Поймали шифровальщик

[da-mikhalev]

Добрый день поймали шифровальщик

CollectionLog-2019.01.22-14.32.zip

Изменено 23 января, 2019 пользователем da-mikhalev

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\WINDOWS\System32\Info.hta', '');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\WINDOWS\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Admin\AppData\Roaming\Info.hta', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\WINDOWS\System32\Info.hta', 'x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[da-mikhalev]

Лог файл после проделанных выше действий

CollectionLog-2019.01.23-11.28.zip

[Sandor]

Этими батниками больше не пользуетесь?

C:\Temp\Не открывается смена 1С.bat

C:\Temp\ostatki.bat

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[da-mikhalev]

Пользуемся, они самописные

Addition.txt

FRST.txt

[Sandor]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Смените важные пароли.

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[da-mikhalev]

Лог прикрепил

Запрос в поддержку отправил

SecurityCheck.txt

Изменено 23 января, 2019 пользователем da-mikhalev

[Sandor]

------------------------------- [ Windows ] -------------------------------

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 16.04 (x64) v.16.04 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

FileZilla Client 3.31.0 v.3.31.0 Внимание! Скачать обновления

TeamViewer 13 v.13.2.26558 Внимание! Скачать обновления

LibreOffice 6.0.2.1 v.6.0.2.1 Внимание! Скачать обновления

 

 

Рекомендации после удаления вредоносного ПО