Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте, поймали шифровальщик. подскажите, что делать? Можно ли восстановить бэкапы базы?

post-52686-0-70402700-1548081188_thumb.png

Опубликовано (изменено)

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('c:\windows\media\long\certsvc.exe', '');
 QuarantineFile('c:\windows\migration\wtr\ime\imonset.exe', '');
 QuarantineFile('c:\windows\vpnplugins\servicing\ibhost.exe', '');
 QuarantineFile('C:\Windows\winNT.dll', '');
 QuarantineFileF('c:\windows\media\long\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('c:\windows\vpnplugins\servicing', '');
 DeleteFile('c:\windows\media\long\certsvc.exe');
 DeleteFile('c:\windows\migration\wtr\ime\imonset.exe');
 DeleteFile(''c:\windows\vpnplugins\servicing\ibhost.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузите вручную.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Эти батники вам знакомы?



c:\sm2000\cash_restart.cmd
c:\optimizer\run.cmd
c:\backuper\start.bat

"Пофиксите" в HijackThis:


O4 - Startup other users: C:\Users\DiWiZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt
O4 - Startup other users: C:\Users\DiWiZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\email-tapok@tuta.io.ver-CL 1.5.1.0.id-206820879-915636319776137253601.fname-README.txt.doubleoffset
O4-32 - HKLM\..\Run: [3453577] = 3453577  (file missing)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\vpnplugins\servicing\ibhost.exe

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 
+ Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

Изменено пользователем regist
Опубликовано

 

 


Полученный ответ сообщите здесь (с указанием номера KLAN)
Где?
Опубликовано

KLAN-9485736440

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
certsvc.exe
ibhost.exe
winNT.dll

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
imonset.exe - UDS:DangerousObject.Multi.Generic

Опубликовано

@DePacos, просьба закачайте этот архив с карантином на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.
 

Опубликовано

Будет добавлено детектирование:

winNT.dll - Trojan.Win64.Agent.qwhupr

certsvc.exe - Trojan-Spy.Win32.Agent.jsxn

Так что смените все пароли, после окончания лечения смените ещё раз.


Выполните скрипт AVZ

begin
 QuarantineFile('C:\Windows\winNT.dll','');
 DeleteFile('C:\Windows\winNT.dll','64');
ExecuteSysClean;
end.

после выполнения скрипта перезагрузите систему вручную.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

Опубликовано (изменено)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    AppInit_DLLs: winNT.dll => No File
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\AppData\Roaming\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\AppData\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\AppData\LocalLow\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\�������������\README.txt
    2019-01-21 00:31 - 2019-01-21 00:31 - 000000056 _____ C:\Users\�������������\AppData\README.txt
    2019-01-21 00:30 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Admins\Desktop\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\AppData\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\AppData\LocalLow\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\Downloads\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\Documents\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\AppData\README.txt
    2019-01-21 00:30 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\AppData\LocalLow\README.txt
    2019-01-21 00:29 - 2019-01-21 00:29 - 000000056 _____ C:\Program Files\README.txt
    2019-01-21 00:22 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Default\AppData\README.txt
    2019-01-21 00:22 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Default User\AppData\README.txt
    2019-01-20 23:00 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\README.txt
    2019-01-20 23:00 - 2019-01-21 00:30 - 000000056 _____ C:\Users\Admins\AppData\Roaming\README.txt
    2019-01-20 23:00 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Admins\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 23:00 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Admins\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\Documents\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Trusted\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\Documents\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TEMP\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\Documents\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\TARTAR\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\support\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Public\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Public\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\olegon\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Merofako\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Merofako\Documents\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Grisha\AppData\Roaming\README.txt
    2019-01-20 01:05 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\README.txt
    2019-01-20 01:05 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\Downloads\README.txt
    2019-01-20 01:05 - 2019-01-21 00:30 - 000000056 _____ C:\Users\DiWiZ\Desktop\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ C:\Program Files\Common Files\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ C:\Program Files (x86)\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Trusted\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\TARTAR\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\olegon\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:05 - 2019-01-20 01:05 - 000000069 _____ C:\Users\Grisha\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:03 - 2019-01-21 00:30 - 000001282 _____ C:\Users\DiWiZ\Documents\README.txt
    2019-01-20 01:03 - 2019-01-21 00:30 - 000001282 _____ C:\Users\DiWiZ\AppData\Roaming\README.txt
    2019-01-20 01:03 - 2019-01-21 00:30 - 000001282 _____ C:\Users\Default\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000001282 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000000056 _____ C:\Users\DiWiZ\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:03 - 2019-01-21 00:22 - 000000056 _____ C:\Users\DiWiZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
    2019-01-20 01:03 - 2019-01-20 01:05 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-01-20 01:02 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Public\Documents\README.txt
    2019-01-20 01:02 - 2019-01-21 00:31 - 000000056 _____ C:\Users\Public\Desktop\README.txt
    2019-01-20 01:02 - 2019-01-21 00:29 - 000001282 _____ C:\Users\Все пользователи\README.txt
    2019-01-20 01:02 - 2019-01-21 00:29 - 000001282 _____ C:\ProgramData\README.txt
    2019-01-21 00:29 - 2019-01-21 00:29 - 000000056 _____ () C:\Program Files\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ () C:\Program Files (x86)\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ () C:\Program Files\Common Files\README.txt
    2019-01-20 01:05 - 2019-01-21 00:29 - 000000056 _____ () C:\Program Files (x86)\Common Files\README.txt
    EmptyTemp:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Изменено пользователем regist
Опубликовано

Вы для скрипта от имени адмистратора запускали? Надо было от админа. Переделайте ещё раз выполнение скрипта.

+ При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр Гранов
      Автор Александр Гранов
      Добрый день!
      Открыли почту от судебных приставов и все файлы (офисные, pdf) переименовались в:    
      email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-LZHWGLZEJNIDLFQBZUFQOJUPNHSDCWHSQBMH-11.09.2015 11@06@114879741.randomname-RQSJJEITOZKVKUWHSTUVGHIKVWXYJK.DXS.cbf
      1. Компьютер проверили с помощью KVRT.
      2. Логи собрали с помощью AutoLogger
      3. Результат во вложение, и зашифрованный файл.
      Сохранить сам шифратор не получилось, хозяин компьютера пытался сразу все удалить думая что это исправит ситуацию.
      CollectionLog-2015.09.11-16.45.zip
      file_cbf.zip
    • gaponvit
      Автор gaponvit
      Получили почтой договор заархивированный, после разархивации все файлы с текстовой информацией и не только  стали называться "email seven Legion2@...и соответственно невозможно открыть.
      Помогите!
      CollectionLog-2015.09.15-15.13.zip
    • Andy58
      Автор Andy58
      теперь все нужные файлы имеют название "email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-RVZDGJNQUXAEHKORVYBFILOSVYCGILOQTWZD-10.09.2015 4@02@334670505.randomname-AEHKOSVYBFILOSVYBFILPSVYCFILPS.WYC" или подобное.
      CollectionLog-2015.09.14-11.53.zip
    • S-e-r-s-h
      Автор S-e-r-s-h
      Добрый день. Хватанули троян, который зашифровал все документы таким образом: email-load180@aol.com.ver-CL 1.0.0.0.id-SBJKZCVMEGNQHJLOSVXZEGIMPSVXCEGJNQTU-02.09.2015 8@18@454361717.randomname-CNOCKUQNTOEVIVKQBSIWJZUKAQVPET.MGZ.cbf
      После заражения воспользовались восстановлением системы на предыдущий дату и проверили Kaspersky Virus Removal Tool 2015, а после, продленным Small Office Security. Вроде ничего не нашел.  Очень нужна ваша помощь. Как убедиться, что источника заразы больше нет и как расшифровать документы? CollectionLog-2015.09.07-11.35.zip
    • sidor
      Автор sidor
      Здравствуйте!
      Все как обычно, пришло письмо, якобы от налоговой, дальше открытие архива, без сохранения и проверки антивирусом.
      Результат-все файлы  MSO зашифрованы - названия начинаются с seven_legion@aol.com
      Что сделал:
      1. Прошелся по диску kav_rescue_10.
       по классификации каспера выявлено Win32.VBKryjetor.wes  в program files и в корневике системы.
      2. Удалил из автозагрузки окошко с предупреждением.
      3. Собрал логи.

         CollectionLog-2015.09.04-14.27
      Посмотрите, пожалуйста, может где еще дыры или зверье сидит?
       
      По поводу расшифровки: пробовал rectordecryptor и xoristdecryptor, не помогло.
      Может у кого есть дешифратор для моего случая? Плзз. А то девчонкам этим несчастным неделю на складе ревизию проводить....
       
      CollectionLog-2015.09.04-14.27.zip
×
×
  • Создать...