Зашифрованы файлы

[Magnat18]

Здравствйте!
 

Помогите пожалуйста!

Вирус зашифровал все важные файлы.

Вирус пришел в письме с угрозой какого нарушения.

 

 

Зранее благодар.

report2.log

CollectionLog-2017.05.24-19.55.zip

report1.log

README1.txt

[thyrex]

Наверное того, кто запустил вирус прямо на сервере, нужно заставить восстанавливать все файлы вручную.

Сразу скажу: расшифровки не будет.

 

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Перезагрузку компьютера выполните вручную.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[Magnat18]

Наверное того, кто запустил вирус прямо на сервере, нужно заставить восстанавливать все файлы вручную.

Сразу скажу: расшифровки не будет.

 

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Перезагрузку компьютера выполните вручную.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

 

 

 

Не вижу где Прислать запрошенный карантин?

[thyrex]

Опять не поправил шаблон...

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

[Magnat18]

KLAN-6294557546

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
csrss.exe - Trojan-Ransom.Win32.Shade.nez

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

Новые логи

CollectionLog-2017.05.24-23.23.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Magnat18]

Готово

FRST.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-05-24 19:29 - 2017-05-24 19:29 - 02986038 _____ C:\Documents and Settings\Администратор\Application Data\5C8136A15C8136A1.bmp
2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README9.txt
2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README8.txt
2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README7.txt
2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README6.txt
2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README5.txt
2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README4.txt
2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README3.txt
2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README2.txt
2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README10.txt
2017-05-24 19:29 - 2017-05-24 19:29 - 00004178 _____ C:\Documents and Settings\Администратор\Рабочий стол\README1.txt
2017-05-24 15:17 - 2017-05-24 19:32 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README9.txt
2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README8.txt
2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README7.txt
2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README6.txt
2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README5.txt
2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README4.txt
2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README3.txt
2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README2.txt
2017-05-24 15:17 - 2017-05-24 15:17 - 00004178 _____ C:\README10.txt
2017-05-24 15:06 - 2017-05-24 22:28 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2014-07-01 16:25 - 2014-07-01 16:25 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR3.exe
2014-11-24 10:48 - 2014-11-24 10:48 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR4.exe
2014-12-08 17:43 - 2014-12-08 17:43 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR5.exe
2015-07-06 17:28 - 2015-07-06 17:29 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR6.exe
2015-11-27 17:51 - 2015-11-27 17:51 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR7.exe
2015-12-26 17:55 - 2015-12-26 17:56 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR8.exe
2016-11-02 10:14 - 2016-11-02 10:18 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GUR9.exe
2017-01-09 18:53 - 2017-01-09 18:53 - 0000000 _____ () C:\Documents and Settings\Администратор\Local Settings\Temp\GURA.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Перезагрузку компьютера выполните вручную.

[Magnat18]

Выполнено

Fixlog.txt

[thyrex]

С расшифровкой помочь не сможем