Шифровальщик Bomber

[Alexandr56]

Добрый день. Вчера попал под атаку. Компьютер весь день просто стоял включенным, ничего не запускали.

KVRT проверил, логи прилагаю. Буду очень благодарен за помощь.

CollectionLog-2018.06.20-10.49.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities 2014

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Админ\appdata\local\temp\ueiqc\teamviewer.exe');
 QuarantineFile('C:\Users\Админ\AppData\Local\Temp\UeIqC\tv.dll', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\z.vbs', '');
 QuarantineFileF('C:\Users\Админ\AppData\Local\Temp\UeIqC\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Админ\AppData\Local\Temp\UeIqC\tv.dll', '');
 DeleteFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '32');
 DeleteFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\z.vbs', '32');
 DeleteFileMask('C:\Users\Админ\AppData\Local\Temp\UeIqC\', '*', true);
 DeleteDirectory('C:\Users\Админ\AppData\Local\Temp\UeIqC\');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

[Alexandr56]

@Sandor,

 

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:

tv.dll

x.vbs

z.vbs

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

KLAN-8257064790

CollectionLog-2018.06.20-12.05.zip

Изменено 20 июня, 2018 пользователем Alexandr56

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Alexandr56]

@Sandor, 

FRST.txt

Addition.txt

[Sandor]

Ran by Админ (ATTENTION: The user is not administrator)

Переделайте, пожалуйста, от имени администратора.

[Alexandr56]

@Sandor, 

Извиняюсь

FRST.txt

Addition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  (PortableApps.com) C:\Users\Админ\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe
  (Igor Pavlov) C:\Users\Админ\AppData\Roaming\Microsoft\7-Zip\App\7-Zip\7zFM.exe
  HKLM\...\RunOnce: [{4D556359-8D62-4F1F-BA6D-357648AB81C2}] => C:\Users\836D~1\AppData\Local\Temp\{AFE73ED8-339B-4DED-AC8C-D1DAE7830787}\{4D556359-8D62-4F1F-BA6D-357648AB81C2}.cmd [292 2018-06-20] () <==== ATTENTION
  HKU\S-1-5-21-326127899-2917109375-113457443-1000\...\Run: [7-ZipPortable] => C:\Users\Админ\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)
  HKU\S-1-5-21-326127899-2917109375-113457443-1000\...\CurrentVersion\Windows: [Load] C:\Users\Админ\AppData\Local\Temp\msiexec.exe <==== ATTENTION
  Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HQ-Realtek АС 3.9.4.738.lnk [2018-05-04]
  ShortcutTarget: HQ-Realtek АС 3.9.4.738.lnk -> C:\Users\Администратор\AppData\Local\Temp\UeIqC\TeamViewer.exe (No File)
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  2018-06-19 12:46 - 2018-06-19 12:46 - 000002442 _____ C:\Users\Админ\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 12:12 - 2018-06-19 12:12 - 000002442 _____ C:\Users\Администратор\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-20 11:44 - 2002-01-01 00:05 - 000000000 ____D C:\ProgramData\TuneUp Software
  ContextMenuHandlers1: [TuneUp Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => D:\TuneUP\TuneUp Utilities 2014\SDShelEx-win32.dll -> No File
  ContextMenuHandlers4: [TuneUp Disk Space Explorer Shell Extension] -> {4838CD50-7E5D-4811-9B17-C47A85539F28} => D:\TuneUP\TuneUp Utilities 2014\DseShExt-x86.dll -> No File
  ContextMenuHandlers4: [TuneUp Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => D:\TuneUP\TuneUp Utilities 2014\SDShelEx-win32.dll -> No File
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Alexandr56]

@Sandor, 

Fixlog.txt

[Sandor]

Если Восстановление системы было включено ДО заражения, пробуйте восстановить файлы средствами Windows.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Дополнительно:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[Alexandr56]

@Sandor, 

SecurityCheck.txt

[thyrex]

cryptbase.dll из папки C:\Users\Админ\AppData\Roaming\Microsoft\7-Zip проверьте на virustotal.com и пришлите ссылку на результат.

 

После этого написанное в сообщении №10 выполните

[Alexandr56]

@thyrex, 

https://www.virustotal.com/ru/file/8f2f3d0f44cf6f802f2ead17b9fafca69a8d3e0ca8bf36aed34f6c2d27eaa199/analysis/1529485348/

SecurityCheck.txt

KONTUR-12_2018-06-20_14-15-38.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.12 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  ;---------command-block---------
  bl 2C4960A8A1386ED87723A17D32CE344A 154032
  zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\7-ZIPPORTABLE.EXE
  delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\7-ZIPPORTABLE.EXE
  bl 051AA5B5DC2567E3CB3E4B647DA2DC6C 177664
  zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\APP\7-ZIP\7ZFM.EXE
  delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\APP\7-ZIP\7ZFM.EXE
  apply
  
  zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP\CRYPTBASE.DLL
  bl 6D28A57EA1BA702E7D21B3A008E1C9A9 84480
  addsgn A7679B1928664D070E3CE6B264C8ED70357589FA768F17901B3D3A43D3127D11E11BC302B5B9160C23D60FD77A1581F5CA9EFCFF04C2B3FC22C0E529ACF60A70 64 Trojan.Win32.BuhTrap.h [Kaspersky] 7
  
  deldir %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\7-ZIP
  
  chklst
  delvir
  
  czoo
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

 

Соберите контрольный повторный лог uVS.

[Alexandr56]

@Sandor, не quarantine@safezone.cc с яндекс почты письмо не отправляется