crysis шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe

[andrey20021964]

зашифрован сервер полностью, стоял 360 total security, остальные компьютеры в сети не пострадали

CollectionLog-2019.01.09-17.35.zip

[Sandor]

Автологер ведь предупредил, что:

Логи сделаны в терминальной сессии, сделайте их из консоли.

[andrey20021964]

как это делается?

[regist]

Топаете к серверу и собираете на нём логи.

[andrey20021964]

я прошу прощения, мне раньше не приходилось этого делать. на самом сервер все администрирование зашифровано. Как это сделать при помощи автологера?

[Sandor]

При помощи Автологера вам нужно собрать отчет CollectionLog, только запускать Автологер нужно не из терминальной сессии, а непосредственно на самом сервере.

[andrey20021964]

вообще то я так и делал

завтра попробую в безопасном режиме

[Sandor]

вообще то я так и делал

Вообще-то нет.

Вы подключились к серверу через RDP (Удаленный доступ) и там запустили Автологер.

 

AVZ запущен из терминальной сессии (RDP-Tcp#0)

А нужно это же проделать, только на самом сервере, без терминального подключения.

И не из безопасного, а из нормального режима нужны логи.

[andrey20021964]

Нет. я делал все на самом сервере. я пользуюсь удаленным рабочим столом, но не в этот раз. хорошо завтра попробую еще раз

[andrey20021964]

dr web cureit нашел сам вирус vera.exe. Он вам не нужен?

я хотел сказать зараженный объект, конечно. Вирус Trojan.Encoder.3953v4+

шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe

CollectionLog-2019.01.10-11.34.zip

[Sandor]

Он вам не нужен?

Нет.

Проверку cureit делали до сбора логов или после?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\vera.exe', '');
 QuarantineFile('C:\Windows\reg\REBE1l.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\vera.exe', '64');
 DeleteFile('C:\Windows\reg\REBE1l.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^vera.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^vera.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vera.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[andrey20021964]

 

согласно порядку оформления запроса о помощи до сбора логов

 

[Sandor]

Ясно, продолжайте.

[andrey20021964]

 

шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe

CollectionLog-2019.01.10-14.53.zip

[Sandor]

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - MSConfig\startupreg: Desktop Lock Express [command] = C:\Users\Администратор\Desktop\TicTac.exe /B (HKCU) (2019/01/09) (file missing)
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\reg\REBE1l.exe (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.