Сегодня также попались на шифровальщика

8 ноября, 2018

Добрый день. сегодня также попались на шифровальщика. Что можно предпринять?

Сообщение от модератора thyrex

Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=60944

CollectionLog-2018.11.08-16.38.zip

HOW TO RECOVER ENCRYPTED FILES.TXT

FRST+Addition.zip

авансовый отчет НОВЫЙ.xls.crab7765@gmx.de.zip

8 ноября, 2018

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\services.exe');
 QuarantineFile('C:\Windows\Fonts\AsdS.cmd', '');
 QuarantineFile('C:\Windows\Fonts\checker.bat', '');
 QuarantineFile('C:\Windows\Fonts\conhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\del.bat', '');
 QuarantineFile('C:\Windows\Fonts\sqlservr.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdate.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\updaters.exe', '');
 QuarantineFile('C:\Windows\Fonts\zqw.bat', '');
 QuarantineFile('c:\windows\services.exe', '');
 DeleteFile('C:\Windows\Fonts\AsdS.cmd', '64');
 DeleteFile('C:\Windows\Fonts\checker.bat', '64');
 DeleteFile('C:\Windows\Fonts\conhost.exe', '');
 DeleteFile('C:\Windows\Fonts\del.bat', '64');
 DeleteFile('C:\Windows\Fonts\sqlservr.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdate.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\updaters.exe', '');
 DeleteFile('C:\Windows\Fonts\zqw.bat');
 DeleteFile('C:\Windows\Fonts\zqw.bat', '64');
 DeleteFile('C:\Windows\services.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\SetUpd');
 DeleteSchedulerTask('Microsoft\Windows\SideShow\AutoRestart');
 DeleteSchedulerTask('Microsoft\Windows\TMP\TMP-Health');
 DeleteSchedulerTask('Microsoft\Windows\WDI\WDICache');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

8 ноября, 2018

ссылка на вирусинфо https://virusinfo.info/virusdetector/report.php?md5=28DCF4DFF15D8676E4D067434AFD7E18

Могу выполнить с интернетом скрипт в АВЗ.

у меня доступ по RDP. инет не отключить.

при выполнении скрипта выпадает ошибка

Ошибка: Undeclared identifier: "DeleteSchedulerTask" в позиции 28:21

Изменено 8 ноября, 2018 пользователем Norcoman

8 ноября, 2018

при выполнении скрипта выпадает ошибка Ошибка: Undeclared identifier: "DeleteSchedulerTask" в позиции 28:21

в скрипте ошибок нет, а следовательно вы делаете что-то не по инструкции.

8 ноября, 2018

Скорее всего скачали AVZ другой версии, а не той, что в составе Autologger

8 ноября, 2018

именно тот что в составе автологера, версия AVZ - 4.46

на всякий случай можно получить актуальную ссылку на автологера с авз?

инструкция предельно понятна. Только интернет не выдернуть. Доступ только по РДП

а нет запустился, сейчас продолжу по инструкции выше

Изменено 8 ноября, 2018 пользователем Norcoman

8 ноября, 2018

Тот, что в составе Autologger, имеет другую версию - 5.11.

8 ноября, 2018

Ответ с лаборатории № KLAN-9077327449

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
checker.bat - UDS:DangerousObject.Multi.Generic

В следующих файлах обнаружен вредоносный код:
del.bat - Trojan.BAT.Taskkill.ab

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
services.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.juwe

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=60954&st=0&p=904476

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

CollectionLog-2018.11.08-20.58.zip

8 ноября, 2018

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\services.exe');
 QuarantineFile('C:\Windows\Fonts\checker.bat', '');
 QuarantineFile('C:\Windows\Fonts\conhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\del.bat', '');
 QuarantineFile('C:\Windows\Fonts\sqlservr.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdate.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\updaters.exe', '');
 QuarantineFile('C:\Windows\Fonts\zqw.bat', '');
 QuarantineFile('c:\windows\services.exe', '');
 DeleteFile('C:\Windows\Fonts\checker.bat', '64');
 DeleteFile('C:\Windows\Fonts\conhost.exe', '');
 DeleteFile('C:\Windows\Fonts\del.bat', '64');
 DeleteFile('C:\Windows\Fonts\sqlservr.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdate.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\updaters.exe', '');
 DeleteFile('C:\Windows\Fonts\zqw.bat', '64');
 DeleteFile('C:\Windows\services.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\SetUpd');
 DeleteSchedulerTask('Microsoft\Windows\SideShow\AutoRestart');
 DeleteSchedulerTask('Microsoft\Windows\TMP\TMP-Health');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.

Если у вас установлены архиваторы

WinRAR

или

7-Zip

, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

"Да"

.

8 ноября, 2018

Выполнил

KLAN-9077594274

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
checker.bat - UDS:DangerousObject.Multi.Generic

В следующих файлах обнаружен вредоносный код:
del.bat - Trojan.BAT.Taskkill.ab

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
services.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.juwe

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=60954&p=904480

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

SQL1_2018-11-08_22-07-02_v4.1.7z

Изменено 8 ноября, 2018 пользователем regist
карантин прикреплять к сообщению запрещено

8 ноября, 2018

карантин к сообщению прикреплять запрещено.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
delref HTTP://QM7GMTAAGEJOLDDT.ONION.TO/WIN/CNEW.HTA
delref HTTP://107.181.187.132/WIN/CNEW.HTA
delref HTTP://EU1.MINERPOOL.PW/WIN/CNEW.HTA
delref HTTP://RES1.MYRMS.PW/WIN/NUPD.HTA
zoo %SystemDrive%\USERS\7EEA~1.LIF\APPDATA\LOCAL\TEMP\CHROME_BITS_25192_28560\4805_ALL_CRL-SET-3531803140445806645.DATA.CRX3
delall %SystemDrive%\USERS\7EEA~1.LIF\APPDATA\LOCAL\TEMP\CHROME_BITS_25192_28560\4805_ALL_CRL-SET-3531803140445806645.DATA.CRX3
bl E5BF8BABCD70385184D3CCF464718431 942080
zoo %SystemRoot%\SERVICES.EXE
delall %SystemRoot%\SERVICES.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
bl 7BCB3CA5369C5C6065A49D4E20CE4095 2469
zoo %SystemRoot%\FONTS\CHECKER.BAT
delall %SystemRoot%\FONTS\CHECKER.BAT
bl E448B20C7227FFA8F558562D72998F3F 32837
zoo %SystemRoot%\FONTS\DEL.BAT
delall %SystemRoot%\FONTS\DEL.BAT
zoo %SystemRoot%\FONTS\ZQW.BAT
delall %SystemRoot%\FONTS\ZQW.BAT
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref HTTPS://QM7GMTAAGEJOLDDT.ONION.TO/WIN/CNEW.HTA
apply

czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то

заархивруйте папку ZOO

с паролем

virus

.
Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

сделайте свежий образ автозапуска.

8 ноября, 2018

Выполнено

свежий образ автозапуска

SQL1_2018-11-08_23-28-23_v4.1.7z

Изменено 8 ноября, 2018 пользователем Norcoman

8 ноября, 2018

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

у вас там помимо шифрования был активный майнер. Что с этой проблемой сейчас?

По поводу шифрования при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Изменено 8 ноября, 2018 пользователем regist

8 ноября, 2018

Да майнера видел, пытался вылечиться с помощью CurentIt и Касперским Virus Removal Tool до обращения не помогло. Сейчас KVRT угроз не обнаружил.

В hijack таких строчек не обнаружено.

HiJackThis.zip

9 ноября, 2018

В hijack таких строчек не обнаружено.

тогда для надёжности продублирую скриптом uVS

;uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
regt 35
restart

и на всякий случай свежий лог uVS сделайте.

+ обновления windows советую установить,

Сегодня также попались на шифровальщика

Рекомендуемые сообщения

Norcoman

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Norcoman

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Norcoman

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Norcoman

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Norcoman

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Norcoman

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Norcoman

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum