Перейти к содержанию

Рекомендуемые сообщения

Добрый день. Вчера попал под атаку. Компьютер весь день просто стоял включенным, ничего не запускали.

KVRT проверил, логи прилагаю. Буду очень благодарен за помощь.

CollectionLog-2018.06.20-10.49.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities 2014

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Админ\appdata\local\temp\ueiqc\teamviewer.exe');
 QuarantineFile('C:\Users\Админ\AppData\Local\Temp\UeIqC\tv.dll', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\z.vbs', '');
 QuarantineFileF('C:\Users\Админ\AppData\Local\Temp\UeIqC\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Админ\AppData\Local\Temp\UeIqC\tv.dll', '');
 DeleteFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '32');
 DeleteFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\z.vbs', '32');
 DeleteFileMask('C:\Users\Админ\AppData\Local\Temp\UeIqC\', '*', true);
 DeleteDirectory('C:\Users\Админ\AppData\Local\Temp\UeIqC\');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

@Sandor,

 

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:

tv.dll

x.vbs

z.vbs


Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

KLAN-8257064790

CollectionLog-2018.06.20-12.05.zip

Изменено пользователем Alexandr56
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    (PortableApps.com) C:\Users\Админ\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe
    (Igor Pavlov) C:\Users\Админ\AppData\Roaming\Microsoft\7-Zip\App\7-Zip\7zFM.exe
    HKLM\...\RunOnce: [{4D556359-8D62-4F1F-BA6D-357648AB81C2}] => C:\Users\836D~1\AppData\Local\Temp\{AFE73ED8-339B-4DED-AC8C-D1DAE7830787}\{4D556359-8D62-4F1F-BA6D-357648AB81C2}.cmd [292 2018-06-20] () <==== ATTENTION
    HKU\S-1-5-21-326127899-2917109375-113457443-1000\...\Run: [7-ZipPortable] => C:\Users\Админ\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)
    HKU\S-1-5-21-326127899-2917109375-113457443-1000\...\CurrentVersion\Windows: [Load] C:\Users\Админ\AppData\Local\Temp\msiexec.exe <==== ATTENTION
    Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HQ-Realtek АС 3.9.4.738.lnk [2018-05-04]
    ShortcutTarget: HQ-Realtek АС 3.9.4.738.lnk -> C:\Users\Администратор\AppData\Local\Temp\UeIqC\TeamViewer.exe (No File)
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    2018-06-19 12:46 - 2018-06-19 12:46 - 000002442 _____ C:\Users\Админ\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
    2018-06-19 12:12 - 2018-06-19 12:12 - 000002442 _____ C:\Users\Администратор\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
    2018-06-20 11:44 - 2002-01-01 00:05 - 000000000 ____D C:\ProgramData\TuneUp Software
    ContextMenuHandlers1: [TuneUp Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => D:\TuneUP\TuneUp Utilities 2014\SDShelEx-win32.dll -> No File
    ContextMenuHandlers4: [TuneUp Disk Space Explorer Shell Extension] -> {4838CD50-7E5D-4811-9B17-C47A85539F28} => D:\TuneUP\TuneUp Utilities 2014\DseShExt-x86.dll -> No File
    ContextMenuHandlers4: [TuneUp Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => D:\TuneUP\TuneUp Utilities 2014\SDShelEx-win32.dll -> No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Если Восстановление системы было включено ДО заражения, пробуйте восстановить файлы средствами Windows.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Дополнительно:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
Ссылка на комментарий
Поделиться на другие сайты

cryptbase.dll из папки C:\Users\Админ\AppData\Roaming\Microsoft\7-Zip проверьте на virustotal.com и пришлите ссылку на результат.

 

После этого написанное в сообщении №10 выполните

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.12 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    bl 2C4960A8A1386ED87723A17D32CE344A 154032
    zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\7-ZIPPORTABLE.EXE
    delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\7-ZIPPORTABLE.EXE
    bl 051AA5B5DC2567E3CB3E4B647DA2DC6C 177664
    zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\APP\7-ZIP\7ZFM.EXE
    delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\APP\7-ZIP\7ZFM.EXE
    apply
    
    zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\CRYPTBASE.DLL
    bl 6D28A57EA1BA702E7D21B3A008E1C9A9 84480
    addsgn A7679B1928664D070E3CE6B264C8ED70357589FA768F17901B3D3A43D3127D11E11BC302B5B9160C23D60FD77A1581F5CA9EFCFF04C2B3FC22C0E529ACF60A70 64 Trojan.Win32.BuhTrap.h [Kaspersky] 7
    
    deldir %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP
    
    chklst
    delvir
    
    czoo
    restart
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

 

 

Соберите контрольный повторный лог uVS.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...