Перейти к содержанию

Рекомендуемые сообщения

Заразился старый файловый сервер и через смонтированные сетевые диски заразился соседний файловый сервер. Предположительно из под администраторской учетной записи. Прикладываю лог и образцы зашифрованных данных с предполагаемого источника заражения.

Посодействуйте, пожалуйста, в расшифровке и удалении угрозы.

Files.zip

CollectionLog-2017.11.28-10.06.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\hhsm\svhosts.exe');
 StopService('AdobeFlashPlayerHash');
 QuarantineFile('C:\Users\rykov\AppData\Roaming\guide.exe', '');
 QuarantineFile('C:\Users\rykov\Как расшифровать данные.TXT', '');
 QuarantineFile('c:\windows\hhsm\svhosts.exe', '');
 DeleteFile('C:\Users\rykov\AppData\Roaming\guide.exe', '32');
 DeleteFile('C:\Users\rykov\Как расшифровать данные.TXT', '32');
 DeleteFile('c:\windows\hhsm\svhosts.exe', '32');
 DeleteService('AdobeFlashPlayerHash');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '{083B6F1B-0E70-B2F8-6920-02F7A10E7046}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', '{083B6F1B-0E70-B2F8-6920-02F7A10E7046}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(20);
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

Поищите пару - зашифрованный и его не зашифрованный оригинал (ищите такой в резервных копиях, на других ПК, в почте и т.п.)

Упакуйте в архив и тоже прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Полученный ответ сообщите здесь (с указанием номера KLAN)

И желательно с пояснениями по файлам.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

(В предыдущем сообщении я поторопился, виноват :))

Ссылка на сообщение
Поделиться на другие сайты

Итак FRST отработал, результаты прилагаю в одноименном архиве.

Вот что пришло с newvirus@kaspersky.com:

 

"[KLAN-7234075495]

В антивирусных базах информация по присланным вами файлам отсутствует:
Как расшифровать данные.TXT

В следующих файлах обнаружен вредоносный код:
svhosts.exe - HEUR:Trojan.Win32.Blouiroet.gen

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."


Не совсем понял, какие пояснения по файлам требуются.

Ссылка на сообщение
Поделиться на другие сайты

Вы их уже процитировали, спасибо.

 

Теперь жду

отчеты FRST.txt, Addition.txt, Shortcut.txt

Мне казалось я прикладывал их в архиве FRST.zip

Изменено пользователем mcko
Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    2017-11-27 15:32 - 2017-11-28 11:32 - 000000000 ____D C:\Program Files\Reimage
    2017-11-27 15:30 - 2017-11-27 11:31 - 000605424 _____ (Reimage) C:\ReimageRepair.exe
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Администратор\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Администратор\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\userdata\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\userdata\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\rykov\Downloads\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Public\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mcko\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mcko.MCKO\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mcko.MCKO\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mamaev\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mamaev\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc.S-PS\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc.S-PS\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-EF6B276D476A83\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-EF6B276D476A83\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-D1972BC75CC16C\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-D1972BC75CC16C\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\kav\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\kav\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Default\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Default\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Default User\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Classic .NET AppPool\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Classic .NET AppPool\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\chenin\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\chenin\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Administrator\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Administrator\Downloads\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Administrator\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:04 - 2017-11-27 06:04 - 000006238 _____ C:\Как расшифровать данные.TXT
    2017-11-27 06:03 - 2017-11-28 11:22 - 000000000 ____D C:\Windows\HhSm
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    2017-11-27 15:32 - 2017-11-28 11:32 - 000000000 ____D C:\Program Files\Reimage
    2017-11-27 15:30 - 2017-11-27 11:31 - 000605424 _____ (Reimage) C:\ReimageRepair.exe
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Администратор\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Администратор\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\userdata\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\userdata\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\rykov\Downloads\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Public\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mcko\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mcko.MCKO\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mcko.MCKO\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mamaev\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mamaev\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc.S-PS\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc.S-PS\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-EF6B276D476A83\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-EF6B276D476A83\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-D1972BC75CC16C\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-D1972BC75CC16C\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\kav\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\kav\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Default\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Default\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Default User\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Classic .NET AppPool\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Classic .NET AppPool\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\chenin\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\chenin\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Administrator\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Administrator\Downloads\Как расшифровать данные.TXT
    2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Administrator\Desktop\Как расшифровать данные.TXT
    2017-11-27 06:04 - 2017-11-27 06:04 - 000006238 _____ C:\Как расшифровать данные.TXT
    2017-11-27 06:03 - 2017-11-28 11:22 - 000000000 ____D C:\Windows\HhSm
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

 

Код выполнять в AVZ?

Ссылка на сообщение
Поделиться на другие сайты

Нет:

Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От regist
      На форуме зарегистрировались мошенники, которые предлагают перевести им деньги, а взамен обещают выслать вам дешифратор.
      Не ведитесь на это. Это развод! Никакого дешифратора у них нет.
      Если вам предлагают купить дешифратор, то просьба сообщите об этом модератору.
    • От RomiruS
      Здравствуйте.
      Уже более двух лет у меня на компьютере файлы, которые были зашифрованы вымогателем "wannacry"
      Всё бы ничего, я бы давно всё снес.. Но семейные фото - всё, что мне нужно восстановить (около 160 гигов).
      Вымогателя увидел после возвращения с работы (компьютер был включен).
      Есть эти же файлы в двух видах (зашифрованные и расшифрованные), прикрепить не знаю как, не разрешает( Есть ли вообще какая-то надежда, что в будущем появиться дешифратор? Или эти файлы пропали навсегда? 
      Спасибо за внимание! 
      Неуязвимости Вам)
    • От Arnold Schwarzenegger
      Wannacry появился ли дешифратор?
       

      Сообщение от модератора thyrex Перенесено из уничтожения вирусов
    • От JediMan
      Не могу сбросить компьютер к заводским настройкам. Вылезает ошибка, "что произошла ошибка". В консоле проверил через команду sfc /scannow, сказало, что обнаружила поврежденные файлы и не может их восстановить. Лог не создался, где должен был. Утилита от microsoft под названием Media Creation Tool "не в состоянии обновить данный компьютер". До этого пострадал от WannaCry. AVZ перестал сканировать. Одни ошибки.
       

      Сообщение от модератора thyrex Перенесено из Уничтожения вирусов
    • От JediMan
      Вчера заметил что к некоторым файлам присвоилось разрешение .WNCRY и они не запускаются, попробывал стереть это разрешение, но файлы все равно не работают( Даже не знаю что теперь делать, дескриптор найти не могу. А также у меня теперь зашифрованы файлы по разработке игры, с которыми я занимаюсь больше 2 месяцев. Надеюсь тут мне кто-то поможет. Также были зашифрованы фотографии из моего детства, которых нету больше нигде
      @Please_Read_Me@.txt
×
×
  • Создать...