Восстановление безопасности после шифровальщика

[Latenight63]

Здравствуйте. 26.12.2017 сервер под управлением Windows server 2008 был атакован шифровальщиком через RDP. Были зашифрованы файлы базы 1с, документы, архивы..  Из соседней темы про аналогичный шифровальщик стало понятно что расшифровка невозможна. KVRT нашел несколько фалов и удалил(никак не могу найти лог KVRT) Некоторые данные были восстановлены из бекапов.  Теперь стоит задача восстановить безопасную работу сервера, возможно троян еще сидит в системе. Прошу помочь избавится от зловредного ПО и выявить уязвимости. 

CollectionLog-2017.12.28-15.39.zip

Изменено 28 декабря, 2017 пользователем Latenight63

[regist]

1) Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
2) Не дожидаясь окончания работы программы AutorunsVTchecker,

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[Latenight63]

 AutorunsVTchecker - просканировал, сообщил о том что все обьекты были проверены и закрылся.

 

 

UDAL_2017-12-28_19-03-43.7z

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.0
   v400c
   BREG
   zoo %SystemDrive%\PROGRAMDATA\WINDOWS\SYSTEM32\X64\ISAA.EXE
   dirzooex %SystemDrive%\PROGRAMDATA\WINDOWS\SYSTEM32\X64
   zoo %SystemDrive%\PROGRAM FILES (X86)\BORLAND\DELPHI7\EXPERTS\CNWIZARDS\CNMANAGEWIZ.EXE
   ;---------command-block---------
   delref HTTP://WWW.SEARCH.ASK.COM/?TPID=ORJ-SPE&O=APN11412&PF=V7&TRGB=CR&P2=%5EBBK%5EOSJ000%5EYY%5ERU&GCT=HP&APN_PTNRS=BBK&APN_DTID=%5EOSJ000%5EYY%5ERU&APN_DBR=CR_35.0.1916.153&APN_UID=3906D155-2F36-4393-920A-214F04C4117B&ITBV=12.15.1.20&DOI=2014-07-21&PSV=&PT=TB
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   bl C0E85AB294826A3A5541059E6355E9CA 101376
   zoo %SystemDrive%\USERS\BUHSMR\APPDATA\LOCAL\ISAA.EXE
   delall %SystemDrive%\USERS\BUHSMR\APPDATA\LOCAL\ISAA.EXE
   delref %SystemDrive%\USERS\KADROVIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\9.8_0\SEARCH EXTENSION BY ASK V3
   delref %SystemDrive%\USERS\KADROVIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\3.5_0\SEARCH APP BY ASK V2
   delref %SystemDrive%\USERS\PLATOSHINA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\12.10_0\SEARCH EXTENSION BY ASK V3
   delref %SystemDrive%\USERS\BUHSMR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\9.8_0\SEARCH EXTENSION BY ASK V3
   delref %SystemDrive%\USERS\SHURUHIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\9.8_0\SEARCH APP BY ASK V2
   delref %SystemDrive%\USERS\PROVERKA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\12.10_0\SEARCH EXTENSION BY ASK V3
   delref %SystemDrive%\USERS\SHURUHIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\9.8_0\SEARCH EXTENSION BY ASK V3
   delref %SystemDrive%\USERS\STENKIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\8.7_0\SEARCH EXTENSION BY ASK V3
   delref %SystemDrive%\USERS\VIRT\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\12.10_0\SEARCH EXTENSION BY ASK V3
   delref %SystemDrive%\USERS\SHURUHIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHAEGINBDCCKOCJKHBCIADCAFNEP\9.14_0\SHOPPING APP BY ASK
   delref %SystemDrive%\USERS\PLATOS~1\APPDATA\LOCAL\TEMP\2\HEX EDITOR NEO 6.20\HDL5C9B.TMP.0
   apply
   
   czoo
   restart 

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

+ Программы/расширения от Mail.ru используете?
 

[Latenight63]

Отправил, архив с паролем создался автоматически. Приложения от Mail не используются.

[regist]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Latenight63]

Готово

AdwCleanerS0.txt

[Sandor]

Старый отчет прикрепили

# AdwCleaner v6.044 - Отчёт создан 20/03/2017 в 11:45:23

[Latenight63]

Прошу прощения. вот новый

AdwCleanerS0.txt

[Sandor]

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Latenight63]

Сделал

AdwCleanerC0.txt

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.5 [http://dsrt.dyndns.org]
   v400c
   adddir %SystemDrive%\USERS\BUHSMR\APPDATA\LOCAL\
   adddir %SystemDrive%\PROGRAMDATA\
   crimg

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
6. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[Latenight63]

Сделал

2017-12-29_12-15-46_log.txt

[Sandor]

Похоже опять не то прикрепили:

образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования"

Должен быть архив.

[regist]

@Latenight63, нужен файл UDAL_2017-12-29_12-09-56.7z
 
+

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.