Перейти к содержимому


Фотография
- - - - -

Шифровальщик pilotpilot088@gmail.com

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 6

#1 OFF   Михаил Иванов_45790

Михаил Иванов_45790

    Новичок

  • Новички
  • Cообщений: 21

Отправлено 15 Апрель 2019 - 15:54

Здравствуйте уважаемые специалисты! 

 

Образовалась проблема - компьютер был заражен вирусом и зашифровал файлы.

 

Прикрепил в сообщении логи собранные с помощью  AVZ, Farbar Recovery Scan Tool, AutoLogger.

Прикрепленные файлы


  • 0

#2 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 303

Отправлено 15 Апрель 2019 - 16:27

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 TerminateProcessByName('c:\programdata\resources\svchost.exe');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '');
 QuarantineFile('c:\programdata\drivers\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '');
 QuarantineFile('c:\programdata\resources\svchost.exe', '');
 QuarantineFile('c:\programdata\services\csrss.exe', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '32');
 DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '64');
 DeleteFile('c:\programdata\drivers\csrss.exe', '');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '64');
 DeleteFile('c:\programdata\resources\svchost.exe', '');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '32');
 DeleteFile('c:\programdata\services\csrss.exe', '');
 DeleteFile('C:\ProgramData\services\csrss.exe', '32');
 DeleteFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Autorun.vbs', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^services.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#3 OFF   Михаил Иванов_45790

Михаил Иванов_45790

    Новичок

  • Новички
  • Cообщений: 21

Отправлено 15 Апрель 2019 - 16:58

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 TerminateProcessByName('c:\programdata\resources\svchost.exe');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '');
 QuarantineFile('c:\programdata\drivers\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '');
 QuarantineFile('c:\programdata\resources\svchost.exe', '');
 QuarantineFile('c:\programdata\services\csrss.exe', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '32');
 DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '64');
 DeleteFile('c:\programdata\drivers\csrss.exe', '');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '64');
 DeleteFile('c:\programdata\resources\svchost.exe', '');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '32');
 DeleteFile('c:\programdata\services\csrss.exe', '');
 DeleteFile('C:\ProgramData\services\csrss.exe', '32');
 DeleteFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Autorun.vbs', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^services.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Ответ из письма: 

 

[KLAN-9916535213]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
onkATD.cmd

В следующих файлах обнаружен вредоносный код:
csrss.exe - Trojan.Win32.Agent.nezeod
svchost.exe - Trojan.Win32.Reconyc.izkx
csrss_0.exe - HEUR:Trojan.Win32.Generic
csrss_1.exe - Trojan-Ransom.Win32.Shade.puw

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Прикрепленные файлы


  • 0

#4 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 303

Отправлено 15 Апрель 2019 - 17:05

Не цитируйте все предыдущее сообщение целиком. Используйте форму быстрого ответа внизу.

Загрузите систему в безопасном режиме.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 TerminateProcessByName('c:\programdata\resources\svchost.exe');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE', '');
 QuarantineFile('c:\programdata\drivers\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '');
 QuarantineFile('c:\programdata\resources\svchost.exe', '');
 QuarantineFile('c:\programdata\services\csrss.exe', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('E:\autorun.inf', '');
 DeleteFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE', '32');
 DeleteFile('c:\programdata\drivers\csrss.exe', '');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '64');
 DeleteFile('c:\programdata\resources\svchost.exe', '');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '32');
 DeleteFile('c:\programdata\services\csrss.exe', '');
 DeleteFile('C:\ProgramData\services\csrss.exe', '32');
 DeleteFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('E:\autorun.inf', '');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Autorun.vbs', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^services.exe', '64');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.



Повторите уже в нормальном режиме логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#5 OFF   Михаил Иванов_45790

Михаил Иванов_45790

    Новичок

  • Новички
  • Cообщений: 21

Отправлено 15 Апрель 2019 - 17:17

Sandor

Можете уточнить, что не так с логами? Сейчас удалил антивирус полностью (думаю он блокировал работу), скрипт выполнил в безопасном режиме, где должны находится файлы, которые нужно Вам отправить? 

Прикрепленные файлы


  • 0

#6 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 303

Отправлено 15 Апрель 2019 - 18:39

На этот раз отработал нормально, активного заражения нет.
Тип вымогателя Shade и, к сожалению, расшифровки нет.

Для очистки следов и возможного мусора дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#7 OFF   Михаил Иванов_45790

Михаил Иванов_45790

    Новичок

  • Новички
  • Cообщений: 21

Отправлено 16 Апрель 2019 - 10:04


Shade

Спасибо за помощь!


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных