Перейти к содержанию

Da Vinchi пойман из почты

pupking
 Share Подписчики 2

Рекомендуемые сообщения

pupking

pupking 0

Опубликовано
Опубликовано

Доброго времени!

 

Всё очень кратенько. 27 июНя Бухгалтеру пришло письмо с темой "Претензия" с вложением формата *.gz. Открыла... ну а дальше наверное смысла объяснять нет. Хотя обмолвлюсь о том, что база 1С, которая в тот момент была открыта - живая! Видимо блокировка помогла. Всё остальное зашифровано.

 

Dr.Web CureIt нашёл 9 угроз

KVRT нашёл 10 угроз

 

Пока ничего не удалял вообще.

 

Письмо скорее всего не перешлётся, т.к. заблочено, а вот само вложение можно будет достать.

 

Заранее спасибо!

CollectionLog-2016.07.01-11.00.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\all users\application data\drivers\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\csrss\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '');
 DeleteFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Интернет

Служба автоматического обновления программ

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено пользователем Sandor
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
pupking

pupking 0

Опубликовано
  • Автор
Опубликовано

KLAN-4564154378

 

 

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

csrss.exe - Trojan.Win32.Agent.neumtu
csrss_0.exe - Trojan-Ransom.Win32.Shade.xy
csrss_1.exe - Trojan.Win32.Agent.nevnwq

 

CollectionLog-2016.07.01-12.21.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2016-06-27 14:00 - 2016-07-01 11:41 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Csrss
2016-06-27 13:52 - 2016-06-27 13:52 - 02359350 _____ C:\Documents and Settings\user\Application Data\2AD6C3092AD6C309.bmp
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README9.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README8.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README7.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README6.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README5.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README4.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README3.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README2.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README10.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README1.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README9.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README8.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README7.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README6.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README5.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README4.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README3.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README2.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README10.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README1.txt
2016-06-27 12:34 - 2016-07-01 11:41 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано

На этом все.

За расшифровкой обращайтесь в тех-поддержку Вашего антивируса (при наличии лицензии на него).

Ссылка на сообщение
Поделиться на другие сайты
pupking

pupking 0

Опубликовано
  • Автор
Опубликовано (изменено)

А если лицензии нет? Провал? Или всё-таки можно что-то сделать?

Изменено пользователем pupking
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано

Боюсь, что и при наличии лицензии с расшифровкой не помогут. Кстати, версия антивируса устаревшая, потому и пропустил.

+

Для проверки уязвимых мест:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • bittok23
      Поймал вирус, скорее всего майнер
      От bittok23
      Поймал вирус, сначала решил провести проверку по антивирусу, проверка шла и внезапно комп выключается и врубается снова, потом еще раз и после этого антивирус сам удаляется с устройства. В диспетчере задач при заходе видно что процессор нагружен на 100 и резко падает. Антивирус ничего не нашел после полной проверки, майнер так и остался, что делать я не понимаю
    • hu553in
      [РЕШЕНО] Поймал вредоносное ПО
      От hu553in
      Проблема схожая с соседними темами.
      C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0 Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.
      Помогите пожалуйста.
      Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.
      DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt
    • SDDdo
      [РЕШЕНО] Словил вирус/майнер
      От SDDdo
      Здравствуйте. 20.09.2024 был скачал microsoft office, но вместо установки, я получил вирус. Уже использовал и Malwarebytes, и kaspersky virus removal tool, и rkill, но проблема все еще присутствует. Замечаю я это по наличию то появляющегося, то исчезающего процесса в диспетчере задач под названием "autoit v3 script". Также не могу сделать скриншот диспетчера задач и редактора реестра. Редактор реестра закрывается практически сразу после открытия.
      Помимо логов прикрепляю файлы полученные с помощью Farbar Recovery Scan Tool 
      CollectionLog-2024.09.21-14.47.zip Addition.txt FRST.txt
    • Slowme
      FixList для FRST
      От Slowme
      FRST.txt Добрый день, подозреваю что словил майнер или подобный вирус. Помогите составить фикслист
    • Freudis
      Вирусы под систем файлами
      От Freudis
      После недавно установленного zip файла компьютер начал тупить, нагреваться и шуметь. Данный файл не запрашивал права администратора да и сам файл я не запускал. Проверял компьютер куреитами, ничего не нашли. Один касперский обнаружил 1 файл, но этот файл был под именем систем файла, точный файл не знаю, но в процессе лечения после перезагрузки я решил открыть диспетчер задач, выявило ошибку "нет доступа или администратор запретил доступ". Решил запустить хоть гугл, та же ошибка. Перевзловнованный выдернул из розетки включатель компьютера, доступ ко всему вернулся, касперский ничего не сделал, но после этого компьютер начал нагреваться и в один момент очень сильно зашумел, я начал подозревать что есть вирусы под именем системных файлов, ведь зная касперский, лишь он нашёл 1 вирус и именно при его удалении с перезагрузкой доступ пропал к приложениям. Перерыл интернет, ноль информации. Но и заканчивать работу каких нибудь svchost.exe или подобное я очень боюсь. Решил обратиться за помощью к единственному кто нашёл этот вирус. Помогите, пожалуйста.
      У меня windows 10
       
×
×
  • Создать...