Шифровальщик Trojan-Ransom.Win32.Rannoh

[Noch_Hak]

Доброго времени суток. На ноуте увидел что заработал шифровальщик, вырубил ноут, проверил диск на вирусы....

Файлы о работе Farbar Recovery Scan Tool в архиве.

reports.rar

[Sandor]

Здравствуйте!

 

Образцы зашифрованных документов прикрепите в архиве согласно Порядка оформления запроса о помощи

[Noch_Hak]

07.11.2022 в 13:38, Sandor сказал:

Здравствуйте!

 

Образцы зашифрованных документов прикрепите в архиве согласно Порядка оформления запроса о помощи

 

 

Как такого сообщения о вымогательстве нет, т.к. внизу экрана появилась строка с архивацией файлов AES256? с ноута выдернули батарею, достали винт и на другом АРМе с рабочим Каспером проверили на вирусы. Был удален файл с сообщением что это Trojan-Ransom.Win32.Rannoh. Предположительно файлы  в архиве могут быть зашифрованы, но это не столь актуально. Просто нужна помощь в зачистке остатков. Спасибо. Новая папка.rar

[Sandor]

Понятно.

Только рекомендация будет на основе логов, собранных на другой, не зараженной системе, как понимаете.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 30 ActiveX

Adobe Flash Player 30 NPAPI

Adobe Flash Player 30 PPAPI

Bonjour

Malwarebytes, версия 3.5.1.2522 - не актуальная версия

Skype Click to Call

Unity Web Player

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: F - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: G - G:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {025c3767-9089-11e3-9782-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {0aad71ee-e3de-11e2-8106-082e5f71733c} - F:\AutoRun.exe {D2D77DC2-8299-11D1-8949-444553540000} 5.2066.1.A14B04 PID_0083 {01D42BF0-ED08-463f-8A28-99EB6FEE962B}
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {10c78784-34cb-11e3-83d0-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {212d93c4-34ca-11e3-9894-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {21b441c4-353f-11e3-9384-7ce9d3ce5f84} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {3b3893a5-1c6c-11e3-92a5-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {3b3893ab-1c6c-11e3-92a5-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {3b3893c0-1c6c-11e3-92a5-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {4ad70c07-354d-11e3-a3a8-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {4e367243-34db-11e3-840a-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {6156370d-8c05-11e3-8340-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {61563710-8c05-11e3-8340-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {61563713-8c05-11e3-8340-082e5f71733c} - G:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {686984e7-aea7-11e3-afd0-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {75d40d47-34d0-11e3-9486-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {75d40d5a-34d0-11e3-9486-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {75d40d5d-34d0-11e3-9486-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {7fca1912-1a90-11e5-9c7e-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {7fca1922-1a90-11e5-9c7e-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {7fca1925-1a90-11e5-9c7e-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {7fdfbcec-9a2a-11e3-a9f5-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {7fdfbcf7-9a2a-11e3-a9f5-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {81e2d764-b87e-11e3-adf0-082e5f71733c} - G:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {885eeb88-1a1b-11e3-a23e-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {8b0047c8-28e5-11e3-989b-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {99bbeba8-b2af-11e1-bea3-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {a1168df1-9a69-11e6-96fa-7ce9d3ce5f84} - I:\Menu.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {a1168dfc-9a69-11e6-96fa-7ce9d3ce5f84} - J:\autorun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {a30dd127-d97a-11e3-9847-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {b31831d6-793d-11e3-bf05-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {b31831e1-793d-11e3-bf05-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {b466f868-8efd-11e3-aba4-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {b7fe4e61-34d2-11e3-83ed-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {c27172b1-1f22-11e5-9d77-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {c9f50749-2147-11e3-8160-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {d23cad6a-8e70-11e3-841e-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {d3e114f0-a655-11e1-a129-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {d3e11500-a655-11e1-a129-082e5f71733c} - G:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {d4f85868-1a1a-11e3-8d87-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {d8cb1ff1-b300-11e1-8531-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {de78b565-34e3-11e3-989f-082e5f71733c} - F:\Windows/AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {de78b568-34e3-11e3-989f-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {de875a4d-1c84-11e3-93fe-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {de875a52-1c84-11e3-93fe-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {e6a81995-a656-11e1-8e1a-082e5f71733c} - F:\AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {e6ca19a5-2be0-11e3-996c-806e6f6e6963} - F:\Windows/AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {e6ca19db-2be0-11e3-996c-082e5f71733c} - F:\Windows/AutoRun.exe
  HKU\S-1-5-21-1268020083-3354782376-3075212644-1001\...\MountPoints2: {fca1e767-1d8c-11e5-96e1-082e5f71733c} - F:\AutoRun.exe
  Task: {0D030813-AF4B-42C5-9378-63FA808D1399} - System32\Tasks\{1A87A775-68D7-4804-B626-10C216568F00} => c:\users\Сергей\appdata\local\amigo\application\amigo.exe http://ui.skype.com/ui/0/6.18.66.106/ru/go/help.faq.installer?source=lightinstaller&LastError=1603 (Нет файла)
  Task: {1C30FFED-822B-433F-A15F-A24DEDFCF8CC} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_30_0_0_154_pepper.exe [1449472 2018-08-19] (Adobe Systems Incorporated -> Adobe Systems Incorporated)
  Task: {3B5A980F-E431-4112-9384-B06F4295F791} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [335872 2018-08-19] (Adobe Systems Incorporated -> Adobe Systems Incorporated)
  Task: {B146E906-5C01-476D-B1C7-99B26A7C50F1} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_30_0_0_154_Plugin.exe [1449472 2018-08-19] (Adobe Systems Incorporated -> Adobe Systems Incorporated)
  Task: {C29B1170-09E1-48D8-9DE3-09C333C002F5} - System32\Tasks\{C74122AF-D6D6-40D5-9684-0AED080D6F2C} => C:\Windows\system32\pcalua.exe -a E:\Autorun.exe -d E:\
  Task: {C2C057C2-4094-4DAB-BCF3-2E93FA9CF3A8} - System32\Tasks\{041E6822-24EA-4384-8FB6-B922854D1B61} => C:\Surf Up\System\surfsupgame.exe (Нет файла)
  Task: {C8908FD4-946F-42C1-A3E7-4285536D3DA2} - System32\Tasks\{4C1DDE19-C66B-4BF8-9371-3420C902F87E} => c:\users\Сергей\appdata\local\amigo\application\amigo.exe http://ui.skype.com/ui/0/6.18.66.106/ru/abandoninstall?source=lightinstaller&page=tsInstall (Нет файла)
  Task: {EEAD70E4-99EE-44F2-8E66-738A978FB2D1} - System32\Tasks\{0A092069-014A-45BF-9BEE-0878D09DAC7C} => C:\Surf Up\System\surfsupgame.exe (Нет файла)
  S2 BitStreamSvc; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 BitStreamSvc; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  BHO: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
  BHO-x32: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
  FirewallRules: [{7A18AE25-EAF2-4C3D-BAA4-8489199A0377}] => (Allow) LPort=2869
  FirewallRules: [{AA8DE2FF-F668-458A-BF01-1FF25D9C412D}] => (Allow) LPort=1900
  FirewallRules: [{0D74EA12-24CB-4E96-BB2B-07BC91EB97C8}] => (Allow) C:\Windows\system32\ezSharedSvcHost.exe => Нет файла
  FirewallRules: [{AC0DCA5D-34F2-4F4F-BA39-DEB559BDF7D0}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{D0E8578A-A613-4F65-AABE-8DEF687B0361}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{D5301AAB-B312-40E5-8FE4-F6EE0940829D}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{78222AE7-A07D-4D1C-9D38-007CFEF5A574}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится скрытая ранее

Цитата

swMSM

Тоже удалите.

[Noch_Hak]

Логи собирались на ноуте. Загрузились в безопасном режиме с командной строкой и от туда делали логи программой FRST64.

[Sandor]

Понятно.

Активного заражения там нет, поэтому скрипт можете выполнять в нормальном режиме.

[Noch_Hak]

Спасибо за помощь. 

[Sandor]

39 минут назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Жду.

[Noch_Hak]

Выполнил...

Fixlog.txt

[Sandor]

1 час назад, Sandor сказал:

скрипт можете выполнять в нормальном режиме

А вы сделали в безопасном. Но не страшно.

 

Проделайте завершающие шаги (тоже в нормальном режиме).

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Noch_Hak]

Выполнил.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18537 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Endpoint Security для Windows v.11.0.0.6499 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50901.0 Данная программа больше не поддерживается разработчиком.
NVIDIA GeForce Experience 3.6.0.74 v.3.6.0.74 Внимание! Скачать обновления
TeamViewer v.15.22.3 Внимание! Скачать обновления
Evernote v. 4.5.2 v.4.5.2.5904 Внимание! Скачать обновления
Microsoft Office - профессиональный выпуск версии 2003 v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft SQL Server 2005 Compact Edition [ENU] v.3.1.0000 Данная программа больше не поддерживается разработчиком.
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.8.4 (1736) Внимание! Скачать обновления
Skype™ 7.37 v.7.37.103 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
iTunes v.12.4.3.1 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Shockwave Player 12.2 v.12.2.4.194 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
opensource v.1.0.14960.3876 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader X (10.1.16) MUI v.10.1.16 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 53.0 (x86 ru) v.53.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Mozilla Firefox 50.1.0 (x86 ru) v.50.1.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.22 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Net SafetyAddon version 20.28 v.20.28 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Html5 geolocation provider v.3.5.4.872 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
WindowsPlayer 3.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Update for Html5 geolocation provider v.3.7.2.909 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Перечисленное по возможности исправьте.

Читайте Рекомендации после удаления вредоносного ПО

[Noch_Hak]

Принял, Спасибо.