вирус email-hola-veglass@x-mail.pro

[ridoflife]

Добрый день!

Во всех папках, в том числе сетевого диска Z, появились файлы README.txt c cодержанием:

 

Your files was encrypted! Write us:

hola-veglass@x-mail.pro

hola-veglass@x-mail.pro

hola-veglass@x-mail.pro

Некоторые файл .exe зашифрованны и переименнова в название вируса.

Активность была только в один день, но так и не понятно откуда взялся данный вирус. Помогите найти дыру и избежать запуска с других компьютеров. Спасибо!

CollectionLog-2018.09.21-12.30.zip

Изменено 21 сентября, 2018 пользователем ridoflife

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[ridoflife]

Извините, лог файл прикрепил к шапке

[Sandor]

Здравствуйте!

 

Переделайте логи под учётной записью с правами администратора (или запустите сборщик правой кнопкой от имени администратора).

[ridoflife]

Пожалуйста

CollectionLog-2018.09.21-14.32.zip

[regist]

@ridoflife, Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

[ridoflife]

Пожалуйста

Report.7z

Изменено 21 сентября, 2018 пользователем ridoflife

[regist]

@ridoflife, пользователь kassa_cs не имеет прав админа, соберите логи под учётной записью с правами администратора.

[ridoflife]

@ridoflife, пользователь kassa_cs не имеет прав админа, соберите логи под учётной записью с правами администратора.

Report.7z

[regist]

@ridoflife, вы не поняли, репорты больше не нужны. Они были нужны только для того чтобы выяснить почему Автологер продолжил у вас работу, это уже выяснил и исправил. Если вы заново скачаете Автологер, то там это уже исправлено. Так что можете скачать его заново и проверить.

А нужен лог CollectionLog собранный под учётной записью с правами администратора.

Кстати, последние репорты работы Автологера работающего под админской учёткой. Так что можете просто прикрепить файл CollectionLog-2018.09.21-16.57.zip

[mike 1]

Пришлите пожалуйста несколько зашифрованных файлов в архиве. 

[ridoflife]

@ridoflife, вы не поняли, репорты больше не нужны. Они были нужны только для того чтобы выяснить почему Автологер продолжил у вас работу, это уже выяснил и исправил. Если вы заново скачаете Автологер, то там это уже исправлено. Так что можете скачать его заново и проверить.

А нужен лог CollectionLog собранный под учётной записью с правами администратора.

Кстати, последние репорты работы Автологера работающего под админской учёткой. Так что можете просто прикрепить файл CollectionLog-2018.09.21-16.57.zip

Пришлите пожалуйста несколько зашифрованных файлов в архиве. 

CollectionLog-2018.09.21-16.57.zip

11111.rar

[ridoflife]

Здравствуйте!

 

Переделайте логи под учётной записью с правами администратора (или запустите сборщик правой кнопкой от имени администратора).

Спасибо, дешифратор помог!

[mike 1]

 

Здравствуйте!

 

Переделайте логи под учётной записью с правами администратора (или запустите сборщик правой кнопкой от имени администратора).

Спасибо, дешифратор помог!

 

А теперь сходите в магазин, купите себе внешний жесткий диск и скопируйте на него всю важную информацию. Иначе в следующий раз будете из своего кармана платить злоумышленникам за дешифратор с ключом.  

[Sandor]

@ridoflife, проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Рекомендации после удаления вредоносного ПО