Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

*.no_more_ransom - Trojan.Encoder.858

vvkov
 Share Подписчики 0

Рекомендуемые сообщения

vvkov

vvkov 0

Опубликовано
  • Автор
Опубликовано

В момент заражения на компьютере отсутствовал антивирус.

 

Обращался в техническую поддержку DrWeb и Nod32

Ответили, что дешифровать пока невозможно. 

 

DrWeb сказал, что файлы зашифрованы trojan.Encoder.858

 

CollectionLog-2017.04.28-17.02.zip

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 618

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\programdata\csrss\csrss.exe');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 StopService('642E356');
 StopService('70FB88C');
 QuarantineFile('c:\programdata\services\csrss.exe', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\programdata\csrss\csrss.exe', '');
 QuarantineFile('c:\programdata\drivers\csrss.exe', '');
 QuarantineFile('C:\Windows\TEMP\642E356.sys', '');
 QuarantineFile('C:\Windows\TEMP\70FB88C.sys', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VegaFTPSecureClient.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\VegaFTPSecureClient.exe', '');
 QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
 QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk', '');
 QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk', '');
 QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk', '');
 QuarantineFileF('c:\programdata\services\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\programdata\windows\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\programdata\drivers\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files\contentprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('c:\programdata\services\csrss.exe', '32');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 DeleteFile('c:\programdata\csrss\csrss.exe', '32');
 DeleteFile('c:\programdata\drivers\csrss.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VegaFTPSecureClient.exe', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\VegaFTPSecureClient.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\libeay32.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\ssleay32.dll', '32');
 DeleteFileMask('c:\programdata\services\', '*', true);
 DeleteFileMask('c:\programdata\windows\', '*', true);
 DeleteFileMask('c:\programdata\drivers\', '*', true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteFileMask('c:\program files\contentprotector', '*', true);
 DeleteDirectory('c:\programdata\services\');
 DeleteDirectory('c:\programdata\windows\');
 DeleteDirectory('c:\programdata\drivers\');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteDirectory('c:\program files\contentprotector');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetworkSubsystem');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...