rashid47 Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 (изменено) Добрый день! Попал вирус, скорее всего через рдп, зашифровал диск D, с почти не тронут, только папки юзеров. Логи прилагаю Файлы зашифрованы с расширением *.wncry CollectionLog-2017.07.07-13.47.zip report1.log report2.log Изменено 6 июля, 2017 пользователем rashid47 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('c:\users\user2\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\program files\contentprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Users\user2\AppData\Local\fupdate\fupdate.exe', ''); QuarantineFile('C:\Program Files\contentprotector\contentprotectordrv.sys', ''); ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true); DeleteFile('C:\Users\user2\AppData\Local\fupdate\fupdate.exe', '32'); DeleteFile('C:\Program Files\contentprotector\contentprotectordrv.sys', '32'); DeleteFileMask('c:\users\user2\appdata\local\fupdate', '*', true); DeleteFileMask('c:\program files\contentprotector', '*', true); DeleteDirectory('c:\users\user2\appdata\local\fupdate'); DeleteDirectory('c:\program files\contentprotector'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\edbwpqfckp','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start1','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wzimcnswiv','command'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
rashid47 Опубликовано 6 июля, 2017 Автор Share Опубликовано 6 июля, 2017 Мне так важно убрать вирус из системы, как расшифровать файлы, сможете помочь? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 Еще не ясно какой у Вас тип вымогателя. Но пока в системе есть вредоносы, расшифровывать бесполезно. Ссылка на комментарий Поделиться на другие сайты More sharing options...
rashid47 Опубликовано 6 июля, 2017 Автор Share Опубликовано 6 июля, 2017 [KLAN-6491185747] Your letter does not contain any files. They may have been deleted by your mail server antivirus as infected ones. Please try sending them again in an archive with the password infected (without quotes). You can also upload the files to any popular file hosting service or FTP server and send us the corresponding link. This is an automatically generated message. Please do not reply to it.Anti-Virus Lab, Kaspersky Lab HQ"39A/3 Leningradskoe Shosse, Moscow, 125212, RussiaTel./Fax: + 7 (495) 797 8700http://www.kaspersky.com http://www.viruslist.com" CollectionLog-2017.07.07-15.15.zip ClearLNK-07.07.2017_15-11.log AdwCleanerS0.txt AdwCleanerC0.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
rashid47 Опубликовано 6 июля, 2017 Автор Share Опубликовано 6 июля, 2017 сделал FRST.txt Shortcut.txt Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy\User: Restriction ? <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{2ad97fd0-c130-433b-8591-5536ee1b2bf1} <==== ATTENTION (Restriction - IP) FF DefaultSearchEngine: Mozilla\Firefox\Profiles\ushnnr9l.USER-ПК -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\ushnnr9l.USER-ПК -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\ushnnr9l.USER-ПК -> hxxp://go.mail.ru/?ffverfix=1&fr=ffverfix_sg FF Keyword.URL: Mozilla\Firefox\Profiles\ushnnr9l.USER-ПК -> hxxp://go.mail.ru/search?fr=ntg&q= FF Extension: (Домашняя страница Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\ushnnr9l.USER-ПК\Extensions\homepage@mail.ru [2016-03-11] FF Extension: (Поиск@Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\ushnnr9l.USER-ПК\Extensions\search@mail.ru [2016-03-11] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\ushnnr9l.USER-ПК\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-03-11] CHR HomePage: Default -> hxxp://dcubege.ru/?utm_source=startpage03&utm_content=1513b0286092a9a5905478157d381901&utm_term=31660BF2FD609D9AB9B57780BAE22BA1&utm_d=20160310 CHR StartupUrls: Default -> "hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg" 2017-07-06 03:56 - 2017-07-06 03:56 - 00006959 _____ C:\Users\remote\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:56 - 00006959 _____ C:\Users\remote\Desktop\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\Администратор\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user5\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user5\Desktop\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user5.user-ПК\Downloads\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user5.user-ПК\Desktop\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user4\Downloads\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user4\Documents\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user4\Desktop\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user3\Desktop\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user2\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user2\Downloads\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user2\Desktop\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user1\Downloads\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user1\Documents\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user1\Desktop\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user\Downloads\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user\Documents\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\user\Desktop\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\Public\Desktop\Инструкция по расшифровке файлов WannaCry.TXT 2017-07-06 03:55 - 2017-07-06 03:55 - 00006959 _____ C:\Users\Default\Инструкция по расшифровке файлов WannaCry.TXT 2016-03-11 10:56 - 2016-03-11 10:57 - 48920808 ____N (Mail.Ru) C:\Users\user\AppData\Local\Temp\072qFWlpkTCu.exe 2016-03-11 10:46 - 2016-03-11 10:49 - 48920808 ____N (Mail.Ru) C:\Users\user\AppData\Local\Temp\34Rb9vOIdAJE.exe 2016-03-11 10:46 - 2016-03-11 10:47 - 0026624 ____N (Ubar Plugin Soft) C:\Users\user\AppData\Local\Temp\coi1.exe 2016-03-11 10:43 - 2016-03-11 10:44 - 4401368 ____N () C:\Users\user\AppData\Local\Temp\gpWcFPRxPGQE.exe 2016-03-11 10:43 - 2016-03-11 10:48 - 65344096 ____N (Kometa LCC) C:\Users\user\AppData\Local\Temp\N9bI1QYuhokg.exe 2016-03-11 10:44 - 2016-03-11 10:47 - 65344096 ____N (Kometa LCC) C:\Users\user\AppData\Local\Temp\piAFnwciC6Ly.exe 2016-03-11 10:45 - 2016-03-11 10:49 - 48920808 ____N (Mail.Ru) C:\Users\user\AppData\Local\Temp\wbrBixo6iRqZ.exe 2016-03-11 10:45 - 2016-03-11 10:46 - 4401368 ____N () C:\Users\user\AppData\Local\Temp\WHbJOO1F4Kbr.exe 2016-06-20 13:42 - 2016-06-20 13:42 - 0000000 _____ () C:\Users\user2\AppData\Local\Temp\55ZffaU06h7V.exe 2016-06-20 13:46 - 2016-06-20 13:46 - 0000000 _____ () C:\Users\user2\AppData\Local\Temp\8q4HfeE7GHqv.exe 2016-06-20 13:36 - 2016-06-20 13:37 - 0000000 _____ () C:\Users\user2\AppData\Local\Temp\8zTuPXXNqFyi.exe 2016-06-20 13:35 - 2016-06-20 13:37 - 65344096 ____N (Kometa LCC) C:\Users\user2\AppData\Local\Temp\arVpBKUUD03Q.exe 2016-06-08 12:08 - 2016-06-08 12:08 - 3734568 _____ () C:\Users\user2\AppData\Local\Temp\bundle080616120810z.exe 2016-06-08 12:31 - 2016-06-08 12:31 - 3734568 _____ () C:\Users\user2\AppData\Local\Temp\bundle080616123135z.exe 2016-06-20 13:32 - 2016-06-20 13:33 - 4423896 ____N () C:\Users\user2\AppData\Local\Temp\CWJs5mD2bgJV.exe 2016-06-20 13:48 - 2016-06-20 13:48 - 0000000 _____ () C:\Users\user2\AppData\Local\Temp\EAMPtcfhQF2E.exe 2016-06-20 13:51 - 2016-06-20 13:51 - 0000000 _____ () C:\Users\user2\AppData\Local\Temp\gMSuOjrJ1czX.exe 2016-06-20 13:47 - 2016-06-20 13:48 - 0000000 _____ () C:\Users\user2\AppData\Local\Temp\kzOEyKxYZuRz.exe 2016-06-08 12:11 - 2016-06-01 15:14 - 5873880 _____ (Mail.Ru) C:\Users\user2\AppData\Local\Temp\MailRuUpdater.exe 2016-06-08 12:09 - 2016-06-08 12:10 - 28190848 _____ (Underberry lp) C:\Users\user2\AppData\Local\Temp\nsoC5BF.tmp.exe 2016-06-20 13:42 - 2016-06-20 13:42 - 0000000 _____ () C:\Users\user2\AppData\Local\Temp\U3S5zqIM9sUY.exe 2016-06-20 13:37 - 2016-06-20 13:37 - 0000000 _____ () C:\Users\user2\AppData\Local\Temp\v4jJIjho9GFR.exe 2016-06-20 13:41 - 2016-06-20 13:41 - 0000000 _____ () C:\Users\user2\AppData\Local\Temp\vg2o1KyS9pqr.exe Task: {6AA609A5-9F5D-4C79-BB94-EBBA11AEFAA2} - \Mysa -> No File <==== ATTENTION AlternateDataStreams: C:\Users\Public\DRM:احتضان [48] FirewallRules: [{2F7745B7-C8C0-421D-9C14-C6EB71447018}] => (Allow) C:\Program Files\UBar\ubar.exe Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
rashid47 Опубликовано 6 июля, 2017 Автор Share Опубликовано 6 июля, 2017 ок Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 Увы, расшифровки нет. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 + C:\Users\user5.user-ПК\Desktop\сырье.docx.wncry прикрепите в архиве к сообщению Ссылка на комментарий Поделиться на другие сайты More sharing options...
rashid47 Опубликовано 6 июля, 2017 Автор Share Опубликовано 6 июля, 2017 + сырье.docx.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 Найти пару шифрованный-нешифрованный одного и того же файла есть возможность? Ссылка на комментарий Поделиться на другие сайты More sharing options...
rashid47 Опубликовано 6 июля, 2017 Автор Share Опубликовано 6 июля, 2017 + B0F5-5BFD.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 txt-файлы - это неправильная пара. Не может быть зашифрованный файл меньшего размера. С epf тоже не уверен, что незашифрованный файл есть копия до шифрования. Так и есть. Размер оригинального файла 201801 должен быть или на несколько байт меньше. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти