Перейти к содержанию

Рекомендуемые сообщения

Сегодня зашифровал часть файлов. Часть удалось спаси отключением дисков и тем, что закрыл папки. Касперским провел лечение, как указано в 1 пункте. Однако, папка со зловредом осталась и сообщение периодически вылетало. Скачивание файла со сборщиком логов было невозможно. Скачивал  с другого компьютера. Сейчас вылетает при попытке написать на форум синий экран смерти с параметрами: stop 0x000000D1 (0x00000000FEE00000, 0x0000000000000002, 0x00000000000000001, 0xFFFFF88006B60E3D)

srvnet.sys - adress FFFFF88006B60E3D base at FFFFF88006B5E000 DateStamp 4dba2aff

возможно, системные файлы повреждены или зашифрованы....

 

CollectionLog-2017.05.12-22.07.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Админ\AppData\Local\SystemDir\nethost.exe','');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Adobe\Manager.exe','');
 QuarantineFile('C:\ProgramData\RenewalService\Renewal.exe','');
 DeleteService('Windows');
 QuarantineFile('C:\Windows\svchost.exe','');
 SetServiceStart('mssecsvc2.0', 4);
 DeleteService('mssecsvc2.0');
 QuarantineFile('C:\WINDOWS\mssecsvc.exe','');
 QuarantineFile('C:\ProgramData\frrwhovu416\tasksche.exe','');
 SetServiceStart('frrwhovu416', 4);
 DeleteService('frrwhovu416');
 DeleteFile('C:\ProgramData\frrwhovu416\tasksche.exe','32');
 DeleteFile('C:\WINDOWS\mssecsvc.exe','32');
 DeleteFile('C:\Windows\svchost.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','frrwhovu416');
 DeleteFile('C:\ProgramData\RenewalService\Renewal.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\RenewalService','64');
 DeleteFile('C:\Users\Админ\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\Users\Админ\AppData\Local\SystemDir\nethost.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\Manager','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на сообщение
Поделиться на другие сайты

При работе скрипта отправки в карантин несколько раз произошла ошибка прямого чтения.

Ответ техподдержки:

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
mssecsvc.exe - Trojan-Ransom.Win32.Wanna.b
tasksche.exe - Trojan-Ransom.Win32.Wanna.b

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

KLAN-6229589132
 

Новый архив прилагаю.
Файлы taskdl.exe. taskse.exe из папки C:\ProgramData\frrwhovu416 не удалены. Имеют такие разрешения (см скрин)


 

post-45444-0-52289900-1494617577_thumb.png

CollectionLog-2017.05.13-00.27.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Обновление поставьте http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

 

и имейте терпение и ждите, мы тут помогаем в сбодное от работы и других личных дел время.

Ссылка на сообщение
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-368956573-1238151722-556250040-1000\...\Run: [AdobeBridge] => [X]
GroupPolicy: Restriction - Chrome <======= ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx
2017-05-12 20:43 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\Админ\Desktop\@WanaDecryptor@.exe
2017-05-12 20:43 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\Public\Desktop\@WanaDecryptor@.exe
2017-05-12 20:43 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\Default\Desktop\@WanaDecryptor@.exe
2017-05-12 20:43 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\Default User\Desktop\@WanaDecryptor@.exe
2017-05-12 20:34 - 2017-05-12 20:34 - 06969195 _____ C:\Windows\Windows-----
2017-05-12 20:32 - 2017-05-12 20:32 - 01396035 _____ C:\3165616----
2017-05-12 20:29 - 2017-05-12 20:30 - 10133007 _____ C:\Users\Все пользователи\frrwhovu416---
2017-05-12 20:29 - 2017-05-12 20:30 - 10133007 _____ C:\ProgramData\frrwhovu416---
2017-05-12 18:54 - 2017-05-12 18:54 - 01443844 _____ C:\3165616.exe
2017-05-12 17:35 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Админ\Desktop\@WanaDecryptor@.bmp
2017-05-12 17:35 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Public\Desktop\@WanaDecryptor@.bmp
2017-05-12 17:35 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Default\Desktop\@WanaDecryptor@.bmp
2017-05-12 17:35 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Default User\Desktop\@WanaDecryptor@.bmp
2017-05-12 16:19 - 2017-05-12 14:35 - 00000933 _____ C:\Users\Админ\AppData\Roaming\@Please_Read_Me@.txt
2017-05-12 16:19 - 2017-05-12 14:35 - 00000730 _____ C:\Users\Админ\AppData\Roaming\@WanaDecryptor@.exe.lnk
2017-05-12 16:16 - 2017-05-12 14:35 - 00000933 _____ C:\Users\Админ\@Please_Read_Me@.txt
2017-05-12 14:42 - 2017-05-12 14:35 - 00000933 _____ C:\Users\Админ\Documents\@Please_Read_Me@.txt
2017-05-12 14:35 - 2017-05-13 00:10 - 00000000 ___HD C:\Users\Все пользователи\frrwhovu416
2017-05-12 14:35 - 2017-05-13 00:10 - 00000000 ___HD C:\ProgramData\frrwhovu416
2017-05-12 14:35 - 2017-05-12 14:35 - 00000933 _____ C:\Users\Админ\Desktop\@Please_Read_Me@.txt
Task: {37A0F441-9A04-4659-B476-531331EDC019} - \Microsoft\Windows\Application Experience\RenewalService -> No File <==== ATTENTION
Task: {A2A66725-7117-4129-BA00-5653C6A90C46} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Task: {D2E63781-BE5E-43F7-89DA-27D4B1228C0E} - \nethost task -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:2AEBCB5B [284]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [149]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124]
AlternateDataStreams: C:\ProgramData\TEMP:ACC6783C [384]
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [314]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:2AEBCB5B [284]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [149]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:ACC6783C [384]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:B755D674 [314]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От GG Securuty
      Не уверенна что нас сюда пустят - но я попробую 😊
       
       
    • От lam
      Здравствуйте. Обращается к вам Администрация Забайкальского краевого училища культуры. 11 января наш сервер был взломан и файлы были зашифрованы. Даже архивные данные. Сейчас работа локальной сети восстановлена, но работа сайта, почты учреждения не возможна. Все данные потеряны и зашифрованы.  Помогите, пожалуйста, в расшифровке данных. За ранее благодарим за помощь. Доступа к системе нет, но все зашифрованные файлы имеются. Совет профилактики архив.zip
    • От Александр Резник
      Привет!
       
      Файлы на компьютере зашифрованы [Cleveraynaz@gmail.com].harma, предполагаю что заражение произошло через RDP (логин и пароль простые).
      Система - Windows 7 64
       
      Начал переписываться и торговаться с этими гадами и в процессе переписки мне прислали странный скриншот с ключом. Прикрепил его.
       
      Александр.

      Files.zip Harma_v.zip Addition.txt FRST.txt
    • От KL FC Bot
      Мошенники в Интернете постоянно пытаются обмануть не только неподготовленных пользователей, но и сотрудников компаний. Да, бизнес обмануть обычно сложнее, чем бабушку, но и денег за одну успешно провернутую на нем схему злоумышленники зарабатывают больше. Поэтому попытки поймать бизнес на удочку продолжаются.
      Трюков существует множество, но среднестатистический мошенник ленив. Поэтому в большинстве случаев он пробует вариации на тему одних и тех же уловок. Мы решили собрать здесь самые распространенные схемы.
      Виды наживки
      Злоумышленникам важно, чтобы вы не просто прочитали его письмо, но и как-то отреагировали на него. Перешли по ссылке, открыли вложенный документ, оплатили счет. Для того чтобы вы это сделали, ему надо завладеть вашим вниманием.
      Привет от налоговой
      Вам приходит письмо о том, что вы не уплатили такой-то налог в полном объеме, вам начислены пени, и если вы с этим не согласны, надо скачать приложенную к письму форму, заполнить и отправить. В форме, разумеется, обнаруживается макрос — и как только вы его включаете (а пользователь уже привык автоматически кликать «согласен» в большинстве появляющихся окон), он незамедлительно скачивает из сети какой-нибудь вредонос и запускает его.
      Налоговой боятся многие компании, но свой страх надо знать в лицо: разбираться в том, как могут выглядеть письма от налоговой в вашем регионе, знать, будет она вообще писать по электронной почте или сразу позвонит.
      Уведомление о непрошедших платежах
      Заплатили налоги и рассчитались со всеми контрагентами? Это хорошо, но вот пишут, что платеж не прошел. Дальше может быть что угодно — от просьбы оплатить выставленный якобы повторно счет до требования сходить на какой-нибудь сомнительный сайт.
      От посещения сомнительных сайтов могут уберечь здравый смысл и антивирус, а вот от повторной оплаты счета — только здравый смысл.
      Предложение от таинственного контрагента
      «Здравствуйте, я представляю организацию «Дрова и Корыта», мы хотели бы поставлять для вашей компании нашу продукцию, прайс-лист во вложении, очень жду вашего ответа». Во вложении действительно есть какой-то файл. И хорошо еще, если это опять текст с макросом, а не замаскированный под документ исполняемый файл. Письма от условных «Дров и Корыт» обычно рассылают массово, рассчитывая попасть хотя бы в какую-то организацию.
      Уведомление от службы безопасности
      Этот способ обмана действует в основном для компаний с офисами в разных городах. Зачастую сотрудники региональных отделений плохо представляют себе, как выглядят и чем занимаются коллеги из головного офиса. Получив письмо, скажем, от имени «главного безопасника» с требованием установить некий сертификат, многие безропотно пойдут это требование исполнять, не посмотрев, что на самом деле письмо отправлено с «левого» почтового адреса. Сертификат установлен? Вы на крючке.
      К чему приводит попадание на крючок
      С фишинговыми сайтами все, как правило, понятно — они служат для того, чтобы похитить у вас учетные данные. А вот вредоносы в письмах попадаются разные. Но чаще всего вы столкнетесь с каким-нибудь представителем из следующего списка.
      Крыса в компьютере
      Один из самых любимых инструментов киберпреступников — программа для удаленного доступа к компьютеру (Remote Access Tool, сокращенно RAT). С ее помощью злоумышленники попадают в сеть предприятия, а там они могут делать что угодно. Например, установить дополнительные вредоносы. Украсть важные документы. Или, скажем, найти компьютер человека, отвечающего за финансы, и перехватить данные для доступа к платежной системе. Ну а дальше просто перевести деньги компании на свой счет.
      Шифровальщик
      Шифровальщики, как можно догадаться по их названию, шифруют файлы — так, что с последними нельзя работать. Документ не прочитать, презентацию не показать. Бывают еще такие шифровальщики, которые распространяются по локальной сети — то есть попадает зловред на один компьютер, а данные в результате зашифрованы на всех машинах, до которых он смог дотянуться. За возврат данных злоумышленники требуют выкуп. Например, не так давно жертвой шифровальщика стала администрация города Балтимор, в результате чего часть городских служб просто не работала. Чтобы вернуть все как было, злоумышленники требовали более 100 тысяч долларов.
      Шпионаж
      Также организациям любят подсовывать шпионов — зловредов, которые собирают конфиденциальную информацию. Шпионский троян тихо сидит на компьютере, записывая логины, пароли и адреса, коллекционируя переписку и пересылаемые файлы. Для высокотехнологичных компаний основная опасность в том, что какое-то ноу-хау и планы узнают конкуренты, а прочим организациям шпионы грозят в первую очередь тем, что злоумышленники получат доступ к управлению деньгами и украдут их. Впрочем, такое может случиться и с большими компаниями — например, у Центрального банка Бангладеш так украли 81 миллион долларов.
      Чтобы не попадаться на уловки злоумышленников, надо:
      Быть внимательным. Знать законы, в юрисдикции которых вы работаете, и понимать методы госструктур и регуляторов. Разбираться в том, какие типы файлов опаснее других. Не брезговать антивирусом, желательно с хорошей защитой против фишинга и спама . View the full article
    • От regist
      На форуме зарегистрировались мошенники, которые предлагают перевести им деньги, а взамен обещают выслать вам дешифратор.
      Не ведитесь на это. Это развод! Никакого дешифратора у них нет.
      Если вам предлагают купить дешифратор, то просьба сообщите об этом модератору.
×
×
  • Создать...