Защифрованные данные kiaracript@gmail

[cooperd]

Добрый день, вирус попал на ноутбук и защифровал большое количество файлов, с помощью Autologger создал архив. подскажите,пожалуйста, дальнейшие действия

CollectionLog-2018.07.21-13.49.zip

Изменено 21 июля, 2018 пользователем cooperd

[SQ]

Здравствуйте,

 

Пожалуйста используете Kaspersky Rescue Disk по удалению файлового вируса.


 

[cooperd]

Подскажите, пожалуйста мне сперва использовать Kaspersky Rescue Disk, он просто в исо формате, его нужно установить и сделать проверку,?а потом уже делать скрипт в avz и отчет в adwcleaner? 

[SQ]

Да, сначало KRD, если незнаете как с ним работать, то пробуйте использовать KVRT.

После этого приложите новые логи автологгера, и не выполняйте предыдущие инструкции по AVZ.

P.S. я удалил скрипты AVZ, так как они будут не актуально после проверки утилитой KVRT.

[thyrex]

KRD нужно записать как образ (а не как файл) на оптический диск, загрузиться с него и выполнить лечение от файлового вируса

[cooperd]

KRD нужно записать как образ (а не как файл) на оптический диск, загрузиться с него и выполнить лечение от файлового вируса

Подскажите, пожалуйста, записал на диск, проверил весь ноутбук, нашло 1792 обьекта,  что мне выбрать, лечить или все в карантин? а только потом сделать отчет  автологгера? вирус подписан как virus32.win32.Neshta.a

[thyrex]

Все лечить, и только после успешного лечения собирать новые логи Autologger

[cooperd]

Вылечил все кроме 14 обьектов, отправил в каратнин, вот архив автолог

CollectionLog-2018.07.24-17.34.zip

[SQ]

HiJackThis (из каталога autologger)профиксить

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^AdwCleaner.lnk [backup] => C:\Program Files (x86)\AdwCleaner\Adwcleaner.exe (2018/03/01) (file missing)
O9 - Button: HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086} - (no name) - (no file)
O9 - Tools menu item: HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086} - Send by Bluetooth to - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 StopService('werlsfks');
 StopService('USER1-ПК');
 StopService('SRepairDrv');
 StopService('softaal');
 StopService('TSSKX64');
 StopService('tsnethlpx64');
 StopService('TsDefenseBt');
 StopService('QMUdisk');
 StopService('WindowsDefender');
 StopService('TrkWk');
 StopService('spoolsrvrs');
 StopService('HSystem');
 DeleteService('werlsfks');
 DeleteService('USER1-ПК');
 DeleteService('SRepairDrv');
 DeleteService('softaal');
 DeleteService('TSSKX64');
 DeleteService('tsnethlpx64');
 DeleteService('QMUdisk');
 DeleteService('TrkWk');
 DeleteService('HSystem');
 DeleteService('TsDefenseBt');
 DeleteService('spoolsrvrs');
 TerminateProcessByName('c:\programdata\microsoft\drm\smss.exe');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
 QuarantineFile('c:\programdata\microsoft\drm\smss.exe','');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\System\settings.exe','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.2.17058.221','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.2.17058.221\UninstallTips.exe','');
 QuarantineFile('C:\Users\aspnet\AppData\Local\Temp\OmagarableQuest.exe','');
 QuarantineFile('C:\ProgramData\BOT.exe','');
 QuarantineFile('C:\Users\aspnet\AppData\Local\Temp\MonoCecil\Fazathron.exe','');
 QuarantineFile('C:\Windows\system32\drivers\tsskx64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsDefenseBT64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\softaal64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys','');
 QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe','');
 QuarantineFile('C:\Users\User1\AppData\Roaming\Microsoft\Access\nssm.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','');
 QuarantineFile('C:\Program Files (x86)\Defsoft\MWc32L.exe','');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','32');
 DeleteFile('c:\programdata\microsoft\drm\smss.exe','32');
 DeleteFile('C:\Program Files (x86)\Defsoft\MWc32L.exe','64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','64');
 DeleteFile('C:\Windows\Font\taskhost.exe','64');
 DeleteFile('C:\Users\User1\AppData\Roaming\Microsoft\Access\nssm.exe','64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys','64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\softaal64.sys','64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsDefenseBT64.sys','64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys','64');
 DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','64');
 DeleteFile('C:\ProgramData\BOT.exe','64');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Root\BOT" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemSecurity\CheckUpdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{8115B481-327A-428F-BF63-FD847B2D8D3F}" /F', 0, 15000, true);
 DeleteFile('C:\Users\aspnet\AppData\Local\Temp\OmagarableQuest.exe','64');
 ExecuteFile('schtasks.exe', '/delete /TN "AzureSDKService" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.2.17058.221','64');
 DeleteFile('C:\Users\aspnet\AppData\Local\Temp\MonoCecil\Fazathron.exe','64');
 ExecuteFile('schtasks.exe', '/delete /TN "Adobe Reader" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\settings.exe','64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

- Подготовьте лог AdwCleaner и приложите его в теме.
 

[cooperd]

Сообщение от модератора thyrex

Убрал простыню-цитату

 

Не получается следующее,не могу закинуть архив пишет 
Ошибка загрузки. Данный файл уже был загружен
в программе ClearLNK  не пойму где взять файл Лог

quarantine.zip

[Sandor]

@cooperd, пожалуйста, используйте форму быстрого ответа внизу, а не цитируйте полностью сообщение.

 

в программе ClearLNK  не пойму где взять файл Лог

Инструкция.

 

Подготовьте лог AdwCleaner и приложите его в теме

Это также ждем.

[cooperd]

вот, 

ClearLNK-2018.07.25_16.57.44.log

AdwCleanerS00.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[cooperd]

вот

AdwCleanerC01.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.