mavl77 Опубликовано 25 февраля, 2017 Опубликовано 25 февраля, 2017 Словил вирус. Файлы изображений, таблиц и офисных приложений сменили название на примерное следующее: email-ivanivanov34@aol.com.ver-CL 1.3.1.0.id-@@@@@78E1-B9D8.randomname-PRSTUUVWXXYYZZABCCCDEEFGHHHIJJ.LLL Во всех папках появился файл README.txt с содержимым "to decrypt files write to this mail ivanivanov34@aol.com" К компьютеру разрешено подключение удаленного помощника. могу предоставить зашифрованный файл и его оригинал до взлома. CollectionLog-2017.02.25-15.36.zip
thyrex Опубликовано 25 февраля, 2017 Опубликовано 25 февраля, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\user1\Documents\x86\svchos3.vbs',''); DeleteFile('C:\Users\user1\Documents\x86\svchos3.vbs','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Griffon Опубликовано 27 февраля, 2017 Опубликовано 27 февраля, 2017 Доброго времени суток! Поймал тот же зловред, с тем же адресом, причём 26 февраля. К больному компу доступ только удалённо, поэтому сделать лог Autologger'ом не получается. Есть другой способ предоставить логи? Дешифровка хотя бы в теории возможна? Спасибо.
Sandor Опубликовано 27 февраля, 2017 Опубликовано 27 февраля, 2017 @Griffon, здравствуйте! Не пишите в чужой теме, создайте свою. К больному компу доступ только удалённоЕсли возможно подключиться через Teamviewer, соберите и прикрепите логи.
mavl77 Опубликовано 28 февраля, 2017 Автор Опубликовано 28 февраля, 2017 [KLAN-5882237306] Получил следующий ответ Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.Антивирус Касперского проверил файлы.Вредоносные программы не найдены в файлах:Check_Browsers_LNK.logHiJackThis.loginfo.txtlog.txtvirusinfo_syscheck.zip/avz_sysinfo.htmvirusinfo_syscheck.zip/avz_sysinfo.xmlvirusinfo_syscure.zip/avz_sysinfo.htmvirusinfo_syscure.zip/avz_sysinfo.xmlВ файлах найдены вредоносные программыsvchos3.vbs - HEUR:Trojan.Script.GenericМы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.
Sandor Опубликовано 28 февраля, 2017 Опубликовано 28 февраля, 2017 Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи AutologgerЭти логи следует прикрепить здесь к сообщению также, как в Вашем первом сообщении.
mavl77 Опубликовано 28 февраля, 2017 Автор Опубликовано 28 февраля, 2017 прикрепляю CollectionLog-2017.02.28-11.30.zip
thyrex Опубликовано 28 февраля, 2017 Опубликовано 28 февраля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
thyrex Опубликовано 1 марта, 2017 Опубликовано 1 марта, 2017 2017-02-25 04:27 - 2017-01-31 11:10 - 01750706 ___SH C:\Users\user1\Documents\x86.exe 2017-02-25 04:27 - 2016-07-22 19:22 - 00000108 ___SH C:\Users\user1\Documents\start.vbs 2017-02-25 04:27 - 2016-07-21 01:53 - 00000044 ___SH C:\Users\user1\Documents\hide-.cmd 2017-02-25 04:26 - 2017-02-25 04:26 - 00000000 ___SH C:\Users\user1\Documents\Default.rdp заархивируйте с паролем virus, выложите на обменник без капчи и времени ожидания и пришлите ссылку мне в личные сообщения 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: ShortcutTarget: svchos3 - Ярлык.lnk -> C:\Users\user1\Documents\x86\svchos3.vbs (No File) Toolbar: HKU\S-1-5-21-1274803721-940511295-762469951-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File 2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\user1\README.txt 2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\user1\Downloads\README.txt 2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\user1\Desktop\README.txt 2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\user1\AppData\Roaming\README.txt 2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\user1\AppData\Local\README.txt 2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\sefer\README.txt 2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\sefer\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\sefer\AppData\Local\README.txt 2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\README.txt 2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\README.txt 2017-02-24 22:22 - 2017-02-24 22:35 - 00000074 _____ C:\Users\sefer\Documents\README.txt 2017-02-24 22:22 - 2017-02-24 22:22 - 00000074 _____ C:\Users\sefer\Downloads\README.txt 2017-02-24 21:56 - 2017-02-24 21:56 - 00000074 _____ C:\Users\sefer\Desktop\README.txt 2017-02-24 21:53 - 2017-02-24 22:35 - 00000074 _____ C:\Users\Все пользователи\README.txt 2017-02-24 21:53 - 2017-02-24 22:35 - 00000074 _____ C:\Users\Public\Desktop\README.txt 2017-02-24 21:53 - 2017-02-24 22:35 - 00000074 _____ C:\ProgramData\README.txt 2017-02-24 21:53 - 2017-02-24 22:35 - 00000074 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\sefer\AppData\Roaming\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Public\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Public\Downloads\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\Downloads\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\Documents\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\Desktop\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\AppData\Roaming\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\AppData\Local\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default User\Downloads\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default User\Documents\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default User\Desktop\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default User\AppData\Roaming\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default User\AppData\Local\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\Downloads\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\Documents\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\Desktop\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\AppData\Roaming\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\AppData\Local\README.txt 2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Program Files\README.txt 2017-02-24 21:44 - 2017-02-24 21:44 - 00000074 _____ C:\Program Files\Common Files\README.txt Task: {63D7B663-FF62-4E5F-8F6C-8C6FF16B126C} - \system -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера.
mavl77 Опубликовано 2 марта, 2017 Автор Опубликовано 2 марта, 2017 вот ссылка на архив - [удалено] Fixlog.txt
thyrex Опубликовано 2 марта, 2017 Опубликовано 2 марта, 2017 Файлы, которые присылали, удаляйте вручную. При наличии коммерческой лицензии на любой из продуктов Лаборатории Касперского создайте запрос в техподдержку
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти