kiaracript@gmail.com

[einozemcev]

Добрый день!

 

Нашел сегодня на сервере троян, удалил, но до этого он успел зашифровать файлы - везде есть файл с оригинальным расширением и файл с серийным номером и почтой kiaracript@gmail.com. Есть ли какой-либо способ вернуть все как было? Знаю, что надежды немного. Во вложении файл протокола.

CollectionLog-2017.10.16-10.16.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player

Амиго

Служба автоматического обновления программ

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[einozemcev]

Все сделал, отчет во вложении.

 

 

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

3.

Записку с требованием выкупа (если такая есть) и несколько зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

[einozemcev]

Сделал (после пункта 1 перезагрузился). Файлы во вложении.

AdwCleanerC0.txt

FRST.txt

Shortcut.txt

Addition.txt

Файлы.zip

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  CHR HomePage: Default -> inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=20818721
  CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn11.0.1
  CHR DefaultSearchKeyword: Default -> mail.ru
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
  VirusTotal: C:\Users\REKTOR\Desktop\svhost.exe.bat
  2017-10-14 05:07 - 2017-10-16 09:28 - 000000176 _____ C:\Users\REKTOR\Desktop\svhost.exe.bat
  2017-08-18 21:05 - 2017-08-11 17:20 - 001314008 _____ (Mail.Ru) C:\Users\Бухгалтерия\AppData\Local\Temp\614a-1a18-a64e-329e.exe
  2016-10-11 10:17 - 2017-02-21 17:27 - 052665336 _____ (Mail.Ru) C:\Users\Бухгалтерия\AppData\Local\Temp\amigo_setup.exe
  2017-10-16 10:33 - 2017-08-11 17:20 - 001314008 _____ (Mail.Ru) C:\Users\Бухгалтерия\AppData\Local\Temp\d28d-d21a-dc41-0ac3.exe
  2016-09-01 20:01 - 2017-07-03 17:44 - 004087000 _____ (Mail.Ru) C:\Users\Бухгалтерия\AppData\Local\Temp\mrutmp.exe
  AlternateDataStreams: C:\Users\КАССА\Documents\Дипломная работа.docx:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\КАССА\Documents\Касса Сентябрь.docx:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\КАССА\Documents\на папки.docx:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\КАССА\Documents\Печать конвертов.docx:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\КАССА\Documents\Приказы СКСИ.docx:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[einozemcev]

Сделал. Отчет во вложении.

Fixlog.txt

[Sandor]

Дополнительно, пожалуйста:

 

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
Zip: c:\FRST\Quarantine\
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

[einozemcev]

Отправил - архив получился большой (54 Мб), поэтому отправился в виде ссылки на google drive. Отчет во вложении.

Fixlog.txt

[Sandor]

Прошу прощения, в основном скрипте я упустил одну строку.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  Startup: C:\Users\REKTOR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{F39SN97D-K73M-YLR9-1I59-YW9R799VKF}.bmp [2017-10-14] ()
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Расшифровки пока нет. Создайте запрос на расшифровку.

 

По логам видны точки восстановления, поэтому можете аккуратно попробовать восстановить файлы средствами Windows.

Будьте внимательны, это не значит откатить саму систему.

 

Настройте антивирус по этой инструкции.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[einozemcev]

Все сделал, отчет во  вложении. Сейчас создам запрос на расшифровку, т.к. есть активная коммерческая лицензия. Спасибо!

FRST.txt

[Sandor]

Не тот отчет прикрепили

[einozemcev]

Точно, прошу прощения! И можно еще один вопрос - у нас лицензия в виде файла ключа - его можно как-то прикрепить в личном кабинете?

Fixlog.txt

[Sandor]

Вам следует создать Company Account, если он еще не создан. При создании можно либо указать код, либо прикрепить ключ.

[einozemcev]

Спасибо большое - зарегистрировался и оставил запрос. Еще раз большое спасибо за оперативную помощь!