Подхватил вирус crypted000007

[mikepost]

Доброго времени суток,подхватил вирус шифровальщик. Сделал все по инструкции.

CollectionLog-2017.07.03-17.45.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\gmsd_ru_005010163', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010164', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010165', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010167', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010168', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010169', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1211196\133341901.exe', '');
 QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010163\gmsd_ru_005010163.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010164\gmsd_ru_005010164.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010165\gmsd_ru_005010165.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010167\gmsd_ru_005010167.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010168\gmsd_ru_005010168.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010169\gmsd_ru_005010169.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\RECYCLER\barcode.exe', '');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\windows\winsys.exe', '');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1211196\133341901.exe', '32');
 DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010163\gmsd_ru_005010163.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010164\gmsd_ru_005010164.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010165\gmsd_ru_005010165.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010167\gmsd_ru_005010167.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010168\gmsd_ru_005010168.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010169\gmsd_ru_005010169.exe', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\RECYCLER\barcode.exe', '32');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\windows\winsys.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
 DeleteFileMask('c:\program files\gmsd_ru_005010163', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010164', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010165', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010167', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010168', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010169', '*', true);
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('c:\program files\zaxar', '*', true);
 DeleteDirectory('c:\program files\gmsd_ru_005010163');
 DeleteDirectory('c:\program files\gmsd_ru_005010164');
 DeleteDirectory('c:\program files\gmsd_ru_005010165');
 DeleteDirectory('c:\program files\gmsd_ru_005010167');
 DeleteDirectory('c:\program files\gmsd_ru_005010168');
 DeleteDirectory('c:\program files\gmsd_ru_005010169');
 DeleteDirectory('c:\programdata\timetasks');
 DeleteDirectory('c:\program files\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1233331901','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe System Incorporated','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010163','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010164','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010165','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010167','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010168','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010169','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Firewall Management','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Service','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xetcwow','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве. Изменено 3 июля, 2017 пользователем Sandor

[mikepost]

[KLAN-6482191640]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
unins000.exe
unins000_0.exe
unins000_1.exe
unins000_2.exe
unins000_3.exe
Registry.pol

[thyrex]

А остальное из рекомендации хэлпера кто выполнять будет?