sayan Опубликовано 12 января, 2018 Опубликовано 12 января, 2018 (изменено) Добрый день. В почту пришло письмо с приложением .exe. Сотрудница открыла и вирус зашифровал ее комп и сетевые папки с которыми она работала потом еще в течении дня. В том числе часть файлов на файловом сервере. проверили Kasperskiy Endpoint Security 10.3.0.6294 AES256 (mr1) - все чисто Дешефратор xoristdecryptor не помог. Логи с зараженной машины прилагаю. Самого зловреда могу выслать для анализа если потребуется. Выяснил что вирус называется Trojan-Ransom.Win32.Cryakl.aqi. На одной машине его распознал почтовый антивирус Касперского. Судя по всему зараженные машины либо не были обновлены, либо почтовик был и вовсе отключен. CollectionLog-2018.01.12-17.16.zip Изменено 12 января, 2018 пользователем sayan
Sandor Опубликовано 12 января, 2018 Опубликовано 12 января, 2018 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\dne\AppData\Local\Temp\резюме.exe', ''); DeleteFile('C:\Users\dne\AppData\Local\Temp\резюме.exe', '32'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-3623795333-3176613324-3650016711-1164\Software\Microsoft\Windows\CurrentVersion\Run', '1012555525'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.
sayan Опубликовано 14 января, 2018 Автор Опубликовано 14 января, 2018 (изменено) Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. [KLAN-7519943867] Благодарю за оказанное содействие! CollectionLog-2018.01.14-16.31.zip Изменено 14 января, 2018 пользователем sayan
Sandor Опубликовано 15 января, 2018 Опубликовано 15 января, 2018 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
sayan Опубликовано 15 января, 2018 Автор Опубликовано 15 января, 2018 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. сделано, прикрепил... Addition.txt FRST.txt Shortcut.txt
Sandor Опубликовано 15 января, 2018 Опубликовано 15 января, 2018 Все рекомендации по сбору логов и выполнению скриптов следует выполнять от имени администратора. Переделайте, пожалуйста. Ran by dne (ATTENTION: The user is not administrator) on DMITRIEVA (15-01-2018 15:31:33)
sayan Опубликовано 15 января, 2018 Автор Опубликовано 15 января, 2018 Все рекомендации по сбору логов и выполнению скриптов следует выполнять от имени администратора. Переделайте, пожалуйста. Извиняюсь, поторопился. прикрепил. Addition.txt FRST.txt Shortcut.txt
Sandor Опубликовано 15 января, 2018 Опубликовано 15 января, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicyScripts: Restriction <==== ATTENTION 2016-08-09 16:00 - 2016-10-03 11:01 - 000612528 _____ () C:\Users\User\AppData\Local\Temp\917b0b87-3358-4e79-93de-3dfc2fc99ed0.exe Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
sayan Опубликовано 15 января, 2018 Автор Опубликовано 15 января, 2018 (изменено) Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicyScripts: Restriction <==== ATTENTION 2016-08-09 16:00 - 2016-10-03 11:01 - 000612528 _____ () C:\Users\User\AppData\Local\Temp\917b0b87-3358-4e79-93de-3dfc2fc99ed0.exe Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Готово. Fixlog.txt Изменено 15 января, 2018 пользователем sayan
sayan Опубликовано 15 января, 2018 Автор Опубликовано 15 января, 2018 Благодарю за помощь. Всего хорошего!)
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти