ilon Опубликовано 29 сентября, 2017 Опубликовано 29 сентября, 2017 (изменено) На почту пришло письмо с жалобой. Был скачан прикреплённый архив. При его открытии установилась программа. Сразу после этого компьютер был выключен пользователем. Письмо было удалено. При повторном включении файлы оказались зашифрованы. Расширение .crypted000007 Прилагаю файл Readme с требованиями и адресами выплат и логи. При проверке Kaspersky Virus Removal Tool Инфицированные файлы были помещены в карантин. Нужно ли и как их переслать? README6.txt CollectionLog-2017.09.29-21.34.zip Изменено 29 сентября, 2017 пользователем ilon
regist Опубликовано 30 сентября, 2017 Опубликовано 30 сентября, 2017 Здравствуйте! с рассшифровкой помочь не сможем. А вот удалить шифровальщик, который у вас до сих пор активен поможем.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\documents and settings\all users\application data\csrss\csrss.exe'); TerminateProcessByName('c:\documents and settings\all users\application data\drivers\csrss.exe'); TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe'); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\PyZS1j.cmd', ''); QuarantineFile('c:\documents and settings\all users\application data\csrss\csrss.exe', ''); QuarantineFile('c:\documents and settings\all users\application data\drivers\csrss.exe', ''); QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', ''); QuarantineFileF('c:\documents and settings\all users\application data\csrss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\documents and settings\all users\application data\drivers\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\documents and settings\all users\application data\windows\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\PyZS1j.cmd', '32'); DeleteFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '32'); DeleteFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '32'); DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32'); DeleteFileMask('c:\documents and settings\all users\application data\csrss\', '*', true); DeleteFileMask('c:\documents and settings\all users\application data\drivers\', '*', true); DeleteFileMask('c:\documents and settings\all users\application data\windows\', '*', true); DeleteDirectory('c:\documents and settings\all users\application data\csrss\'); DeleteDirectory('c:\documents and settings\all users\application data\drivers\'); DeleteDirectory('c:\documents and settings\all users\application data\windows\'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetworkSubsystem'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Сделайте лог этой утилитой.
ilon Опубликовано 30 сентября, 2017 Автор Опубликовано 30 сентября, 2017 KLAN-6898202781 В антивирусных базах информация по присланным вами файлам отсутствует:PyZS1j.cmdВ следующих файлах обнаружен вредоносный код:csrss.exe - Trojan.Win32.Agent.nevnwqcsrss_0.exe - Trojan.Win32.Agent.nezeodcsrss_1.exe - Trojan-Ransom.Win32.Shade.oas HiJackThis.log HiJackThis_debug.log
regist Опубликовано 30 сентября, 2017 Опубликовано 30 сентября, 2017 IPSEC политики сами прописывали? А также расположение папки %TEMP% сознательно поменяли? Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.Подробнее читайте в этом руководстве.
ilon Опубликовано 30 сентября, 2017 Автор Опубликовано 30 сентября, 2017 На вопросы ответить не могу, ранее этим компьютером не пользовался. FRST.txt Addition.txt Shortcut.txt
regist Опубликовано 1 октября, 2017 Опубликовано 1 октября, 2017 Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\Run: [VPetsPlayer] => C:\Program Files\VPets\VPets.exe******** ******************************************************************* ******и?°*Г*PВ*******************5***** G°*hб— HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {0a028488-8546-11dd-a22f-00140b04bcc5} - E:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {100adc32-8540-11dd-a22e-00140b04bcc5} - E:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {1217d338-857f-11dd-a235-00140b04bcc5} - E:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {1b35006a-8616-11dd-a236-00140b04bcc5} - E:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {49939572-8548-11dd-a230-00140b04bcc5} - E:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {8e5c66f4-8479-11dd-a22d-00140b04bcc5} - F:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {b5e37edb-6834-11dd-a1f7-00c0a8ca6547} - E:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {e26b2cdc-685c-11dd-a1f8-00c0a8ca6547} - E:\Launcher.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mail.ru/cnt/7227 HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk URLSearchHook: [S-1-5-21-1778182981-3017946848-2798597818-1006] ATTENTION => Default URLSearchHook is missing Toolbar: HKU\S-1-5-21-1778182981-3017946848-2798597818-1006 -> No Name - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File Toolbar: HKU\S-1-5-21-1778182981-3017946848-2798597818-1006 -> No Name - {C4069E3A-68F1-403E-B40E-20066696354B} - No File Toolbar: HKU\S-1-5-21-1778182981-3017946848-2798597818-1006 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/" 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README9.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README8.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README7.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README6.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README5.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README4.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README3.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README2.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README10.txt Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.
regist Опубликовано 1 октября, 2017 Опубликовано 1 октября, 2017 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти