Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Отработал шифровальщик Encoder.7111 no_more_ransom

Monfis18
 Share Подписчики 1

Рекомендуемые сообщения

Monfis18

Monfis18 0

Опубликовано
Опубликовано

Доброй ночи!

Запустил установку какой-то "микрософтовской" проги.... из названия запомнил два слова из 4-х: Microsoft и Volume

Собственно, все файлы зашифрованы.

Прогнал CureIt, нашел три угрозы - далее он их обезвредил и поместил в карантин.

 

Прошу помощи.

CollectionLog-2017.01.17-02.11.zip

post-43560-0-57643700-1484602405_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 785

Опубликовано
Опубликовано

Здравствуйте,


HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить

O4 - HKCU\..\Run: [CSRSS] "C:\ProgramData\Drivers\csrss.exe"

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 QuarantineFile('c:\programdata\drivers\csrss.exe','');
 DeleteFile('c:\programdata\drivers\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)


- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
Monfis18

Monfis18 0

Опубликовано
  • Автор
Опубликовано

Добрый день,

Ответ от newvirus@kaspersky.com:

Re: Запрос на исследование вредоносного файла [KLAN-5668916120]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.
 

В файлах найдены вредоносные программы
csrss.exe - HEUR:Trojan.Win32.Generic
Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

 

Файлы FRST.txt и Addition.txt прикрепляю.

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 785

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
2017-01-17 00:48 - 2017-01-17 01:09 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-01-17 00:48 - 2017-01-17 01:09 - 00000000 __SHD C:\ProgramData\Csrss
2017-01-17 00:47 - 2017-01-17 00:47 - 06912054 _____ C:\Users\User\AppData\Roaming\3ABB78993ABB7899.bmp
2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README9.txt
2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README8.txt
2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README7.txt
2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README6.txt
2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README5.txt
2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README4.txt
2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README3.txt
2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README2.txt
2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README10.txt
2017-01-16 09:46 - 2017-01-17 01:09 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-01-16 09:46 - 2017-01-17 01:09 - 00000000 __SHD C:\ProgramData\Windows
2017-01-16 09:46 - 2017-01-16 09:46 - 00935657 _____ C:\Users\User\AppData\Roamingpyx58.eXe
2017-01-17 00:47 - 2017-01-17 00:47 - 6912054 _____ () C:\Users\User\AppData\Roaming\3ABB78993ABB7899.bmp
2016-01-17 21:38 - 2016-01-17 21:42 - 0000000 _____ () C:\Users\User\AppData\Local\{026A1BA4-0EF7-438C-83B7-801C803891FD}
C:\Users\User\AppData\Local\Temp\AAMHelper.exe
C:\Users\User\AppData\Local\Temp\AdobeApplicationManager.exe
C:\Users\User\AppData\Local\Temp\BF51B3F3.exe
C:\Users\User\AppData\Local\Temp\Foxit Reader Updater.exe
C:\Users\User\AppData\Local\Temp\Foxit Updater.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 785

Опубликовано
Опубликовано

Спасибо за помощь!

Не подскажете, что это был за вирус(ы) в итоге?

csrss.exe - HEUR:Trojan.Win32.Generic, в следующих каталогах:

C:\ProgramData\Drivers
C:\ProgramData\Windows
Ссылка на сообщение
Поделиться на другие сайты
Monfis18

Monfis18 0

Опубликовано
  • Автор
Опубликовано

Доброго дня!

Посоветуйте какие файлы лучше всего вложить в запросе для большей вероятности расшифровки вирусной лабораторией.

README1.txt...

 

Спасибо)

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 785

Опубликовано
Опубликовано

Доброго дня!

Посоветуйте какие файлы лучше всего вложить в запросе для большей вероятности расшифровки вирусной лабораторией.

README1.txt...

 

Спасибо)

Следуйте инструкцией, далее если потребуются какие-то файлы, то тех. поддержка ЛК опишет Вам.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем
×
×
  • Создать...