шифровальщик .no_more_ransom [Shade Ransomware]

[MasterAg]

28 ноября схватили шифровальшик. Покоцал оффис-ные файлы.

Autologger  файл CollectionLog-yyyy.mm.dd-hh.mm.zip не создал .

Что - делать дальше ?

Avz Вылетает , остальные логи прикрепил

AutoLogger.zip

Изменено 2 декабря, 2016 пользователем MasterAg

[mike 1]

 

Autologger  файл CollectionLog-yyyy.mm.dd-hh.mm.zip не создал .

По какой причине?

[MasterAg]

Создал вручную , кроме AVZ

AutoLogger.zip

[mike 1]

Вы на вопрос не ответили.

[MasterAg]

В проце6ссе сканирования программа Avz сама отключается без объяснений

[mike 1]

С какой ошибкой? Сделайте скриншот.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

Код (Text):

var PathAutoLogger, CMDLine : string;

begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
    if FolderIsEmpty(PathAutoLogger+'CrashDumps')
        then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
        else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
        else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.
 

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на  http://rgho.st/

[MasterAg]

Сделал , загрузил все репорт из моих попыток

Report.7z

report1.log

report2.log

report3.log

[Sandor]

Проверьте есть ли нужный архив в папке

C:\Documents and Settings\Лариса\Мои документы\Загрузки\AutoLogger\AutoLogger\CollectionLog-2016.12.06-14.02\

Выполните в AVZ стандартный скрипт №3: Файл - Стандартные скрипты - отметить 3-й - Выполнить.

Результат прикрепите к следующему сообщению.

[MasterAg]

Сделал , только папка с логом пуста в AVZ , прикрепляю только карантин . Это всё что было создано. AVZ заканчивается аварийно.

CollectionLog-2016.12.06-14.02.zip

Изменено 9 декабря, 2016 пользователем Sandor
Убрал карантин

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\all users\application data\csrss\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\drivers\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '');
 DeleteFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[MasterAg]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
?. ?. ??????.vcf
pk32j.exe
4446a3.msi

В файлах найдены вредоносные программы
csrss.exe - Trojan.Win32.Agent.nevnwq
csrss_0.exe - Trojan.Win32.Agent.neumtu

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

 

KLAN-5470228301
 

[Sandor]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Жду.

[MasterAg]

Результат

CollectionLog-2016.12.09-12.29.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[MasterAg]

отчёты

FRST.txt

Shortcut.txt

Addition.txt