Поймали шифровальщика

[Denis.Pryahin]

Куплено продление Kaspersky Endpoint Security для бизнеса - Стандартный Russian Edition. 150249 Node 1 year Renewal License на 50 пользователей на ИП Чичкин П.В. Поймал один из пользователей шифровальщик. Файлик прилагаю, ни каких действий более не успели сделать. Очень важно не вылечить железку, а дешефрануть инфу, много наработок и документов. Смена кадров произошла. Совпадение или нет, мы не знаем, но копий НЕТ. Очень нужно вылечится. Жду. Спасибо.

CollectionLog-2017.01.12-16.28.zip

[Sandor]

Здравствуйте!

 

На момент заражения была ли включена эта настройка?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\all users\application data\drivers\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', '');
 DeleteFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Загрузите GMER по одной из указанных ссылок:

  Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

• Временно отключите драйверы эмуляторов дисков.
• Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
• Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
• Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
• Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
• После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробную инструкцию читайте в руководстве.

[Denis.Pryahin]

KLAN-5649929548

 

Антивирус Касперского проверил файлы.

 

В файлах найдены вредоносные программы

csrss.exe - Trojan.Win32.Agent.neumtu

csrss_0.exe - Trojan-Ransom.Win32.Shade.lke

 

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Делать 

• Загрузите GMER по одной из указанных ссылок:
  Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Или ждать дальнейших инструкций ? 

[Sandor]

Делать.

[Denis.Pryahin]

Файлик прикрепил после сканирования. Жду дальнейших указаний. 

gmer_save.log

[Sandor]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 5x39kqm6.exe случайное имя утилиты (gmer)

5x39kqm6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qqrzw"
5x39kqm6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\effgg"
5x39kqm6.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qqrzw"
5x39kqm6.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\effgg"
5x39kqm6.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qqrzw"
5x39kqm6.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\effgg"
5x39kqm6.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

 

Внимание: Компьютер перезагрузится!

Сделайте новый лог gmer.

[Denis.Pryahin]

После повторного сканирования 

gmer_save2.log

[Sandor]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Denis.Pryahin]

Прошелся Kaspersky Virus Removal Tool 2015; не обнаружено вирусов

Сделал как в статье, вот прикрепил файлы.

CollectionLog-2017.01.18-17.08.zip

gmer_save2.log

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Denis.Pryahin]

Сделано 

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-1708537768-1450960922-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mail.ru/cnt/7231
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1708537768-1450960922-725345543-1004 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1708537768-1450960922-725345543-1004 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
NETSVC: qqrzw -> no filepath.
NETSVC: effgg -> no filepath.
2017-01-10 15:24 - 2017-01-10 15:24 - 02949174 _____ C:\Documents and Settings\1\Application Data\1B0F8F7C1B0F8F7C.bmp
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\1\Рабочий стол\README9.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\1\Рабочий стол\README8.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\1\Рабочий стол\README7.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\1\Рабочий стол\README6.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\1\Рабочий стол\README5.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\1\Рабочий стол\README4.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\1\Рабочий стол\README3.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\1\Рабочий стол\README2.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\1\Рабочий стол\README10.txt
2017-01-10 15:24 - 2017-01-10 15:24 - 00004154 _____ C:\Documents and Settings\1\Рабочий стол\README1.txt
2017-01-10 15:01 - 2017-01-10 15:01 - 00004154 _____ C:\README9.txt
2017-01-10 15:01 - 2017-01-10 15:01 - 00004154 _____ C:\README8.txt
2017-01-10 15:01 - 2017-01-10 15:01 - 00004154 _____ C:\README7.txt
2017-01-10 15:01 - 2017-01-10 15:01 - 00004154 _____ C:\README6.txt
2017-01-10 15:01 - 2017-01-10 15:01 - 00004154 _____ C:\README5.txt
2017-01-10 15:01 - 2017-01-10 15:01 - 00004154 _____ C:\README4.txt
2017-01-10 15:01 - 2017-01-10 15:01 - 00004154 _____ C:\README3.txt
2017-01-10 15:01 - 2017-01-10 15:01 - 00004154 _____ C:\README2.txt
2017-01-10 15:01 - 2017-01-10 15:01 - 00004154 _____ C:\README10.txt
2017-01-10 15:01 - 2017-01-10 15:01 - 00004154 _____ C:\README1.txt
2017-01-10 15:00 - 2017-01-13 15:05 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
C:\Documents and Settings\1\Local Settings\Temp\4FD70E11.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Denis.Pryahin]

Сделал. 

Fixlog.txt

[Sandor]

Создайте запрос на расшифровку.

 

Папку C:\FRST пока не удаляйте.