xorist Вирус-шифровальщик устанавливает расширение .du1732

[Ajax]

Доброго времени суток. Я "поймал" вирус шифровальщик, который зашифвровал почти все данные на моем ПК. зашифрованные файлы получили рсширение .du1732. Почта злоумышленников: dumdos@ya.ru.

CollectionLog-2017.05.06-23.50.zip

[regist]

Здравствуйте!

 

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\Fonts\javas.exe');
 QuarantineFile('C:\Windows\Fonts\javas.exe', '');
 QuarantineFile('C:\Users\Public\Libraries\Libraries.pif', '');
 QuarantineFile('C:\Users\Public\Videos\Videos.pif', '');
 QuarantineFileF('C:\Users\Администратор\AppData\Roaming\NsCpuCNMiner', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Windows\Fonts\javas.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 DeleteService('works');
 DeleteFileMask('C:\Users\Администратор\AppData\Roaming\NsCpuCNMiner', '*', true);
 DeleteDirectory('C:\Users\Администратор\AppData\Roaming\NsCpuCNMiner');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

3) Пожалуйста, перезагрузите компьютер вручную.

4)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

5) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

6)

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

5. Подробнее читайте в руководстве Как подготовить лог UVS.

 

[Ajax]

1. http://virusinfo.info/virusdetector/report.php?md5=4D04A982E2C8F88B62693057A0C468B2

2. quarantine.zip [KLAN-6204295724]Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
javas.exe

В следующих файлах обнаружен вредоносный код:
Libraries.pif - Worm.Win32.AutoRun.iea
Videos.pif - Worm.Win32.AutoRun.iea
NsCpuCNMiner32.exe - Trojan.Win32.Miner.ays

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
IMG002.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.sx
NsCpuCNMiner64.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.sx

 

Заранее благодарен

 

 

ClearLNK-07.05.2017_11-18.log

SRV1C_2017-05-07_19-09-37.7z

[regist]

1) IPSEC политику сами настраивали?
 
2)

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
  

  ;uVS v4.0.1 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  ;---------command-block---------
  delref HTTP://JS.MYKINGS.TOP:280/HELLOWORLD.MSI
  delref E:\BIN\ASSETUP.EXE
  apply
  
  restart  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."

 

3) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

C:\USERS\КАССИР\DESKTOP\1.EXE

Этот файл вам знаком?

 

Проверьте эти файлы на virustotal

C:\PROGRAMDATA\DRM\%SESSIONNAME%\KGUER.CC3
C:\USERS\КАССИР\DESKTOP\1.EXE

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
  Изменено 7 мая, 2017 пользователем regist