DA VINCI CODE

[Drom]

Добрый день.

Прошу помочь, шеф поймал шифровальщик на свой ПК (пришел в письме с почтой, как говорит открыл на автоматизме)На ПК стоял Kaspersky Endpoint Security 10 с актуальными базами(получается он не среагировал.) Надеюсь на помощь.

 

CollectionLog-2016.10.24-08.56.zip

[Sandor]

Здравствуйте!

 

Была ли включена эта настройка?

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\ce6ddc0c-ca50-43fe-85d0-2f7471340944', '*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\CE6DDC0C-CA50-43FE-85D0-2F7471340944\EFC0F0EA-64E0-4C68-ADFE-6987A123CB4A.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\yupdate.exe-{384826FC-7096-4864-8392-3B671AA4CD8C}', '');
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\C2ECA3AC831D52CF7F04BB683A37F736\72D2BD1F39B599372656FC2468869E0C.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\869E0C8642CF656273995B93F172D2BD" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\869E0C8642CF656273995B93F172D2BDSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\869E0C8642CF656273995B93F172D2BD" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\869E0C8642CF656273995B93F172D2BDSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\ACE6DDC0C-CA50-43FE-85D0-2F7471340944" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\CE6DDC0C-CA50-43FE-85D0-2F7471340944\EFC0F0EA-64E0-4C68-ADFE-6987A123CB4A.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\yupdate.exe-{384826FC-7096-4864-8392-3B671AA4CD8C}', '32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\C2ECA3AC831D52CF7F04BB683A37F736\72D2BD1F39B599372656FC2468869E0C.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFileMask('c:\program files\kinoroom browser', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteDirectory('c:\program files\kinoroom browser');
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','CE6DDC0C-CA50-43FE-85D0-2F7471340944');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ClearTemp','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kinoroom Browser','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 

 

Компьютер перезагрузится. 

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Drom]

Да перепроверил еще раз настройка включена.

[KLAN-5230274976]

Файл нулевой длины.

Приходит странный ответ от newvirus@kaspersky.com

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

 

Отправляю файлы в архиве и все равно ответ тот же...

CollectionLog-2016.10.24-11.40.zip

[Sandor]

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Drom]

Сделал

Хотелось бы уточнить есть ли вероятность расшифровки файлов? (заявку создал) Или средства дешифровки от Давинчи еще нет у касперского?

Просто интересно как эта дрянь смогла пролезть в защищенную систему......

AdwCleanerS0.txt

[Sandor]

как эта дрянь смогла пролезть в защищенную систему

Вы не ответили на мой вопрос:

Была ли включена эта настройка?

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Drom]

В посте выше я уже отвечал на Ваш вопрос. Да настройка Контроль активности программ была включена . ( И были сделаны все изменения согласно инструкции).

Изменено 24 октября, 2016 пользователем Drom

[Sandor]

Виноват, значит я не заметил. Продолжайте.

 

есть ли вероятность расшифровки файлов?

Она весьма невелика.

[Drom]

Прикрепляю отчеты.

Addition.txt

AdwCleanerC0.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
BHO: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll => No File
BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
Toolbar: HKU\S-1-5-21-3947637046-223882307-1323257891-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-10-21 14:23 - 2016-10-21 14:23 - 00004088 ____H C:\Users\User\AppData\Local\lcqepxqzoykxmrlcqepxqzoykxmrlcqepxq.oyk
2016-10-21 14:20 - 2016-10-21 14:25 - 00000272 ____H C:\Users\User\AppData\Local\cilooltrvuvxbveknqqnvtxw.zdx
2016-10-21 13:59 - 2016-10-21 13:59 - 03932214 _____ C:\Users\User\AppData\Roaming\9ED173669ED17366.bmp
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README9.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README8.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README7.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README6.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README5.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README4.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README3.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README2.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README10.txt
2016-10-21 13:59 - 2016-10-21 13:59 - 00004202 _____ C:\Users\User\Desktop\README1.txt
2016-10-21 10:23 - 2016-10-21 10:23 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-10-21 10:23 - 2016-10-21 10:23 - 00000000 __SHD C:\ProgramData\System32
2016-10-21 10:21 - 2016-10-21 10:21 - 00950980 _____ (ThamiZha! community - thamizha.com) C:\Users\User\AppData\Roaming.exe
2016-10-21 10:21 - 2016-06-22 16:48 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-21 10:21 - 2016-06-22 16:48 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\adm\AppData\Local\Temp\2f31edaf-e79e-4f10-8516-2a90463d5c5d.exe
Task: {6208D3BF-2404-4C12-ABF7-9DFB4F861632} - \imjpyexc -> No File <==== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Drom]

Сделал.

Fixlog.txt

[Sandor]

Да перепроверил еще раз настройка включена

Если она и была включена на момент заражения, сообщите об этом также в ТП.

 

На этом по нашей части все. До окончания не удаляйте папку C:\FRST

[Drom]

Большое спасибо. Будем надеяться на помощь супорта )