darkelf1986 Опубликовано 14 июля, 2017 Опубликовано 14 июля, 2017 Добрый день. На ПК поймали из письма Trojan-Ransome.win32.Agent.http://i96.fastpic.ru/big/2017/0714/47/df4fcce40244f017954f67debcae0547.png На данный момент сканировал с помощью KVRT. Есть ли смысл лечить ей или лучше AVZ? Про восстановление с помощью RakhniDecryptor знаю, но сталкиваюсь впервые. Помогите разобраться.Заранее спасибо. CollectionLog-2017.07.14-16.40.zip
thyrex Опубликовано 14 июля, 2017 Опубликовано 14 июля, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Users\Stat_2\appdata\local\temp\a86b5c6747183b1c9bbb4181c53f302d.dll',''); TerminateProcessByName('c:\programdata\services\csrss.exe'); QuarantineFile('c:\programdata\services\csrss.exe',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('c:\programdata\services\csrss.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager'); DeleteFile('C:\Users\Stat_2\appdata\local\temp\a86b5c6747183b1c9bbb4181c53f302d.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
darkelf1986 Опубликовано 14 июля, 2017 Автор Опубликовано 14 июля, 2017 Проблему решаю по удаленке, скрипт вроде отработал, после перезагрузки запустил скрипт на создание карантина, пустой архив на выходе... Лог Autologger приложил. В Temp все почистил, раньше не было прав. CollectionLog-2017.07.14-19.35.zip
thyrex Опубликовано 14 июля, 2017 Опубликовано 14 июля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
darkelf1986 Опубликовано 14 июля, 2017 Автор Опубликовано 14 июля, 2017 (изменено) Отчеты FRST. Файлы зашифрованы с расширением .crypted000007 Видимо придется ожидать шифровальщик. FRST.zip Изменено 14 июля, 2017 пользователем darkelf1986
thyrex Опубликовано 14 июля, 2017 Опубликовано 14 июля, 2017 Расшифровки без поимки злоумышленников не предвидится. 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM-x32\...\Run: [] => [X] 2017-07-14 13:20 - 2017-07-14 18:50 - 00000000 __SHD C:\Users\Все пользователи\services 2017-07-14 13:20 - 2017-07-14 18:50 - 00000000 __SHD C:\ProgramData\services 2017-07-14 13:20 - 2017-07-14 13:20 - 03148854 _____ C:\Users\Stat_2\AppData\Roaming\C9D88988C9D88988.bmp 2017-07-14 12:40 - 2017-07-14 18:50 - 00000000 __SHD C:\Users\Все пользователи\Windows 2017-07-14 12:40 - 2017-07-14 18:50 - 00000000 __SHD C:\ProgramData\Windows Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера.
darkelf1986 Опубликовано 15 июля, 2017 Автор Опубликовано 15 июля, 2017 thyrex - большое спасибо! Значит ждем дешифратора. А можно как-то отправить зашифрованные образцы? Или в лаборатории уже в курсе и дешифратор в разработке?
thyrex Опубликовано 15 июля, 2017 Опубликовано 15 июля, 2017 Написано ведь Расшифровки без поимки злоумышленников не предвидится.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти