Kostamus Опубликовано 19 июня, 2018 Опубликовано 19 июня, 2018 Добрый день!Наша организация поймала вирус-шифровальщик, предположительно ночью.Файлы теперь зашифрованы.Возможно ли восстановить информацию? CollectionLog-2018.06.19-09.27.zip КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
akoK Опубликовано 19 июня, 2018 Опубликовано 19 июня, 2018 Возможно ли восстановить информацию? Пока нет. Браузер Amigo сами устанавливали? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\config\systemprofile\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', ''); DeleteFile('C:\Windows\System32\config\systemprofile\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '32'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','OYTfqa'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','OYTfqa'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Попробуйте вытянуть информацию ShadowExplorer
regist Опубликовано 19 июня, 2018 Опубликовано 19 июня, 2018 (изменено) Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('C:\Users\1\AppData\Local\OneClick\OneClickApp.32.exe', ''); QuarantineFile('C:\Windows\system32\drivers\IPLIR.sys', ''); QuarantineFile('C:\Windows\system32\drivers\itcswd.sys', ''); QuarantineFile('C:\Windows\system32\olvpavd.dll', ''); QuarantineFileF('C:\Users\1\AppData\Local\OneClick\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\1\AppData\Local\OneClick\OneClickApp.32.exe'); DeleteFile('C:\Windows\system32\olvpavd.dll', '32'); DeleteFileMask('C:\Users\1\AppData\Local\OneClick\', '*', true); DeleteDirectory('C:\Users\1\AppData\Local\OneClick\'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Aloasek\Parameters', 'ServiceDll'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - HKCU\..\Policies\Explorer\Run: [FTgwAyidgNSITsZdOPMRuKstpB] = C:\Windows\system32\zKqoIyvTTVVo_L.exe (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Active Desktop Calendar.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Dr.Web Scanner.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^FineReader 10.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Makhaon MKB10.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office Document Imaging.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^The Bat! E-Mail Client.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Windows Fax and Scan.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Yandex.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Адреса.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^БЛАНКИ ОРГАНИЗАЦИИ.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Входящие документы - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ДСП Входящие.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ДСП Исходящие.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Костомукша - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Лист ознакомления - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^МЗ приказы - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^МЗ телефоны на 25 06 2015 - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Мои документы - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Обращения граждан - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Приказы по оплате, отпускам - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Приказы по основной деятельности - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Распоряжения - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^письмо Хидишяну бланк - Ярлык (2).lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^по гриппу - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^санзадание 814 2 76 44 77.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^сетевая папка.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing) O4 - MSConfig\startupreg: Client Server Runtime Subsystem [command] = C:\ProgramData\Windows\csrss.exe (file missing) (HKLM) (2017/05/02) O4 - MSConfig\startupreg: Green Christmas Tree [command] = C:\Users\1\AppData\Local\Temp\Rar$EXa0.556\GreenChristmasTree_01_0.exe (file missing) (HKCU) (2014/11/24) O4 - MSConfig\startupreg: Praetorian [command] = C:\Users\1\AppData\Local\Yandex\Updater\praetorian.exe (file missing) (HKCU) (2016/07/15) O4 - MSConfig\startupreg: amigo [command] = C:\Users\1\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (file missing) (HKCU) (2018/05/28) O20 - HKLM\..\Winlogon\Notify: itcwlnp [DllName] = iO22 - Task: Обновление Браузера Яндекс - C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update (file missing) O23 - Service S2: Service Installer TrueKey - (InstallerService) - C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe (file missing) Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -runtimeupdated - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Изменено 19 июня, 2018 пользователем regist
Kostamus Опубликовано 20 июня, 2018 Автор Опубликовано 20 июня, 2018 Возможно ли восстановить информацию? Пока нет. Браузер Amigo сами устанавливали? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\config\systemprofile\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', ''); DeleteFile('C:\Windows\System32\config\systemprofile\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '32'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','OYTfqa'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','OYTfqa'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Попробуйте вытянуть информацию ShadowExplorer Пользователь не должен был пользоваться Amigo. KLAN-8257411988 Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
regist Опубликовано 20 июня, 2018 Опубликовано 20 июня, 2018 @Kostamus, жду всего остального. И по рассшифровке у вас шансов нет, только зачистка вирусов. Там два разных шифратора поработало и ни по одному нет рассшировки.
Kostamus Опубликовано 20 июня, 2018 Автор Опубликовано 20 июня, 2018 (изменено) https://virusinfo.info/virusdetector/report.php?md5=341ED5A86E0FFAEB85D85DA252328A84 https://virusinfo.info/showthread.php?t=219389 из за "Ошибка Размер файла превышает допустимый для загрузки размер" прикрепил на яндекс-диске ClearLNK-2018.06.20_10.02.09.log ClearLNK-2018.06.20_10.32.57.log HiJackThis.log CollectionLog-2018.06.20-10.37.zip Изменено 20 июня, 2018 пользователем regist убрал излишнее цитирование и карантин
regist Опубликовано 20 июня, 2018 Опубликовано 20 июня, 2018 Не надо заниматься оверквотином. Это только затрудняет чтение и как следствие помощь вам. Для быстрого ответа есть поле внизу. Карантин прикреплять также запрещено. По логам чуть позже отвечу. 1) McAfee Security Scan Plus [2017/03/29 08:39:36]-->"C:\Program Files\McAfee Security Scan\uninstall.exe" советую деинсталировать. 2) "Пофиксите" в HijackThis: O4 - HKCU\..\Policies\Explorer\Run: [FTgwAyidgNSITsZdOPMRuKstpB] = C:\Windows\system32\zKqoIyvTTVVo_L.exe (file missing) O4 - MSConfig\startupreg: Client Server Runtime Subsystem [command] = C:\ProgramData\Windows\csrss.exe (file missing) (HKLM) (2017/05/02) O4 - MSConfig\startupreg: Green Christmas Tree [command] = C:\Users\1\AppData\Local\Temp\Rar$EXa0.556\GreenChristmasTree_01_0.exe (file missing) (HKCU) (2014/11/24) O4 - MSConfig\startupreg: Praetorian [command] = C:\Users\1\AppData\Local\Yandex\Updater\praetorian.exe (file missing) (HKCU) (2016/07/15) O4 - MSConfig\startupreg: amigo [command] = C:\Users\1\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (file missing) (HKCU) (2018/05/28) O22 - Task: Обновление Браузера Яндекс - C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update (file missing) O23 - Service S2: Service Installer TrueKey - (InstallerService) - C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe (file missing) Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -runtimeupdated 3) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению.
Kostamus Опубликовано 20 июня, 2018 Автор Опубликовано 20 июня, 2018 Выполнено, отчёт включает информацию до и после фикса. AdwCleanerS00.txt AdwCleanerC00.txt
Kostamus Опубликовано 20 июня, 2018 Автор Опубликовано 20 июня, 2018 Свежие логи CollectionLog-2018.06.20-16.39.zip
regist Опубликовано 20 июня, 2018 Опубликовано 20 июня, 2018 При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти