ukrainochka 0 Опубликовано 2 мая, 2018 Share Опубликовано 2 мая, 2018 (изменено) Добрый день. Нас поразил вирус. Судя по всему декриптор. Все файлы закодировались с расширением [decrypthelp@qq.com].arrow ПОМОГИТЕ ПОЖАЛУЙСТА !!!!!!!! Логи прикрепляем. CollectionLog-2018.05.01-12.46.zip Изменено 2 мая, 2018 пользователем ukrainochka Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 2 мая, 2018 Share Опубликовано 2 мая, 2018 Выполните скрипт в АВЗ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например http://rgho.st/ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
ukrainochka 0 Опубликовано 3 мая, 2018 Автор Share Опубликовано 3 мая, 2018 Вот результат исполнения скрипта. http://rgho.st/6MKqNggzP Результат работы Farbar Recovery Scan Tool : FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 3 мая, 2018 Share Опубликовано 3 мая, 2018 (изменено) ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13921 2018-04-28] () HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13921 2018-04-28] () HKLM-x32\...\Run: [Timestasks] => C:\ProgramData\TimeTasks\timetasks.exe" HKLM-x32\...\Run: [gmsd_re_005010051] => [X] HKLM-x32\...\Run: [gmsd_re_005010052] => [X] HKLM-x32\...\Run: [gmsd_re_005010053] => [X] HKLM-x32\...\Run: [] => [X] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-04-28] () Startup: C:\Users\maxy3d\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\MMadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Ірина Сергіївна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-04-28] () Startup: C:\Users\Анатолий ТЕАМ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Ирина Николаевна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Лина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Люба\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Надія Василівна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Наталья Анатоліївна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Наталья Леонідівна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Наталя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Наталя Сергіївна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Наташа_Витрати\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Оксана Васильевна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Ольга\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] Startup: C:\Users\Света\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk.id-CA647AD7.[decrypthelp@qq.com].arrow [2018-04-28] GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hppp&ts=1438774172&z=65c273e616e0d42fc7e5decg2z9c8bam8m2z5ebt7t&from=cmi&uid=3219913727_198339_CA647AD7 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hppp&ts=1438774172&z=65c273e616e0d42fc7e5decg2z9c8bam8m2z5ebt7t&from=cmi&uid=3219913727_198339_CA647AD7 URLSearchHook: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {0DA50FCB-35E2-473D-AB40-2E8E6FE56D31} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3803606911-2071869333-3787732169-500 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=3219913727_198339_CA647AD7&ts=1438959640&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1438943948&z=6145071bcf7e77ea5334adeg2z4c2bat0z3c3b8q5w&from=cmi&uid=3219913727_198339_CA647AD7 FF Plugin-x32: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll [No File] 2017-02-20 13:04 - 2017-02-20 13:04 - 000000001 _RHOT () C:\Program Files (x86)\03000200-1438766560-0500-0006-000700080009 2017-02-20 13:04 - 2017-02-20 13:04 - 000000001 _RHOT () C:\Program Files (x86)\AnyProtectEx 2017-02-20 13:04 - 2017-02-20 13:04 - 000000001 _RHOT () C:\Program Files (x86)\Crossbrowse 2017-02-20 13:05 - 2017-02-20 13:05 - 000000001 _RHOT () C:\Program Files (x86)\globalUpdate 2017-02-20 13:04 - 2017-02-20 13:04 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\AnyProtectEx 2017-02-20 13:05 - 2017-02-20 13:05 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\cpuminer 2017-02-20 13:04 - 2017-02-20 13:04 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\eTranslator 2017-02-20 13:04 - 2017-02-20 13:04 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\Homepager 2018-04-28 17:29 - 2018-04-28 17:29 - 000013921 _____ () C:\Users\Администратор\AppData\Roaming\Info.hta 2017-02-20 13:05 - 2017-02-20 13:05 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\IQIYI Video 2017-02-20 13:05 - 2017-02-20 13:05 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\Obnovi Soft 2017-02-20 13:05 - 2017-02-20 13:05 - 000000001 _RHOT () C:\Users\Администратор\AppData\Roaming\ppslog 2017-02-20 13:05 - 2017-02-20 13:05 - 000000001 _RHOT () C:\Users\Администратор\AppData\Local\globalUpdate Task: {1CF71DEF-291E-49A8-BF71-4405F92B6AE5} - System32\Tasks\f706a8f7-287f-4a40-893c-ca55c01ea0aa-4 => C:\Program Files (x86)\CinemaPlus-3.2cV29.07\f706a8f7-287f-4a40-893c-ca55c01ea0aa-4.exe <==== ATTENTION Task: {2069239C-868A-495A-843A-AADEA6367FA5} - System32\Tasks\MailRuUpdater => C:\Users\Ирина Николаевна\AppData\Local\Mail.Ru\MailRuUpdater.exe <==== ATTENTION Task: {259E888C-0A3D-4DA4-B1B7-48BDB5CC0285} - System32\Tasks\Uninstaller_SkipUac_Администратор => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {7DFC033F-AFFE-492D-8024-13EDFFF113C6} - System32\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4 => C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4.exe <==== ATTENTION Task: {B3A4F1C1-EE64-4268-B9FC-A9125958449B} - System32\Tasks\Driver Booster SkipUAC (Администратор) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {BC501010-C872-4D25-B9B9-A3F6C3B12222} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION Task: {DBC2264A-FE1B-4F1C-8081-666EAA827CE7} - System32\Tasks\8f395291-838b-47df-8909-6b88c079a5fc-4 => C:\Program Files (x86)\GoHD\8f395291-838b-47df-8909-6b88c079a5fc-4.exe <==== ATTENTION Task: {FD6E8D80-A8D5-498B-BCF7-787EEF047677} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION Task: C:\Windows\Tasks\8f395291-838b-47df-8909-6b88c079a5fc-4.job => C:\Program Files (x86)\GoHD\8f395291-838b-47df-8909-6b88c079a5fc-4.exe <==== ATTENTION Task: C:\Windows\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4.job => C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4.exe <==== ATTENTION Task: C:\Windows\Tasks\f706a8f7-287f-4a40-893c-ca55c01ea0aa-4.job => C:\Program Files (x86)\CinemaPlus-3.2cV29.07\f706a8f7-287f-4a40-893c-ca55c01ea0aa-4.exe <==== ATTENTION Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION MSCONFIG\startupreg: amigo => C:\Users\Администратор\AppData\Local\Amigo\Application\amigo.exe --no-startup-window MSCONFIG\startupreg: gmsd_re_005010052 => "C:\Program Files (x86)\gmsd_re_005010052\gmsd_re_005010052.exe" MSCONFIG\startupreg: MailRuUpdater => C:\Users\Администратор\AppData\Local\Mail.Ru\MailRuUpdater.exe MSCONFIG\startupreg: ZaxarGameBrowser => "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s MSCONFIG\startupreg: ZaxarLoader => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent MSCONFIG\startupreg: Обнови Софт => "C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe" -startup Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму Изменено 3 мая, 2018 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
ukrainochka 0 Опубликовано 3 мая, 2018 Автор Share Опубликовано 3 мая, 2018 Скрипт выполнили. Файл прилагаем Fixlog.txt Архив upload.zip на рабочем столе создан не был, поэтому не прилагаем. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 3 мая, 2018 Share Опубликовано 3 мая, 2018 Лицензия на антивирус имеется? Ссылка на сообщение Поделиться на другие сайты
ukrainochka 0 Опубликовано 4 мая, 2018 Автор Share Опубликовано 4 мая, 2018 К сожалению на этом компьютере нет. Поэтому вынуждены просить помощи на Ваших условиях. Точнее стоял ESSENTIAL. Судя по всему он не справляется со своими функциями. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 4 мая, 2018 Share Опубликовано 4 мая, 2018 К сожалению на этом компьютере нет. Поэтому вынуждены просить помощи на Ваших условиях. По этому шифровальщику оказывается индивидуальная помощь в службе технической поддержки Лаборатории Касперского. Я не сотрудник компании и помочь на форуме с расшифровкой после актуальной модификации шифровальщика Crysis не могу. Точнее стоял ESSENTIAL. Судя по всему он не справляется со своими функциями. Скорее не справились Ваши сотрудники из ИТ службы, которые используют слабые пароли на учетных записях и RDP. Если Вы еще не поняли, то к Вам злоумышленник удаленно зашел и вручную запустил шифровальщика на сервере. Выводы думаю сделаете сами. Ссылка на сообщение Поделиться на другие сайты
ukrainochka 0 Опубликовано 5 мая, 2018 Автор Share Опубликовано 5 мая, 2018 Что можно предпринять ? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 5 мая, 2018 Share Опубликовано 5 мая, 2018 Можете создать запрос на расшифровку https://forum.kasperskyclub.ru/index.php?showtopic=48525 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти