Romcop 0 Опубликовано 28 декабря, 2016 Share Опубликовано 28 декабря, 2016 С Наступающим НГ! Сердобольный пользователь переслал в бухгалтерию письмо "результаты камеральной проверки(уведомление". Ответственный бухгалтер хоть и был предупрежден, что нельзя открывать почту от незнакомых адресов, но открыл, так как думал, что почта от своего. Ну и получил шифрование файлов и README1.TXT.....README10.TXT на исках С и D с блокировкой от no_more_ramson. Возможно, что и второй бухгалтер на своем заходила по ссылкам из письма, но пока проявления шифрования не видно. Смущает, что с помощью KVRT проверил зараженный компьютер, а он не нашел угроз. Поэтому и второй компьютер может быть заражен. Я так понял, что расшифровать файлы не удастся, но хотя бы полечиться. CollectionLog-2016.12.28-18.53.zip report1.log report2.log README1.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 29 декабря, 2016 Share Опубликовано 29 декабря, 2016 Здравствуйте! На момент заражения была ли включена эта настройка? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('c:\programdata\windows\csrss.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Ссылка на сообщение Поделиться на другие сайты
Romcop 0 Опубликовано 29 декабря, 2016 Автор Share Опубликовано 29 декабря, 2016 Здравствуйте! На момент заражения была ли включена эта настройка? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('c:\programdata\windows\csrss.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Добрый, спасибо за отклик! >На момент заражения была ли включена эта настройка? 1. Все компьютеры работают под политикой в которой установлены настройки указанные выше. 2. Второй компьютер оказался зараженным. Проверял KVRT - ничего не обнаружил. Включил в сеть и увидел, что начались надписи README1... Поэтому буду еще писать по другому зараженному компьютеру позже. 3.Скрипт выполнил. 4. Файл quarantine.zip отправил. [KLAN-5582272543] csrss.exe - Trojan-Ransom.Win32.Shade.ljr 5. Проверил еще раз autologger`ом. Файл прилагаю. CollectionLog-2016.12.29-11.59.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 29 декабря, 2016 Share Опубликовано 29 декабря, 2016 Все компьютеры работают под политикой в которой установлены настройки указанные вышеЗначит нужно Вам разбираться с ТП. буду еще писать по другому зараженному компьютеру позжеДля другого создайте отдельную тему. Здесь далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Romcop 0 Опубликовано 29 декабря, 2016 Автор Share Опубликовано 29 декабря, 2016 Вот такие дела. Что скажете? Addition.txt FRST.txt Shortcut.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 29 декабря, 2016 Share Опубликовано 29 декабря, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION GroupPolicy: Restriction <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION 2016-12-28 16:26 - 2016-12-28 16:26 - 03932214 _____ C:\Users\UserADC55\AppData\Roaming\B262A88CB262A88C.bmp 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README9.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README8.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README7.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README6.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README5.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README4.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README3.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README2.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README10.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README1.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README9.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README8.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README7.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README6.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README5.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README4.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README3.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README2.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README10.txt 2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README1.txt 2016-12-28 15:49 - 2016-12-28 15:49 - 00000000 __SHD C:\Users\Все пользователи\System32 2016-12-28 15:49 - 2016-12-28 15:49 - 00000000 __SHD C:\ProgramData\System32 2016-12-28 15:38 - 2016-12-29 11:46 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-12-28 15:38 - 2016-12-29 11:46 - 00000000 __SHD C:\ProgramData\Windows C:\Users\UserADC55\AppData\Local\Temp\amigo_setup.exe C:\Users\UserADC55\AppData\Local\Temp\downloader.exe C:\Users\UserADC55\AppData\Local\Temp\MailRuUpdater.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Romcop 0 Опубликовано 29 декабря, 2016 Автор Share Опубликовано 29 декабря, 2016 done. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 29 декабря, 2016 Share Опубликовано 29 декабря, 2016 Те же рекомендации: Смените пароли, создайте запрос на расшифровку. Ссылка на сообщение Поделиться на другие сайты
Romcop 0 Опубликовано 29 декабря, 2016 Автор Share Опубликовано 29 декабря, 2016 Огромное спасибо за помощь. Еще бы понять, что делать с политикой, которая пропустила эту вирь? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 29 декабря, 2016 Share Опубликовано 29 декабря, 2016 При общении с ТП сообщите также и об этом. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти