Wisk 0 Опубликовано 15 апреля, 2018 Share Опубликовано 15 апреля, 2018 Добрый день! Подцепил в пятницу 13-го такую дрянь. Все файлы теперь выглядят как в описании топика https://forum.kasperskyclub.ru/index.php?showtopic=59014 Снес сами файлы этой гадости в карантин утилиткой CureIt. Подскажите, что делать дальше и как дешифровать файлы. CollectionLog-2018.04.15-10.56.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 апреля, 2018 Share Опубликовано 15 апреля, 2018 (изменено) Здравствуйте! как дешифровать файлы. с рассшифровкой помочь не сможем, только дочистить вирус. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5A4A159B.[Filecode99@cock.li].arrow', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\home\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5A4A159B.[Filecode99@cock.li].arrow', ''); QuarantineFile('C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\WINDOWS\Fonts\ctfmon.vbs', ''); DeleteFile('C:\WINDOWS\Fonts\ctfmon.vbs'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5A4A159B.[Filecode99@cock.li].arrow', '32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32'); DeleteFile('C:\Users\home\AppData\Roaming\Info.hta', '32'); DeleteFile('C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5A4A159B.[Filecode99@cock.li].arrow', '32'); DeleteFile('C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\home\AppData\Roaming\Info.hta'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\home\AppData\Roaming\Info.hta'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = http://thehonak.info/7L3eQe/m6Jk.eut R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 46.45.229.159:8081 (disabled) R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0http://thehonak.info/7L3eQe/m6Jk.eut O2 - HKLM\..\BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\programs\SnagIt 10\DLLx64\SnagitBHO64.dll (file missing) O3-32 - HKLM\..\Toolbar: Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\programs\SnagIt 10\SnagitIEAddin.dll (file missing) O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Snagit 10.lnk.id-5A4A159B.[Filecode99@cock.li].arrow O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5A4A159B.[Filecode99@cock.li].arrow O4 - HKCU\..\Run: [C:\Users\home\AppData\Roaming\Info.hta] = C:\WINDOWS\system32\mshta.exe "C:\Users\home\AppData\Roaming\Info.hta" O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] = C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (file missing) O4 - HKLM\..\StartupApproved\Run32: [StartCCC] (1601/01/01) = C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe MSRun (file missing) O4-32 - HKLM\..\Run: [Dropbox] = C:\Program Files (x86)\Dropbox\Client\Dropbox.exe /systemstartup (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt1 Class - {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt10 Class - {FB314EE2-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt2 Class - {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt3 Class - {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt4 Class - {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt5 Class - {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt6 Class - {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt7 Class - {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt8 Class - {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt9 Class - {FB314EE1-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: ErrorOverlayHandler Class - {BBACC218-34EA-4666-9D7A-C78F2274A524} - C:\Users\home\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\FileSyncShell.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: ReadOnlyOverlayHandler Class - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - C:\Users\home\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\FileSyncShell.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: SharedOverlayHandler Class - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - C:\Users\home\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\FileSyncShell.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: SharedSyncingOverlayHandler Class - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - C:\Users\home\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\FileSyncShell.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: SyncingOverlayHandler Class - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - C:\Users\home\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\FileSyncShell.dll (file missing) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: UpToDateOverlayHandler Class - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - C:\Users\home\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\FileSyncShell.dll (file missing) O22 - Task: CorelUpdateHelperTaskCore - c:\Program Files (x86)\Corel\CUH\v2\CUH.exe /t (file missing) O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing) O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing) O22 - Task: OneDrive Standalone Update Task-S-1-5-21-754837937-4034852023-609716144-1003 - C:\Users\home\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing) O22 - Task: OneDrive Standalone Update Task-S-1-5-21-754837937-4034852023-609716144-1007 - C:\Users\home\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing) O22 - Task: Soft installer - C:\Users\home\AppData\Local\Comms\1514804635_installcube.exe subid=3107;src=123;scheduler=1 (file missing) O22 - Task: \Microsoft\Windows\Location\Scheduled - C:\WINDOWS\Fonts\ctfmon.vbs O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client" O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server" Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Изменено 15 апреля, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Wisk 0 Опубликовано 15 апреля, 2018 Автор Share Опубликовано 15 апреля, 2018 Ответ Почта Mail.Ru - Re quarantine.zip KLAN-7923817792.pdf Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 15 апреля, 2018 Share Опубликовано 15 апреля, 2018 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.Не сделали. Цитата Ссылка на сообщение Поделиться на другие сайты
Wisk 0 Опубликовано 18 апреля, 2018 Автор Share Опубликовано 18 апреля, 2018 Сделал CollectionLog-2018.04.18-22.07.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 18 апреля, 2018 Share Опубликовано 18 апреля, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Wisk 0 Опубликовано 19 апреля, 2018 Автор Share Опубликовано 19 апреля, 2018 Отчеты FRST Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 19 апреля, 2018 Share Опубликовано 19 апреля, 2018 Проверьте эти файлы на virustotal C:\WINDOWS\system32\runexehelper.exe C:\WINDOWS\system32\sxj2mci.exe C:\WINDOWS\system32\sxj2mci.dll C:\WINDOWS\system32\sxj2mlm.dllкнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION FF Extension: (No Name) - C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Browser\WCFirefoxExtn [2018-04-13] [not signed] FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File] FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\Program Files (x86)\MICROS~1\Office14\NPAUTHZ.DLL [No File] FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files (x86)\MICROS~1\Office14\NPSPWRAP.DLL [No File] FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.7\npGoogleUpdate3.dll [No File] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.7\npGoogleUpdate3.dll [No File] FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll [No File] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx <not found> U4 CiSvc; no ImagePath U4 dmwappushsvc; no ImagePath U4 ERSvc; no ImagePath U4 NvTelemetryContainer; no ImagePath 2018-04-13 11:01 - 2018-04-13 11:01 - 000013926 _____ C:\WINDOWS\system32\Info.hta 2018-04-13 11:01 - 2018-04-13 11:01 - 000000224 _____ C:\FILES ENCRYPTED.txt 2018-03-24 17:32 - 2018-04-13 09:09 - 000000000 ____D C:\ProgramData\ProductData 2018-03-24 16:55 - 2018-03-24 17:07 - 000000000 ____D C:\Users\home\AppData\Local\Hostinstaller AlternateDataStreams: C:\Windows:Active.txt [13] AlternateDataStreams: C:\WINDOWS\Temp:Account.txt [0] AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0] AlternateDataStreams: C:\Users\home\AppData\Local\Temp:Account.txt [0] AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0] Reboot: End::и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Компьютер будет перезагружен автоматически. Цитата Ссылка на сообщение Поделиться на другие сайты
Wisk 0 Опубликовано 21 апреля, 2018 Автор Share Опубликовано 21 апреля, 2018 Проверка C:\WINDOWS\system32\runexehelper.exehttps://www.virustotal.com/#/file/662e00746f22b39d4af93031ec2e49c594e08104223cd188c6fbe81794a98bdf/detection Проверка C:\WINDOWS\system32\sxj2mci.exe https://www.virustotal.com/#/file/d7981f8c2c23de080a9043606c1d8eb6c971ddf242e7f74a442b1a6ee27b4cf5/detection Проверка C:\WINDOWS\system32\sxj2mci.dll https://www.virustotal.com/#/file/c4c335264a07b422dcdb510f388170d5238e9ee8d8866a3e5464003cc5e88627/detection Проверка C:\WINDOWS\system32\sxj2mlm.dll https://www.virustotal.com/#/file/1c94e0fe3cb594b790418347f12fdc90098e95c5b6195b3ea224fc64e5e1a702/detection fixlog.txt Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 апреля, 2018 Share Опубликовано 21 апреля, 2018 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Wisk 0 Опубликовано 21 апреля, 2018 Автор Share Опубликовано 21 апреля, 2018 Скрипт уязвимостей не обнаружил. Есть какой-то шанс восстановить зашифрованные файлы? На всякий случай прикладываю текстовик, который шифровальщик везде положил. Зашифрованные файлы не позволяет прикреплять. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 апреля, 2018 Share Опубликовано 21 апреля, 2018 Есть какой-то шанс восстановить зашифрованные файлы? Если поймают злодеев, то возможно будет. Такие преценденты уже были. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.