Прошу помощи в расшифровке.

[beg3mot]

Здравствуйте.

Помогите пожалуйста расшифровать файлы.

Обстоятельства заражения достоверно выяснить не удалось.

На момент заражения антивирусных продуктов Касперского установлено не было.

Действующая коммерческая лицензия имеется.

Перед сбором логов компьютер был пролечен KVRT. Помимо шифровальщика обнаружилась еще и орда троянов.

Прилагаю необходимые файлы.

CollectionLog-2017.06.06-15.09.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Ask Toolbar

Ask Toolbar Updater

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Csrss\csrss.exe', '');
 QuarantineFile('C:\ProgramData\services\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Csrss\csrss.exe', '32');
 DeleteFile('C:\ProgramData\services\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetworkSubsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Session Manager','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[beg3mot]

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Что указать в теме и в теле письма?

[Sandor]

Запрос хелпера на исследование карантина.

[beg3mot]

Пишут следующее:

[KLAN-6362663385] "Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный. Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем "infected" (без кавычек). Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер."

архив с паролем отправлял, результат тот же.

Прикладываю повторные логи.

CollectionLog-2017.06.06-18.16.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[beg3mot]

Готово.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  Toolbar: HKU\S-1-5-21-1290073001-416122325-3504656972-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
  2017-05-25 16:05 - 2017-05-26 10:11 - 00000000 __SHD C:\Users\Все пользователи\services
  2017-05-25 16:05 - 2017-05-26 10:11 - 00000000 __SHD C:\ProgramData\services
  2017-05-25 16:05 - 2017-05-25 18:21 - 00000000 __SHD C:\Users\Все пользователи\Csrss
  2017-05-25 16:05 - 2017-05-25 18:21 - 00000000 __SHD C:\ProgramData\Csrss
  2017-05-25 16:05 - 2017-05-25 16:05 - 03072054 _____ C:\Users\Андрей\AppData\Roaming\928CCED7928CCED7.bmp
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Андрей\Desktop\README9.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Андрей\Desktop\README8.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Андрей\Desktop\README7.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Андрей\Desktop\README6.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Андрей\Desktop\README5.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Андрей\Desktop\README4.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Андрей\Desktop\README3.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Андрей\Desktop\README2.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Андрей\Desktop\README10.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Андрей\Desktop\README1.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Public\Desktop\README9.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Public\Desktop\README8.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Public\Desktop\README7.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Public\Desktop\README6.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Public\Desktop\README5.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Public\Desktop\README4.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Public\Desktop\README3.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Public\Desktop\README2.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Public\Desktop\README10.txt
  2017-05-25 16:05 - 2017-05-25 16:05 - 00004186 _____ C:\Users\Public\Desktop\README1.txt
  2017-05-25 15:30 - 2017-05-25 15:30 - 00004186 _____ C:\README9.txt
  2017-05-25 15:30 - 2017-05-25 15:30 - 00004186 _____ C:\README8.txt
  2017-05-25 15:30 - 2017-05-25 15:30 - 00004186 _____ C:\README7.txt
  2017-05-25 15:30 - 2017-05-25 15:30 - 00004186 _____ C:\README6.txt
  2017-05-25 15:30 - 2017-05-25 15:30 - 00004186 _____ C:\README5.txt
  2017-05-25 15:30 - 2017-05-25 15:30 - 00004186 _____ C:\README4.txt
  2017-05-25 15:30 - 2017-05-25 15:30 - 00004186 _____ C:\README3.txt
  2017-05-25 15:30 - 2017-05-25 15:30 - 00004186 _____ C:\README2.txt
  2017-05-25 15:30 - 2017-05-25 15:30 - 00004186 _____ C:\README10.txt
  2017-05-25 15:30 - 2017-05-25 15:30 - 00004186 _____ C:\README1.txt
  2017-05-25 15:29 - 2017-05-25 18:21 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2017-05-25 15:29 - 2017-05-25 18:21 - 00000000 __SHD C:\ProgramData\Windows
  MSCONFIG\startupreg: Client Server Runtime Subsystem => 
  MSCONFIG\startupreg: CSRSS => 
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[beg3mot]

Готово

Fixlog.txt

[Sandor]

Попробуйте восстановить файлы средствами Windows.

Если не получится, увы, больше помочь нечем.

[beg3mot]

Попробуйте восстановить файлы средствами Windows.

Если не получится, увы, больше помочь нечем.

Понятно, спасибо за помощь. Есть ли надежда, что в обозримом будущем найдется лекарство?

[Sandor]

Надежда, как известно, есть всегда. Но шансов крайне мало.