Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Wcnry Или подражатель?

Александр Корешков

Автор Александр Корешков,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 1

Рекомендуемые сообщения

Александр Корешков

Александр Корешков 0

Опубликовано
Опубликовано (изменено)

Добрый день. Возникла следующая ситация. На компьютере начал активность процесс трояна (логи приложил файл report.txt), парметры процесса (parameters.txt). CollectionLog-2017.06.20-09.11.zipinstall.logreport.txtinstall.log

 

Забыл указать по спецификации DrWeb было найдено Trojan.BtcMine569 и Trojan.BtcMine1271 . Причем есть подозрение что 569 сидел задолго до появления второго и ждал своего часа. 

Судя по поведению по сети не шарил, по крайней мере была затронута только одна общая папка и та была заттачена как сетевой диск. В этой папке почему то не тронул файлы в папка с инициалами (например Иванов А.В. )

Изменено пользователем Александр Корешков
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AnySend 1.0.18.0 (x64)

AnySend, Any file, Any size, Anywhere!

Driver Booster 2.1

Служба автоматического обновления программ

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
  QuarantineFile('C:\Users\s.paramonova\AppData\Roaming\omiga-plus\UninstallManager.exe','');
 QuarantineFile('C:\Program Files (x86)\Power Gaming\power_gaming_helper_service.exe','');
 QuarantineFile('C:\Program Files (x86)\Franzy Shopping Deals\franzy_shopping_deals_helper_service.exe','');
 DeleteFile('C:\Program Files (x86)\Franzy Shopping Deals\franzy_shopping_deals_helper_service.exe','32');
 DeleteFile('C:\Program Files (x86)\Power Gaming\power_gaming_helper_service.exe','32');
 DeleteFile('C:\Windows\Tasks\power_gaming_helper_service.job','32');
 DeleteFile('C:\Windows\Tasks\franzy_shopping_deals_helper_service.job','32');
 DeleteFile('C:\Windows\system32\Tasks\franzy_shopping_deals_helper_service','64');
 DeleteFile('C:\Windows\system32\Tasks\power_gaming_helper_service','64');
 DeleteFile('C:\Users\s.paramonova\AppData\Roaming\omiga-plus\UninstallManager.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{94BBCD8A-CEFA-4188-81D7-81D746DA5B9F}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на сообщение
Поделиться на другие сайты
Александр Корешков

Александр Корешков 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AnySend 1.0.18.0 (x64)

AnySend, Any file, Any size, Anywhere!

Driver Booster 2.1

Служба автоматического обновления программ

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
  QuarantineFile('C:\Users\s.paramonova\AppData\Roaming\omiga-plus\UninstallManager.exe','');
 QuarantineFile('C:\Program Files (x86)\Power Gaming\power_gaming_helper_service.exe','');
 QuarantineFile('C:\Program Files (x86)\Franzy Shopping Deals\franzy_shopping_deals_helper_service.exe','');
 DeleteFile('C:\Program Files (x86)\Franzy Shopping Deals\franzy_shopping_deals_helper_service.exe','32');
 DeleteFile('C:\Program Files (x86)\Power Gaming\power_gaming_helper_service.exe','32');
 DeleteFile('C:\Windows\Tasks\power_gaming_helper_service.job','32');
 DeleteFile('C:\Windows\Tasks\franzy_shopping_deals_helper_service.job','32');
 DeleteFile('C:\Windows\system32\Tasks\franzy_shopping_deals_helper_service','64');
 DeleteFile('C:\Windows\system32\Tasks\power_gaming_helper_service','64');
 DeleteFile('C:\Users\s.paramonova\AppData\Roaming\omiga-plus\UninstallManager.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{94BBCD8A-CEFA-4188-81D7-81D746DA5B9F}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

 

 

Отправил файл. Жду ответа с указанием KLAN

AdwCleanerS0.txt

CollectionLog-2017.06.20-13.36.zip

Ссылка на сообщение
Поделиться на другие сайты
Александр Корешков

Александр Корешков 0

Опубликовано
  • Автор
Опубликовано

Запустите повторное сканирование AdwCleaner и удалите по окончании все найденные записи

