Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте, поймали шифровальщик. подскажите, что делать? Можно ли восстановить бэкапы базы?

post-52686-0-70402700-1548081188_thumb.png

Опубликовано (изменено)

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('c:\windows\media\long\certsvc.exe', '');
 QuarantineFile('c:\windows\migration\wtr\ime\imonset.exe', '');
 QuarantineFile('c:\windows\vpnplugins\servicing\ibhost.exe', '');
 QuarantineFile('C:\Windows\winNT.dll', '');
 QuarantineFileF('c:\windows\media\long\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('c:\windows\vpnplugins\servicing', '');
 DeleteFile('c:\windows\media\long\certsvc.exe');
 DeleteFile('c:\windows\migration\wtr\ime\imonset.exe');
 DeleteFile(''c:\windows\vpnplugins\servicing\ibhost.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузите вручную.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Эти батники вам знакомы?



c:\sm2000\cash_restart.cmd
c:\optimizer\run.cmd
c:\backuper\start.bat

"Пофиксите" в HijackThis:


O4 - Startup other users: C:\Users\DiWiZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt
O4 - Startup other users: C:\Users\DiWiZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\email-tapok@tuta.io.ver-CL 1.5.1.0.id-206820879-915636319776137253601.fname-README.txt.doubleoffset
O4-32 - HKLM\..\Run: [3453577] = 3453577  (file missing)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\vpnplugins\servicing\ibhost.exe

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 
+ Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

Изменено пользователем regist
Опубликовано

 

 


Полученный ответ сообщите здесь (с указанием номера KLAN)
Где?
Опубликовано

KLAN-9485736440

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
certsvc.exe
ibhost.exe
winNT.dll

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
imonset.exe - UDS:DangerousObject.Multi.Generic

Опубликовано

@DePacos, просьба закачайте этот архив с карантином на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.
 

Опубликовано

Будет добавлено детектирование:

winNT.dll - Trojan.Win64.Agent.qwhupr

certsvc.exe - Trojan-Spy.Win32.Agent.jsxn

Так что смените все пароли, после окончания лечения смените ещё раз.


Выполните скрипт AVZ

begin
 QuarantineFile('C:\Windows\winNT.dll','');
 DeleteFile('C:\Windows\winNT.dll','64');
ExecuteSysClean;
end.

после выполнения скрипта перезагрузите систему вручную.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

Опубликовано (изменено)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    AppInit_DLLs: winNT.dll => No File
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\AppData\Roaming\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\�������������\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\�������������\AppData\README.txt
    2019-01-21 00:30 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Admins\Desktop\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\AppData\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\AppData\LocalLow\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\Downloads\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\Documents\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\AppData\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\AppData\LocalLow\README.txt
    2019-01-21 00:29 - 2019-01-21 00:29 - 000000056 _____ C:\Program Files\README.txt
    2019-01-21 00:22 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Default\AppData\README.txt
    2019-01-21 00:22 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Default User\AppData\README.txt
    2019-01-20 23:00 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\README.txt
    2019-01-20 23:00 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\AppData\Roaming\README.txt
    2019-01-20 23:00 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Admins\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 23:00 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Admins\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\Documents\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\Documents\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\Documents\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Public\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Public\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Merofako\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Merofako\Documents\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\README.txt
    2019-01-20 01:05 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ C:\Program Files\Common Files\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ C:\Program Files (x86)\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Trusted\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\TARTAR\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\olegon\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Grisha\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:03 - 2019-01-21 00:30 - 000001282 _____ C:\Users\DiWiZ\Documents\README.txt
    2019-01-20 01:03 - 2019-01-21 00:30 - 000001282 _____ C:\Users\DiWiZ\AppData\Roaming\README.txt
    2019-01-20 01:03 - 2019-01-21 00:30 - 000001282 _____ C:\Users\Default\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000000056 _____ C:\Users\DiWiZ\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000000056 _____ C:\Users\DiWiZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
    2019-01-20 01:03 - 2019-01-20 01:05 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:02 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Public\Documents\README.txt
    2019-01-20 01:02 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Public\Desktop\README.txt
    2019-01-20 01:02 - 2019-01-21 00:29 - 000001282 _____ C:\Users\Все пользователи\README.txt
    2019-01-20 01:02 - 2019-01-21 00:29 - 000001282 _____ C:\ProgramData\README.txt
    2019-01-21 00:29 - 2019-01-21 00:29 - 000000056 _____ () C:\Program Files\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ () C:\Program Files (x86)\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ () C:\Program Files\Common Files\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ () C:\Program Files (x86)\Common Files\README.txt
    EmptyTemp:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Изменено пользователем regist
Опубликовано

Вы для скрипта от имени адмистратора запускали? Надо было от админа. Переделайте ещё раз выполнение скрипта.

+ При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • S-e-r-s-h
      Автор S-e-r-s-h
      Добрый день. Хватанули троян, который зашифровал все документы таким образом: email-load180@aol.com.ver-CL 1.0.0.0.id-SBJKZCVMEGNQHJLOSVXZEGIMPSVXCEGJNQTU-02.09.2015 8@18@454361717.randomname-CNOCKUQNTOEVIVKQBSIWJZUKAQVPET.MGZ.cbf
      После заражения воспользовались восстановлением системы на предыдущий дату и проверили Kaspersky Virus Removal Tool 2015, а после, продленным Small Office Security. Вроде ничего не нашел.  Очень нужна ваша помощь. Как убедиться, что источника заразы больше нет и как расшифровать документы? CollectionLog-2015.09.07-11.35.zip
    • sidor
      Автор sidor
      Здравствуйте!
      Все как обычно, пришло письмо, якобы от налоговой, дальше открытие архива, без сохранения и проверки антивирусом.
      Результат-все файлы  MSO зашифрованы - названия начинаются с seven_legion@aol.com
      Что сделал:
      1. Прошелся по диску kav_rescue_10.
       по классификации каспера выявлено Win32.VBKryjetor.wes  в program files и в корневике системы.
      2. Удалил из автозагрузки окошко с предупреждением.
      3. Собрал логи.

         CollectionLog-2015.09.04-14.27
      Посмотрите, пожалуйста, может где еще дыры или зверье сидит?
       
      По поводу расшифровки: пробовал rectordecryptor и xoristdecryptor, не помогло.
      Может у кого есть дешифратор для моего случая? Плзз. А то девчонкам этим несчастным неделю на складе ревизию проводить....
       
      CollectionLog-2015.09.04-14.27.zip
    • Елена К
      Автор Елена К
      Получила письмо на почту, открыла прикрепленный файл, через пару часов на рабочем столе надпись "Твои файлы зашифрованы, отправь файл на почту Seven_legion2@aol.com ...."  Все файлы текстовые, все фото зашифрованы. Можно расшифровать фото?

      Прочитала предыдущее сообщение, сделала как там было написано, прикрепляю файлы. Очень надеюсь на помощь.
      CollectionLog-2015.09.05-22.02.zip
      Addition_05-09-2015_22-36-03.txt
      FRST_05-09-2015_22-36-03.txt
    • Klu4nik
      Автор Klu4nik
      Здравствуйте!
       
      Пользователь запустил файл из прикрепленного к письму с мэйл.ру архива wordpad.rar. Kaspersky WS не среагировал. Прошло шифрование, фото документы (много, важное), обои сменились на требование. После перезагрузки, KWS-ом автоматически был обнаружен троян: "Удалено троянская программа Trojan.Win32.Inject.vgcj C:\Program Files\explore.exe 27.08.2015 12:35:13".
       
      Спасибо за ваше время и желание помочь!
        CollectionLog-2015.08.27-13.23.zip
    • Арсен Омаров
      Автор Арсен Омаров
      Всем привет! Прошу Вашей помощи! Сегодня к моей сестре на почту пришло письмо по работе! Она открыла и запустила файл который..в общем во вложении прикрепляю фото рабочего стола на котором сообщение:
       Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почту
      и т.д.
       
      так же высылаю логи..


      CollectionLog-2015.08.24-14.29.zip
×
×
  • Создать...