bomber

[gutis012]

Поймали шифровальщик. Зашифрованы все файлы в формате ворд и другие документы. Лог приложен

CollectionLog-2018.06.19-13.43.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\System32\config\systemprofile\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '');
 DeleteFile('C:\Windows\System32\config\systemprofile\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '32');
 DeleteFile('C:\Windows\System32\config\systemprofile\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '64');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'OYTfqa');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'OYTfqa');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.



 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O4 - User Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.lnk    ->    C:\WINDOWS\update32\hstart.exe /IDLE /NOCONSOLE "update.exe --url http://foxminer.no-ip.biz:8332 --threads=1 --userpass foxminer_14:avytygaqa"
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avg - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

 

Удалите остатки AVG https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[gutis012]

http://virusinfo.info/virusdetector/report.php?md5=93CEF519B529D627EB56F9EB17A79887

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

[regist]

жду остальное.

[gutis012]

KLAN-8252167641

[regist]

 

 

"Пофиксите" в HijackThis: O4 - User Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.lnk -> C:\WINDOWS\update32\hstart.exe /IDLE /NOCONSOLE "update.exe --url http://foxminer.no-ip.biz:8332--threads=1 --userpass foxminer_14:avytygaqa" O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avg - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) Удалите остатки AVG https://safezone.cc:...-antivirusa.58/ Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

вот этого жду.

[gutis012]

Все что написано, я сделал. Прикладываю лог проверки.

CollectionLog-2018.06.19-16.49.zip

[gutis012]

Возможно ли восстановить заражённые файлы через программы типа Р студио?

[regist]

@gutis012,

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk', '');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk', '');
 QuarantineFile('c:\users\admin\appdata\roaming\sysplannt\msimg32.dll', '');
 QuarantineFileF('C:\Users\Admin\AppData\Roaming\SysplanNT\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk');
 DeleteFile('c:\users\admin\appdata\roaming\sysplannt\msimg32.dll', '32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\SysplanNT\msimg32.dll', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "Scan and Repair" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Start BoostSpeed оn Admin logon" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'update_w32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\usbhubsvc4\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

   1  C:\Users\Admin\AppData\Roaming\SysplanNT\update_w32.exe
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk    ->    C:\Windows\System32\regsvr32.exe /s scrrun.dll "C:\Users\Admin\AppData\Roaming\SysplanNT\msimg32.dll" htvrh666 "C:\Users\Admin\AppData\Roaming\SysplanNT\update_w32.exe" r
O4 - User Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk    ->    C:\Windows\System32\regsvr32.exe /s scrrun.dll "C:\Users\Admin\AppData\Roaming\SysplanNT\msimg32.dll" htvrh666 "C:\Users\Admin\AppData\Roaming\SysplanNT\update_w32.exe" r
O4-32 - HKLM\..\Run: [update_w32.exe] = C:\Windows\system32\regsvr32.exe /s scrrun.dll "C:\Users\Admin\AppData\Roaming\SysplanNT\msimg32.dll" htvrh666 "C:\Users\Admin\AppData\Roaming\SysplanNT\update_w32.exe" r
O23 - Service R2: Microsoft USB 3.0 Hub 4 - (usbhubsvc4) - C:\Windows\SysWow64\svchost.exe -k "MsHubSvc4" -svcr "update_w32.exe"; "ServiceDll" = C:\Users\Admin\AppData\Roaming\SysplanNT\msimg32.dll

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 

[gutis012]

KLAN-8255885586

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
Windows Update Manager.lnk
Windows Update Manager_0.lnk
svpn.exe
tv_x64.dll

В следующих файлах обнаружен вредоносный код:
msimg32.dll - Trojan.Win32.SysPlant.a

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

 

 

 

НЕТ СТРОК ДЛЯ ПРИМЕНЕНИЯ ФИКСА. ВСЕ ПУНКТЫ НА СКРИНАХ.

Лог прикладываю

CollectionLog-2018.06.20-08.41.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[gutis012]

Файлы сформированы

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  virustotal:C:\Windows\update32\update.exe
  HKLM-x32\...\Run: [7-ZipPortable] => C:\Users\Admin\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)
  C:\Users\Admin\AppData\Roaming\Microsoft\7-Zip\
  ManualProxies: 1http=127.0.0.1:2080
  FF user.js: detected! => C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2016-07-05]
  2018-06-19 08:14 - 2018-06-19 08:14 - 000002440 _____ C:\Users\Public\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 08:10 - 2018-06-19 08:10 - 000002440 _____ C:\Users\Admin\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 08:03 - 2018-06-19 08:03 - 000002440 _____ C:\Users\Admin\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 07:49 - 2018-06-19 07:49 - 000002440 _____ C:\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  AlternateDataStreams: C:\Users\Admin:id [32]
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Два антивируса - много. Один оставьте, один удалите.

После удаления пройдитесь соотв. утилитой: http://www.cyberforum.ru/viruses-faq/thread1359594.html

Изменено 20 июня, 2018 пользователем Sandor

[gutis012]

Выкладываю лог

Fixlog.txt

[Sandor]

Соберите новый CollectionLog Автологером.