваших условиях.

По этому шифровальщику оказывается индивидуальная помощь в службе технической поддержки Лаборатории Касперского. Я не сотрудник компании и помочь на форуме с расшифровкой после актуальной модификации шифровальщика Crysis не могу. 

 

Точнее стоял ESSENTIAL. Судя по всему он не справляется со своими функциями.

Скорее не справились Ваши сотрудники из ИТ службы, которые используют слабые пароли на учетных записях и RDP. Если Вы еще не поняли, то к Вам злоумышленник удаленно зашел и вручную запустил шифровальщика на сервере. Выводы думаю сделаете сами. 

[ukrainochka 0]

Что можно предпринять ?

[mike 1 1 093]

Можете создать запрос на расшифровку  https://forum.kasperskyclub.ru/index.php?showtopic=48525