KLAN-6423930923 

AdwCleanerC0.txt

AdwCleanerS1.txt

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Александр Корешков

Александр Корешков 0

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

Addition.rar

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-1907628122-4101366337-3483572906-1117\...\Run: [{17241AAD-5722-0BAB-B2D2-665B53021B0B}] => C:\Users\s.paramonova\Инструкция по расшифровке файлов WannaCry.TXT [6959 2017-06-19] ()
HKU\S-1-5-18\...\Run: [] => [X]
Toolbar: HKU\S-1-5-21-1907628122-4101366337-3483572906-1117 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-1907628122-4101366337-3483572906-1117 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HKU\S-1-5-21-1907628122-4101366337-3483572906-1117\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
2017-06-17 03:10 - 2017-06-17 03:10 - 00006959 _____ C:\Users\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:09 - 2017-06-17 03:09 - 00006959 _____ C:\Users\Все пользователи\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:09 - 2017-06-17 03:09 - 00006959 _____ C:\Users\Администратор\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:09 - 2017-06-17 03:09 - 00006959 _____ C:\Users\Администратор.MALAKHOVO1C\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:09 - 2017-06-17 03:09 - 00006959 _____ C:\Users\Администратор.MALAKHOVO1C\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:09 - 2017-06-17 03:09 - 00006959 _____ C:\ProgramData\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:08 - 2017-06-17 03:08 - 00006959 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:08 - 2017-06-17 03:08 - 00006959 _____ C:\Users\s.kozlova\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:08 - 2017-06-17 03:08 - 00006959 _____ C:\Users\s.kozlova\Downloads\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:08 - 2017-06-17 03:08 - 00006959 _____ C:\Users\s.kozlova\Documents\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\s.kozlova\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\Public\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\n.alferova\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\n.alferova\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\Malahovo\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\Malahovo\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\ks\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\ks\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\g.soldatchenkova\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\g.soldatchenkova\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\DefaultAppPool\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\Default\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\auditor1\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\auditor1\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\auditor\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\auditor\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\a.teplova\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\a.teplova\Downloads\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\a.teplova\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\a.pavlov\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\a.pavlov\Documents\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 03:07 - 2017-06-17 03:07 - 00006959 _____ C:\Users\a.pavlov\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 02:57 - 2017-06-17 02:57 - 00006959 _____ C:\Users\s.paramonova\Downloads\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 02:57 - 2017-06-17 02:57 - 00006959 _____ C:\Users\s.paramonova\Documents\Инструкция по расшифровке файлов WannaCry.TXT
2017-06-17 02:54 - 2017-06-19 11:52 - 00006959 _____ C:\Users\s.paramonova\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
Task: {B9498193-CBB1-420A-B7E4-12708811EB01} - \AnySendUpdateLogin -> No File <==== ATTENTION
Task: {038637B2-CBFB-4304-B47C-DDE17FA86A6D} - \AnySendUpdate -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

1. Не нужно полностью цитировать сообщения консультанта.

 

2. Найдите пару файлов: шифрованный файл и его незашифрованная копия - и прикрепите в одном архиве к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • hu553in
      [РЕШЕНО] Поймал вредоносное ПО
      От hu553in
      Проблема схожая с соседними темами.
      C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0 Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.
      Помогите пожалуйста.
      Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.
      DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Freudis
      Вирусы под систем файлами
      От Freudis
      После недавно установленного zip файла компьютер начал тупить, нагреваться и шуметь. Данный файл не запрашивал права администратора да и сам файл я не запускал. Проверял компьютер куреитами, ничего не нашли. Один касперский обнаружил 1 файл, но этот файл был под именем систем файла, точный файл не знаю, но в процессе лечения после перезагрузки я решил открыть диспетчер задач, выявило ошибку "нет доступа или администратор запретил доступ". Решил запустить хоть гугл, та же ошибка. Перевзловнованный выдернул из розетки включатель компьютера, доступ ко всему вернулся, касперский ничего не сделал, но после этого компьютер начал нагреваться и в один момент очень сильно зашумел, я начал подозревать что есть вирусы под именем системных файлов, ведь зная касперский, лишь он нашёл 1 вирус и именно при его удалении с перезагрузкой доступ пропал к приложениям. Перерыл интернет, ноль информации. Но и заканчивать работу каких нибудь svchost.exe или подобное я очень боюсь. Решил обратиться за помощью к единственному кто нашёл этот вирус. Помогите, пожалуйста.
      У меня windows 10
       
    • parnishka
      UDS Trojan Shelm
      От parnishka
      Вот такая проблема, при сканировании касперский обнаружил какие-то Luiminati в Media get 2 и в папке яндекса троян UDS Shelm, логи скоро сделаю
       
      А и да, компьютер виснет намертво после удаления, приложения открывает через 20 минут а при выключении через кнопку (Пуск не работает, меню не открывается) он пишет что выключается а не выключается 
×
×
  • Создать...