Подхватил вирус crypted000007

3 июля, 2017

Доброго времени суток,подхватил вирус шифровальщик. Сделал все по инструкции.

CollectionLog-2017.07.03-17.45.zip

3 июля, 2017

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\gmsd_ru_005010163', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010164', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010165', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010167', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010168', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010169', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1211196\133341901.exe', '');
 QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010163\gmsd_ru_005010163.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010164\gmsd_ru_005010164.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010165\gmsd_ru_005010165.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010167\gmsd_ru_005010167.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010168\gmsd_ru_005010168.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010169\gmsd_ru_005010169.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\RECYCLER\barcode.exe', '');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\windows\winsys.exe', '');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1211196\133341901.exe', '32');
 DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010163\gmsd_ru_005010163.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010164\gmsd_ru_005010164.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010165\gmsd_ru_005010165.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010167\gmsd_ru_005010167.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010168\gmsd_ru_005010168.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010169\gmsd_ru_005010169.exe', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\RECYCLER\barcode.exe', '32');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\windows\winsys.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
 DeleteFileMask('c:\program files\gmsd_ru_005010163', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010164', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010165', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010167', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010168', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010169', '*', true);
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('c:\program files\zaxar', '*', true);
 DeleteDirectory('c:\program files\gmsd_ru_005010163');
 DeleteDirectory('c:\program files\gmsd_ru_005010164');
 DeleteDirectory('c:\program files\gmsd_ru_005010165');
 DeleteDirectory('c:\program files\gmsd_ru_005010167');
 DeleteDirectory('c:\program files\gmsd_ru_005010168');
 DeleteDirectory('c:\program files\gmsd_ru_005010169');
 DeleteDirectory('c:\programdata\timetasks');
 DeleteDirectory('c:\program files\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1233331901','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe System Incorporated','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010163','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010164','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010165','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010167','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010168','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010169','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Firewall Management','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Service','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xetcwow','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве. Изменено 3 июля, 2017 пользователем Sandor

4 июля, 2017

[KLAN-6482191640]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
unins000.exe
unins000_0.exe
unins000_1.exe
unins000_2.exe
unins000_3.exe
Registry.pol

6 июля, 2017

А остальное из рекомендации хэлпера кто выполнять будет?

Подхватил вирус crypted000007

Рекомендуемые сообщения

mikepost

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

mikepost

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum