ilon 0 Опубликовано 29 сентября, 2017 Share Опубликовано 29 сентября, 2017 (изменено) На почту пришло письмо с жалобой. Был скачан прикреплённый архив. При его открытии установилась программа. Сразу после этого компьютер был выключен пользователем. Письмо было удалено. При повторном включении файлы оказались зашифрованы. Расширение .crypted000007 Прилагаю файл Readme с требованиями и адресами выплат и логи. При проверке Kaspersky Virus Removal Tool Инфицированные файлы были помещены в карантин. Нужно ли и как их переслать? README6.txt CollectionLog-2017.09.29-21.34.zip Изменено 29 сентября, 2017 пользователем ilon Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 30 сентября, 2017 Share Опубликовано 30 сентября, 2017 Здравствуйте! с рассшифровкой помочь не сможем. А вот удалить шифровальщик, который у вас до сих пор активен поможем.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\documents and settings\all users\application data\csrss\csrss.exe'); TerminateProcessByName('c:\documents and settings\all users\application data\drivers\csrss.exe'); TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe'); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\PyZS1j.cmd', ''); QuarantineFile('c:\documents and settings\all users\application data\csrss\csrss.exe', ''); QuarantineFile('c:\documents and settings\all users\application data\drivers\csrss.exe', ''); QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', ''); QuarantineFileF('c:\documents and settings\all users\application data\csrss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\documents and settings\all users\application data\drivers\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\documents and settings\all users\application data\windows\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\PyZS1j.cmd', '32'); DeleteFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '32'); DeleteFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '32'); DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32'); DeleteFileMask('c:\documents and settings\all users\application data\csrss\', '*', true); DeleteFileMask('c:\documents and settings\all users\application data\drivers\', '*', true); DeleteFileMask('c:\documents and settings\all users\application data\windows\', '*', true); DeleteDirectory('c:\documents and settings\all users\application data\csrss\'); DeleteDirectory('c:\documents and settings\all users\application data\drivers\'); DeleteDirectory('c:\documents and settings\all users\application data\windows\'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetworkSubsystem'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Сделайте лог этой утилитой. Ссылка на сообщение Поделиться на другие сайты
ilon 0 Опубликовано 30 сентября, 2017 Автор Share Опубликовано 30 сентября, 2017 KLAN-6898202781 В антивирусных базах информация по присланным вами файлам отсутствует:PyZS1j.cmdВ следующих файлах обнаружен вредоносный код:csrss.exe - Trojan.Win32.Agent.nevnwqcsrss_0.exe - Trojan.Win32.Agent.nezeodcsrss_1.exe - Trojan-Ransom.Win32.Shade.oas HiJackThis.log HiJackThis_debug.log Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 30 сентября, 2017 Share Опубликовано 30 сентября, 2017 IPSEC политики сами прописывали? А также расположение папки %TEMP% сознательно поменяли? Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
ilon 0 Опубликовано 30 сентября, 2017 Автор Share Опубликовано 30 сентября, 2017 На вопросы ответить не могу, ранее этим компьютером не пользовался. FRST.txt Addition.txt Shortcut.txt Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 1 октября, 2017 Share Опубликовано 1 октября, 2017 Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\Run: [VPetsPlayer] => C:\Program Files\VPets\VPets.exe******** ******************************************************************* ******и?°*Г*PВ*******************5***** G°*hб— HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {0a028488-8546-11dd-a22f-00140b04bcc5} - E:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {100adc32-8540-11dd-a22e-00140b04bcc5} - E:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {1217d338-857f-11dd-a235-00140b04bcc5} - E:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {1b35006a-8616-11dd-a236-00140b04bcc5} - E:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {49939572-8548-11dd-a230-00140b04bcc5} - E:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {8e5c66f4-8479-11dd-a22d-00140b04bcc5} - F:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {b5e37edb-6834-11dd-a1f7-00c0a8ca6547} - E:\Launcher.exe HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {e26b2cdc-685c-11dd-a1f8-00c0a8ca6547} - E:\Launcher.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mail.ru/cnt/7227 HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk URLSearchHook: [S-1-5-21-1778182981-3017946848-2798597818-1006] ATTENTION => Default URLSearchHook is missing Toolbar: HKU\S-1-5-21-1778182981-3017946848-2798597818-1006 -> No Name - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File Toolbar: HKU\S-1-5-21-1778182981-3017946848-2798597818-1006 -> No Name - {C4069E3A-68F1-403E-B40E-20066696354B} - No File Toolbar: HKU\S-1-5-21-1778182981-3017946848-2798597818-1006 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/" 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README9.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README8.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README7.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README6.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README5.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README4.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README3.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README2.txt 2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README10.txt Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Ссылка на сообщение Поделиться на другие сайты
ilon 0 Опубликовано 1 октября, 2017 Автор Share Опубликовано 1 октября, 2017 Скрипт выполнил. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 1 октября, 2017 Share Опубликовано 1 октября, 2017 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти