kann Шифровальщик [kanndata@onionmail.org]

[safety]

По этому файлу можете указать, когда было последнее срабатывание антивируса?

132581908,1059360,WIN-59RIJM9KE3N,СИСТЕМА,101,536870912,1,32,0,Вирус обнаружен,512,129,9040,|C:\Windows\SERVIC~1\MSSQL$~1\AppData\Local\Temp\tzt.exe|,|Подозрительный объект в программе ( ID709040 )|,|Файл не найден!|,|Можно вылечить|,

[Agatik]

пароль 202020

 

файлы.rar

[safety]

спасибо.

По этому файлу tzt.exe постоянное срабатывание антивируса?

 

Если систему можно перегружать,

 

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Если перегрузка нежелательна:

 

Выполните все пункты, кроме п.4. со скриптом.

Изменено 10 декабря, 2023 пользователем safety

[Agatik]

Подскажите пожалуйста, где я могу взять этот файл?

Через поисковую строчку поиск не производится, т.к "неполное имя корневого файла"

Не можем понять...

И как можно посмотреть через антивирус последнюю работу над файлами?

[safety]

6 minutes ago, Agatik said:

И как можно посмотреть через антивирус последнюю работу над файлами?

Если есть возможность, зайдите в журналы антивируса через интерефейс программы. Хотя длякорпоративной версии K7 возможно нет такого режима, только через централизованное управление.

 

Quote

Подскажите пожалуйста, где я могу взять этот файл?

о каком файле говорите? если о tzt.exe, то поиск по нему в сети ничего не даст. В таком случае нужен будет образ автозапуска что еще раз проанализировать состояние системы.

Изменено 10 декабря, 2023 пользователем safety

[Agatik]

При запуске файла, что Вы нам прислали, пункт "Запустить под текущим пользователем", выдает ошибку 225. Что делать?

Возможно ли с Вами удаленное подключение?

Антивирус Windows, при выборе данного пункта, находит вирус. 

Может, нужно отключить штатный антивирус?

[safety]

11 minutes ago, Agatik said:

Может, нужно отключить штатный антивирус?

да, K7 может на него ругаться, временно отключите защиту или добавить каталог с uVS и start.exe в исключения. И дефендер лучше временно отключить.

Изменено 10 декабря, 2023 пользователем safety

[Agatik]

WIN-59RIJM9KE3N_2023-12-10_15-08-28_v4.14.1.7z

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Система не будет перезагружена.

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SERVICEPROFILES\MSSQL$TRADESOFTSQL19\APPDATA\ROAMING\SICOBPO.EXE
czoo

Загрузите файл ZOO_дата_время.7z из папки с uVS на облачный диск, и дайте ссылку на скачивание в личные сообщения

Изменено 10 декабря, 2023 пользователем safety

[Agatik]

А как сохранить данный файл, архивировать ZOO?

[safety]

3 minutes ago, Agatik said:

А как сохранить данный файл, архивировать ZOO?

Скрипт автоматом сделает архив

[Agatik]

Отправил в личном сообщении.

[safety]

1 час назад, Agatik сказал:

Отправил в личном сообщении.

https://www.virustotal.com/gui/file/2bdbdefbb71db72586bccdea78f44df12f3439878ad49b284b6c182e7f444df6?nocache=1

файл вредоносный.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Система не будет перезагружена.

 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SERVICEPROFILES\MSSQL$TRADESOFTSQL19\APPDATA\ROAMING\SICOBPO.EXE
czoo
;---------command-block---------
delall %SystemRoot%\SERVICEPROFILES\MSSQL$TRADESOFTSQL19\APPDATA\ROAMING\SICOBPO.EXE
apply
QUIT

без перезагрузки системы.

ждем ответ специалистов по определению типа шифровальщика.

ZOO (он с паролем virus) не удаляйте, возможно будет нужен еще для ТП.

 

Так же проверьте политику:

Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{ec2483bf-f911-4e5e-9c58-c9c93f9e872c}

Админом создано или зловредом.

[Agatik]

Вы прикрепили ссылку выше, по ней можно перейти?

Файл, который выполнен по скрипту выше, тоже Вам отправить в виде ссылки?

Как я могу проверить политику файлов?

[safety]

4 minutes ago, Agatik said:

Вы прикрепили ссылку выше, по ней можно перейти?

Файл, который выполнен по скрипту выше, тоже Вам отправить в виде ссылки?

да, можно, это линк проверки файла.

https://www.virustotal.com/gui/file/2bdbdefbb71db72586bccdea78f44df12f3439878ad49b284b6c182e7f444df6?nocache=1

файл мне уже не нужен, первым скриптом скопировал его и проверил на VT, второй скрипт его удалит. Политика если вредононосная напишите - скриптом удалю, или самостоятельно удалите.