StVladislav 0 Опубликовано 3 декабря, 2018 Share Опубликовано 3 декабря, 2018 Принесли ноут, из объяснения "лежал несколько лет, включили там вирус" при запуске увидел окно wana decrypt0r 2.0. Что делал: - В командной строке от имени администратора "netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445" - Убрал галку в автозагрузке. - В безопасном режиме удалил скрытую папку в programdata. - Почистил папку TEMP. - Просканировал с помощью cureit, нашел два файлика и удалил. - Просканировал RansomRecovery, не помогло. - ShadowExplorer файлов восстановления нет. Итого имеем множество зашифрованных файлов wncry. CollectionLog-2018.11.03-15.27.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 3 декабря, 2018 Share Опубликовано 3 декабря, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\cbkummippkp984\tasksche.exe', ''); DeleteFile('C:\ProgramData\cbkummippkp984\tasksche.exe', '32'); DeleteService('cbkummippkp984'); DeleteSchedulerTask('{28422BED-5EBF-4D58-878E-EBC2E71C4E32}'); DeleteSchedulerTask('{3F813513-A61A-45AA-99E5-68EB64C8F0BD}'); DeleteSchedulerTask('{48231224-3A5E-4F13-9CF9-B2630A75EBC7}'); DeleteSchedulerTask('{D0519D2B-50F1-40DD-91E1-46826EAF89BC}'); DeleteSchedulerTask('{FC894446-2BF2-4D4A-953F-EEE88F2EB72B}'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'x32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbkummippkp984', 'x32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2', 'x32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VkontakteDJ', 'x32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. с рассшифровкой помочь не сможем. Ссылка на сообщение Поделиться на другие сайты
StVladislav 0 Опубликовано 4 декабря, 2018 Автор Share Опубликовано 4 декабря, 2018 (изменено) Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\cbkummippkp984\tasksche.exe', ''); DeleteFile('C:\ProgramData\cbkummippkp984\tasksche.exe', '32'); DeleteService('cbkummippkp984'); DeleteSchedulerTask('{28422BED-5EBF-4D58-878E-EBC2E71C4E32}'); DeleteSchedulerTask('{3F813513-A61A-45AA-99E5-68EB64C8F0BD}'); DeleteSchedulerTask('{48231224-3A5E-4F13-9CF9-B2630A75EBC7}'); DeleteSchedulerTask('{D0519D2B-50F1-40DD-91E1-46826EAF89BC}'); DeleteSchedulerTask('{FC894446-2BF2-4D4A-953F-EEE88F2EB72B}'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'x32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbkummippkp984', 'x32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2', 'x32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VkontakteDJ', 'x32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. с рассшифровкой помочь не сможем. Файл quarantine.zip скинул. KLAN=9221390274, но пришло письмо в ответ "Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный. Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем. Отправил повторно файл архив с архивом с паролем из письма KLAN=9221462675. Ответ аналогичный "аше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный." Повторная диагностика во вложении (месяц неправильный). CollectionLog-2018.11.04-15.07.zip Изменено 4 декабря, 2018 пользователем StVladislav Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 4 декабря, 2018 Share Опубликовано 4 декабря, 2018 1) Выполните скрипт в АВЗ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме. 2) Ask Toolbar, Google Toolbar, Элементы Яндекса - если есть в списке установленных, то деинсталируйте. 3) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O22 - Task: {2D755CE4-80C7-4544-A789-E8C116ADC10C} - C:\Users\Ильмир\Downloads\Ашкына гумер (минус).exe (file missing) 4) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
StVladislav 0 Опубликовано 6 декабря, 2018 Автор Share Опубликовано 6 декабря, 2018 "архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению." прикрепил во вложении. "3) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):" Пофиксил. "Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt." Файлик во вложении. AdwCleanerS00.txt Report.7z Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 6 декабря, 2018 Share Опубликовано 6 декабря, 2018 Запустите повторно AdwCleaner через правую кн. мыши от имени администратора. В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Ссылка на сообщение Поделиться на другие сайты
StVladislav 0 Опубликовано 7 декабря, 2018 Автор Share Опубликовано 7 декабря, 2018 Запустите повторно AdwCleaner через правую кн. мыши от имени администратора. В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. AdwCleanerC01.txt AdwCleanerS01.txt Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 7 декабря, 2018 Share Опубликовано 7 декабря, 2018 Не надо заниматься оверквотингом. Для быстрого ответа есть поле внизу. Пожалуйста, запустите adwcleaner.exe В меню Настройки - Удалить AdwCleaner - выберите Удалить. Подтвердите удаление, нажав кнопку: Да. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Ссылка на сообщение Поделиться на другие сайты
StVladislav 0 Опубликовано 10 декабря, 2018 Автор Share Опубликовано 10 декабря, 2018 Спасибо за помощь. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти