Алексей Фурсаев 0 Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 День добрый уже я так понимаю известная проблема с шифровальщикм. вот и я стал счастливым обладателем. xser@tutanota.com логи с автологгера CollectionLog-2018.06.06-10.25.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\program files\common files\microsoft shared\intel\svchost.exe'); TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe'); TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe'); StopService('wscsvs'); QuarantineFile('c:\program files\common files\microsoft shared\intel\svchost.exe', ''); QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', ''); QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', ''); QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', ''); QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', ''); QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', ''); QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); ExecuteFile('schtasks.exe', '/delete /TN "AdobeReaderUpdate" /F', 0, 15000, true); DeleteFile('c:\program files\common files\microsoft shared\intel\svchost.exe', ''); DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', ''); DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', ''); DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', ''); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', ''); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', ''); DeleteService('spoolsrvrs'); DeleteService('wcvvses'); DeleteService('werlsfks'); DeleteService('wscsvs'); DeleteFileMask('c:\windows\inf\axperflib', '*', true); DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true); DeleteDirectory('c:\windows\inf\axperflib'); DeleteDirectory('c:\windows\inf\netlibrariestip'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(9); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Фурсаев 0 Опубликовано 6 июня, 2018 Автор Share Опубликовано 6 июня, 2018 забыл прикрепить файл readme README.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 Выполняйте рекомендации. Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Фурсаев 0 Опубликовано 6 июня, 2018 Автор Share Опубликовано 6 июня, 2018 (изменено) Отправил им файл а архив почему то создался с паролем... он автоматически создался после скрипта, как найти пароль?) Изменено 6 июня, 2018 пользователем Sandor Убрал карантин Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 Этот архив следует отправить по указанному адресу, а не прикреплять к сообщению. Пароль Вам не нужен. Жду повторный CollectionLog Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Фурсаев 0 Опубликовано 6 июня, 2018 Автор Share Опубликовано 6 июня, 2018 так и пришел ответ от ниъ. В ходе проверки в автоматическом режиме не удалось распаковать архив. Пожалуйста, пришлите нам пароль, которым защищен ваш архив или создайте новый архив с паролем "infected" (без кавычек).KLAN-8183456266 CollectionLog-2018.06.06-11.06.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Фурсаев 0 Опубликовано 6 июня, 2018 Автор Share Опубликовано 6 июня, 2018 выполнил EG-ADMIN_2018-06-06_12-38-06.7z Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 (изменено) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE delref %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\MMS.EXE delref %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\MMS.EXE delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\NEXTCLOUD\NEXTCLOUD.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\SETTINGS.EXE deldir %SystemRoot%\INF\NETLIBRARIESTIP deldir %SystemRoot%\INF\AXPERFLIB apply regt 35 restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Подробнее читайте в этом руководстве. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Изменено 6 июня, 2018 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Фурсаев 0 Опубликовано 6 июня, 2018 Автор Share Опубликовано 6 июня, 2018 готово Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt [2018-06-06] () GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION 2018-06-06 00:52 - 2018-06-06 00:52 - 000001386 _____ C:\Windows\SysWOW64\README.txt 2018-06-06 00:52 - 2018-06-06 00:52 - 000001386 _____ C:\Windows\SysWOW64\Drivers\README.txt 2018-06-06 00:41 - 2018-06-06 00:41 - 000001386 _____ C:\Windows\README.txt 2018-06-06 00:40 - 2018-06-06 00:40 - 000001386 _____ C:\Users\user\Documents\README.txt 2018-06-06 00:40 - 2018-06-06 00:40 - 000001386 _____ C:\Users\user\AppData\Roaming\README.txt 2018-06-06 00:40 - 2018-06-06 00:40 - 000001386 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2018-06-06 00:40 - 2018-06-06 00:40 - 000001386 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt 2018-06-06 00:40 - 2018-06-06 00:40 - 000001386 _____ C:\Users\user\AppData\LocalLow\README.txt 2018-06-06 00:39 - 2018-06-06 00:39 - 000001386 _____ C:\Users\user\README.txt 2018-06-06 00:39 - 2018-06-06 00:39 - 000001386 _____ C:\Users\user\AppData\README.txt 2018-06-06 00:39 - 2018-06-06 00:39 - 000001386 _____ C:\Users\user\AppData\Local\README.txt 2018-06-06 00:39 - 2018-06-06 00:39 - 000001386 _____ C:\Users\Public\README.txt 2018-06-06 00:39 - 2018-06-06 00:39 - 000001386 _____ C:\Users\Public\Documents\README.txt 2018-06-06 00:34 - 2018-06-06 00:34 - 000001386 _____ C:\Users\egor\Downloads\README.txt 2018-06-06 00:32 - 2018-06-06 00:32 - 000001386 _____ C:\Users\egor\Documents\README.txt 2018-06-06 00:32 - 2018-06-06 00:32 - 000001386 _____ C:\Users\egor\Desktop\README.txt 2018-06-06 00:29 - 2018-06-06 00:29 - 000001386 _____ C:\Users\egor\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2018-06-06 00:29 - 2018-06-06 00:29 - 000001386 _____ C:\Users\egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt 2018-06-06 00:27 - 2018-06-06 00:27 - 000001386 _____ C:\Users\egor\AppData\Roaming\README.txt 2018-06-06 00:27 - 2018-06-06 00:27 - 000001386 _____ C:\Users\egor\AppData\LocalLow\README.txt 2018-06-06 00:23 - 2018-06-06 00:23 - 000001386 _____ C:\Users\egor\README.txt 2018-06-06 00:23 - 2018-06-06 00:23 - 000001386 _____ C:\Users\egor\AppData\README.txt 2018-06-06 00:23 - 2018-06-06 00:23 - 000001386 _____ C:\Users\egor\AppData\Local\README.txt 2018-06-06 00:23 - 2018-06-06 00:23 - 000001386 _____ C:\Users\egor\AppData\Local\Apps\README.txt 2018-06-06 00:23 - 2018-06-06 00:23 - 000001386 _____ C:\Users\DHCP\Documents\README.txt 2018-06-06 00:23 - 2018-06-06 00:23 - 000001386 _____ C:\Users\DHCP\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2018-06-06 00:23 - 2018-06-06 00:23 - 000001386 _____ C:\Users\DHCP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt 2018-06-06 00:22 - 2018-06-06 00:22 - 000001386 _____ C:\Users\DHCP\README.txt 2018-06-06 00:22 - 2018-06-06 00:22 - 000001386 _____ C:\Users\DHCP\AppData\Roaming\README.txt 2018-06-06 00:22 - 2018-06-06 00:22 - 000001386 _____ C:\Users\DHCP\AppData\README.txt 2018-06-06 00:22 - 2018-06-06 00:22 - 000001386 _____ C:\Users\DHCP\AppData\LocalLow\README.txt 2018-06-06 00:22 - 2018-06-06 00:22 - 000001386 _____ C:\Users\DHCP\AppData\Local\README.txt 2018-06-06 00:22 - 2018-06-06 00:22 - 000001386 _____ C:\Users\DefaultAccount\Documents\README.txt 2018-06-06 00:22 - 2018-06-06 00:22 - 000001386 _____ C:\Users\DefaultAccount\AppData\Roaming\README.txt 2018-06-06 00:22 - 2018-06-06 00:22 - 000001386 _____ C:\Users\DefaultAccount\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2018-06-06 00:22 - 2018-06-06 00:22 - 000001386 _____ C:\Users\DefaultAccount\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt 2018-06-06 00:22 - 2018-06-06 00:22 - 000001386 _____ C:\Users\DefaultAccount\AppData\LocalLow\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\DefaultAccount\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\DefaultAccount\AppData\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\DefaultAccount\AppData\Local\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\Default\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\Default\Documents\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\Default\AppData\Roaming\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\Default\AppData\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\Default\AppData\Local\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\Default User\Documents\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\Default User\AppData\Roaming\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\Default User\AppData\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\Default User\AppData\Local\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\ASPNET\Documents\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\ASPNET\Desktop\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\ASPNET\AppData\Roaming\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\ASPNET\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\ASPNET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt 2018-06-06 00:21 - 2018-06-06 00:21 - 000001386 _____ C:\Users\ASPNET\AppData\LocalLow\README.txt 2018-06-06 00:20 - 2018-06-06 00:20 - 000001386 _____ C:\Users\ASPNET\README.txt 2018-06-06 00:20 - 2018-06-06 00:20 - 000001386 _____ C:\Users\ASPNET\AppData\README.txt 2018-06-06 00:20 - 2018-06-06 00:20 - 000001386 _____ C:\Users\ASPNET\AppData\Local\README.txt 2018-06-06 00:19 - 2018-06-06 00:19 - 000001386 _____ C:\Users\README.txt 2018-06-06 00:19 - 2018-06-06 00:19 - 000001386 _____ C:\Users\alex\README.txt 2018-06-06 00:19 - 2018-06-06 00:19 - 000001386 _____ C:\Users\alex\Documents\README.txt 2018-06-06 00:19 - 2018-06-06 00:19 - 000001386 _____ C:\Users\alex\AppData\Roaming\README.txt 2018-06-06 00:19 - 2018-06-06 00:19 - 000001386 _____ C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2018-06-06 00:19 - 2018-06-06 00:19 - 000001386 _____ C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt 2018-06-06 00:19 - 2018-06-06 00:19 - 000001386 _____ C:\Users\alex\AppData\README.txt 2018-06-06 00:19 - 2018-06-06 00:19 - 000001386 _____ C:\Users\alex\AppData\Local\README.txt 2018-06-06 00:18 - 2018-06-06 00:19 - 000000000 ____D C:\Users\alex\AppData\Local\CrashDumps 2018-06-06 00:18 - 2018-06-06 00:18 - 000001386 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt 2018-06-06 00:18 - 2018-06-06 00:18 - 000001386 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\README.txt 2018-06-06 00:17 - 2018-06-06 00:17 - 000001386 _____ C:\Users\Все пользователи\README.txt 2018-06-06 00:17 - 2018-06-06 00:17 - 000001386 _____ C:\ProgramData\README.txt 2018-06-06 00:07 - 2018-06-06 00:07 - 000001386 _____ C:\Program Files (x86)\README.txt 2018-06-06 00:04 - 2018-06-06 00:04 - 000001386 _____ C:\Program Files\README.txt 2018-06-06 00:04 - 2018-06-06 00:04 - 000001386 _____ C:\Program Files\Common Files\README.txt 2018-06-06 00:01 - 2018-06-06 00:01 - 000001386 _____ C:\Users\alex\Desktop\README.txt 2018-06-06 00:01 - 2018-06-06 00:01 - 000001386 _____ C:\README.txt Task: {858E0007-6EA1-43A7-95F9-E34E612434CA} - \Adobe Reader -> No File <==== ATTENTION Task: {C4E3F92F-1C67-4487-8417-E9E67958F02B} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.86 Online" "1518695024058" "56f0b914-769c-4c50-9a18-08f43c802138" Task: {C4E3F92F-1C67-4487-8417-E9E67958F02B} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Фурсаев 0 Опубликовано 6 июня, 2018 Автор Share Опубликовано 6 июня, 2018 выполнил. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 Наберитесь терпения и подождите некоторое время. Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Фурсаев 0 Опубликовано 6 июня, 2018 Автор Share Опубликовано 6 июня, 2018 я подожду. инфы и правда много. под учеткой был кстати заведен яндекс диск и его весь похерили(( грусть, тоска, печаль. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.