StVladislav Опубликовано 3 декабря, 2018 Опубликовано 3 декабря, 2018 Принесли ноут, из объяснения "лежал несколько лет, включили там вирус" при запуске увидел окно wana decrypt0r 2.0. Что делал: - В командной строке от имени администратора "netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445" - Убрал галку в автозагрузке. - В безопасном режиме удалил скрытую папку в programdata. - Почистил папку TEMP. - Просканировал с помощью cureit, нашел два файлика и удалил. - Просканировал RansomRecovery, не помогло. - ShadowExplorer файлов восстановления нет. Итого имеем множество зашифрованных файлов wncry. CollectionLog-2018.11.03-15.27.zip
regist Опубликовано 3 декабря, 2018 Опубликовано 3 декабря, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\cbkummippkp984\tasksche.exe', ''); DeleteFile('C:\ProgramData\cbkummippkp984\tasksche.exe', '32'); DeleteService('cbkummippkp984'); DeleteSchedulerTask('{28422BED-5EBF-4D58-878E-EBC2E71C4E32}'); DeleteSchedulerTask('{3F813513-A61A-45AA-99E5-68EB64C8F0BD}'); DeleteSchedulerTask('{48231224-3A5E-4F13-9CF9-B2630A75EBC7}'); DeleteSchedulerTask('{D0519D2B-50F1-40DD-91E1-46826EAF89BC}'); DeleteSchedulerTask('{FC894446-2BF2-4D4A-953F-EEE88F2EB72B}'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'x32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbkummippkp984', 'x32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2', 'x32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VkontakteDJ', 'x32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. с рассшифровкой помочь не сможем.
StVladislav Опубликовано 4 декабря, 2018 Автор Опубликовано 4 декабря, 2018 (изменено) Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\cbkummippkp984\tasksche.exe', ''); DeleteFile('C:\ProgramData\cbkummippkp984\tasksche.exe', '32'); DeleteService('cbkummippkp984'); DeleteSchedulerTask('{28422BED-5EBF-4D58-878E-EBC2E71C4E32}'); DeleteSchedulerTask('{3F813513-A61A-45AA-99E5-68EB64C8F0BD}'); DeleteSchedulerTask('{48231224-3A5E-4F13-9CF9-B2630A75EBC7}'); DeleteSchedulerTask('{D0519D2B-50F1-40DD-91E1-46826EAF89BC}'); DeleteSchedulerTask('{FC894446-2BF2-4D4A-953F-EEE88F2EB72B}'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'x32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbkummippkp984', 'x32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2', 'x32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VkontakteDJ', 'x32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. с рассшифровкой помочь не сможем. Файл quarantine.zip скинул. KLAN=9221390274, но пришло письмо в ответ "Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный. Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем. Отправил повторно файл архив с архивом с паролем из письма KLAN=9221462675. Ответ аналогичный "аше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный." Повторная диагностика во вложении (месяц неправильный). CollectionLog-2018.11.04-15.07.zip Изменено 4 декабря, 2018 пользователем StVladislav
regist Опубликовано 4 декабря, 2018 Опубликовано 4 декабря, 2018 1) Выполните скрипт в АВЗ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме. 2) Ask Toolbar, Google Toolbar, Элементы Яндекса - если есть в списке установленных, то деинсталируйте. 3) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O22 - Task: {2D755CE4-80C7-4544-A789-E8C116ADC10C} - C:\Users\Ильмир\Downloads\Ашкына гумер (минус).exe (file missing) 4) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению.
StVladislav Опубликовано 6 декабря, 2018 Автор Опубликовано 6 декабря, 2018 "архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению." прикрепил во вложении. "3) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):" Пофиксил. "Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt." Файлик во вложении. AdwCleanerS00.txt Report.7z
regist Опубликовано 6 декабря, 2018 Опубликовано 6 декабря, 2018 Запустите повторно AdwCleaner через правую кн. мыши от имени администратора. В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
StVladislav Опубликовано 7 декабря, 2018 Автор Опубликовано 7 декабря, 2018 Запустите повторно AdwCleaner через правую кн. мыши от имени администратора. В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. AdwCleanerC01.txt AdwCleanerS01.txt
regist Опубликовано 7 декабря, 2018 Опубликовано 7 декабря, 2018 Не надо заниматься оверквотингом. Для быстрого ответа есть поле внизу. Пожалуйста, запустите adwcleaner.exe В меню Настройки - Удалить AdwCleaner - выберите Удалить. Подтвердите удаление, нажав кнопку: Да. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти