Перейти к содержанию

Рекомендуемые сообщения

Добрый день! Сегодня утром обнаружили что все файлы в общей папке заражены шифратором szem@tutanota.com 

Прикрепляем результаты сканирования  Farbar Recovery Scan Tool и сам исполняемый файл который лежит в каждой папке README.EXE

Помогите пожалуйста! 

 

readme exe .zip

Desktop.zip

Ссылка на сообщение
Поделиться на другие сайты

Прикрепляю логи Kaspersky Virus Removal Tool и файл вируса
Боюсь запускать Autologger т.к. после перезагрузки ПК может не запустится
 

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносы

post-49906-0-71582800-1527154643_thumb.jpg

report_20180524_162435.klr.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('Windows Updater');
 DeleteService('WindowsCertificateService');
 DeleteService('WinMediaService');
 DeleteService('wscsvs');
 DeleteService('werlsfks');
 DeleteService('wcvvses');
 DeleteService('spoolsrvrs');
 QuarantineFile('C:\Windows\msapss\bin\msapp.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\SharePoint\updater.exe','');
 QuarantineFile('C:\Windows\Media\Long\certsvc.exe','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','64');
 DeleteFile('C:\Windows\Media\Long\certsvc.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\SharePoint\updater.exe','64');
 DeleteFile('C:\Windows\msapss\bin\msapp.exe','64');
 DeleteFile('C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.hta','64');
 DeleteFile('C:\Users\Video\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.hta','64');
 DeleteFile('C:\Windows\wincare.exe','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2572560431-1762078363-2368319235-1621\Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftSystemCare');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2572560431-1762078363-2368319235-1103\Software\Microsoft\Windows\CurrentVersion\Run','MediaSVC');
 DeleteFile('C:\Intel\updater.vbs','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
end.
  • Обратите внимание: перезагрузкe компьютера нужно выполнить вручную.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Ответ KLAN-8123905764Thank you for contacting Kaspersky Lab

Files and URLs you sent were scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
mms.exe
lsm.exe
mms_0.exe
mms_1.exe

Our antivirus databases do not contain the specified URLs:
https://forum.kasperskyclub.ru/index.php?showtopic=59390&p=880638

We will thoroughly analyze files and URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

Прикрепили новые логи 


У зараженного ПК был доступ к сетевой папке, в этой папке все документы зашифрованы 

CollectionLog-2018.05.25-18.59.zip

post-49906-0-13989800-1527246462_thumb.jpg

Изменено пользователем Maxim Shadrin
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Прикрепляем логи с зараженного ПК

 


Прикрепили логи с ПК где находится зашифрованная общая папка

FRST64 Logs.zip

Логи ПК где находится зашифрованная общая папка.zip

Ссылка на сообщение
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\Documents\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Local\Temp\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Public\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Public\Documents\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\ProgramData\README.hta
2018-05-24 13:00 - 2018-05-24 13:00 - 000009027 _____ C:\Users\Video\Desktop\README.hta
C:\Windows\Inf\axperflib
C:\Windows\Inf\NETLIBRARIESTIP
Task: {D625F6CA-3A86-428E-B8D1-65CB512E3972} - \AdobeReaderUpdate -> No File <==== ATTENTION
Task: {65D7BC90-FE64-4248-9489-AB86C3CA2C3A} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
Task: {10597CF2-0D11-4F8F-8020-2CA3AE71D49B} - \KMSAutoNet -> No File <==== ATTENTION
Task: {1E336BDF-482E-4B54-B5CF-F26DC5DA3BED} - \Adobe Reader -> No File <==== ATTENTION
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера выполните вручную.
Ссылка на сообщение
Поделиться на другие сайты

Теперь по второй машине

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
IFEO\sethc.exe: [Debugger] seth.exe
Task: {3C4726CD-6939-4B46-A591-74503040E8F8} - \Adobe Reader -> No File <==== ATTENTION
Task: {66152B46-6E9A-4FCB-8026-BA238F365795} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на сообщение
Поделиться на другие сайты

Дешифратор работает, но некоторые файлы остаются зашифрованными 

Прикрепили лог дешифровки с одной папки

CryptConsoleDecrypter log.txt

Ссылка на сообщение
Поделиться на другие сайты

Это значит, что они зашифрованы другим ключом для другого ID. Вы не первый, кто с этим сталкивается.

Надо найти все до единого файлы README.hta, запаковать в один архив и прикрепить к следующему сообщению.

Если пострадало несколько компьютеров, значит искать и на них.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Gennady_M
      От Gennady_M
      Добрый день!
       
      Вирус шифровальщик зашифровал файлы.
      Помогите пожалйста, возможно есть к нему дешифратор
      прилагаю файлы и сообщение от вымогателя
       
      шифровальщик.zip
    • ernesto93
      От ernesto93
      подобрали пароль к учетке у которой права Администратора отключили KES запароленый (KES был установлен на зараженную машину Сам виноват).
      4.jpg[paybackformistake@qq.com].zip 123123123.txt[paybackformistake@qq.com].zip
    • gnm82
      От gnm82
      Здравствуйте. Такая же проблема, но нашелся батник и исполняемые файлы шифровальщика, могут ли они помочь в расшифровке?
      crylock.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Maroder
      От Maroder
      Прошу помощи в расшифровке файлов. Все файлы с расширением: [extremessd@onionmail.org].[3E72A29B-88753196]
      После  попадания вируса, система была переустановлена. 
      Файл с требованиями.rar Поврежденные файлы.rar
    • wertep
      От wertep
      Проникновение через RDP. Зашифрованы почти все файлы с добавлением .[Decode@criptext.com][MJ-HJ1650237498].Dpr.
      Результат сканирования.
      FRST.txtAddition.txt
      Шифровальщик или расшифровщик.
      Decode@criptext.com.zip
      Образец зашифрованных файлов, один из них в не зашифрованном виде.
      Shifr.zip
      Прошу помочь.
×
×
  • Создать...