NeSlavyan 0 Опубликовано 28 января, 2019 Share Опубликовано 28 января, 2019 Были зашифрованы файлы. Название файлов следующее: email-tapok@tuta.io.ver-CL 1.5.1.0.id-4241345729-906649825970084813046745.fname-scan__20181019100207_012.jpg.doubleoffset Есть exe-файлы, которые собственно все это сотворили. Могу выслать. Есть вариант зашифрованного файла и файл оригинал. Могу выслать. Пока прикрепляю лог AutoLogger-test CollectionLog-2019.01.28-12.42.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 28 января, 2019 Share Опубликовано 28 января, 2019 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\9335~1\AppData\Local\Temp\9\GSGTJVHTHU.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\SysplanNT\MSIMG32.dll', ''); DeleteFile('C:\Users\9335~1\AppData\Local\Temp\9\GSGTJVHTHU.exe', '32'); DeleteFile('C:\Users\9335~1\AppData\Local\Temp\9\GSGTJVHTHU.exe', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\SysplanNT\MSIMG32.dll', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'update_w32.exe', 'x64'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2841531490-2244598216-1320421384-500\Software\Microsoft\Windows\CurrentVersion\Run-', '4241345729', '32'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2841531490-2244598216-1320421384-500\Software\Microsoft\Windows\CurrentVersion\Run-', '4241345729', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. + Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. (Находится в папке ...\Autologger\AVZ) Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip Закачайте полученный архив, как описано на этой странице. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
NeSlavyan 0 Опубликовано 28 января, 2019 Автор Share Опубликовано 28 января, 2019 Скрипт не выполняется Ошибка: Too many actual parametersв позиции 9:16 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 28 января, 2019 Share Опубликовано 28 января, 2019 Утилиту следует запускать эту: F:\Scan_Kyocera\nesterenko\AutoLogger-test\AutoLogger\AVZ\avz.exeкак и указано в инструкции. Ссылка на сообщение Поделиться на другие сайты
NeSlavyan 0 Опубликовано 28 января, 2019 Автор Share Опубликовано 28 января, 2019 Да, тут сработало. Скрипт прогнал, перезагрузил компьютер KLAN-9520272148 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 28 января, 2019 Share Опубликовано 28 января, 2019 Полученный ответтакже сообщите, пожалуйста. Ссылка на сообщение Поделиться на другие сайты
NeSlavyan 0 Опубликовано 28 января, 2019 Автор Share Опубликовано 28 января, 2019 (изменено) Новый лог!!! Текст письма: Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В следующих файлах обнаружен вредоносный код:MSIMG32.dll - HEUR:Trojan.Win32.GenericФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Новый лог внизу CollectionLog-2019.01.28-14.18.zip Изменено 28 января, 2019 пользователем NeSlavyan Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 28 января, 2019 Share Опубликовано 28 января, 2019 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
NeSlavyan 0 Опубликовано 28 января, 2019 Автор Share Опубликовано 28 января, 2019 (изменено) Файл лога после выполнения 8 скрипта, отправил по инструкции файлы Как я писал в самом начале, есть исполняемые файлы (exe), которые отработали шифрование. Вам они не нужны для исследования? Addition.txt FRST.txt Изменено 28 января, 2019 пользователем NeSlavyan Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 28 января, 2019 Share Опубликовано 28 января, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: ShortcutTarget: Windows Update Manager.lnk -> C:\Users\Nesterenko\AppData\Roaming\SysplanNT\update_w32.exe (No File) Startup: C:\Users\Nesterenko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Cloud Mail.Ru.lnk [2019-01-22] ShortcutTarget: Cloud Mail.Ru.lnk -> C:\Mail.Ru\Cloud\Cloud.exe (Mail.Ru) ShortcutTarget: Windows Update Manager.lnk -> C:\Users\Администратор\AppData\Roaming\SysplanNT\update_w32.exe (TeamViewer GmbH) Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Cloud Mail.Ru.lnk [2018-10-31] ShortcutTarget: Cloud Mail.Ru.lnk -> C:\Users\Nesterenko\AppData\Local\Mail.Ru\Cloud\Cloud.exe (No File) ShortcutTarget: Windows Update Manager.lnk -> C:\Users\Nesterenko\AppData\Roaming\SysplanNT\update_w32.exe (No File) GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION GroupPolicyUsers\S-1-5-32-545\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-2841531490-2244598216-1320421384-1051\User: Restriction <==== ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1432375809&z=75754e60c9a240e249df9f0gcz7c5occ4m0tcc9o9c&from=cor&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J095350253502&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1432375809&z=75754e60c9a240e249df9f0gcz7c5occ4m0tcc9o9c&from=cor&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J095350253502&q={searchTerms} FF Homepage: Mozilla\Firefox\Profiles\g9f4jfhk.default -> hxxps://mail.ru/cnt/10245029 CHR HKLM-x32\...\Chrome\Extension: [aijcflokephhcjdmjednnmejlcacgfgb] - hxxps://clients2.google.com/service/update2/crx ContextMenuHandlers3_S-1-5-21-2841531490-2244598216-1320421384-1000: [MailRuCloudContextMenu] -> {6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6} => C:\Users\Nesterenko\AppData\Local\Temp\2\mcse64_00.dll [2019-01-28] () End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перезагрузите компьютер вручную. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
NeSlavyan 0 Опубликовано 28 января, 2019 Автор Share Опубликовано 28 января, 2019 FIXLOG.TXT Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 28 января, 2019 Share Опубликовано 28 января, 2019 Система в порядке. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Там же можете предложить указанное в вашем первом сообщении. Смените важные пароли, в т.ч. на RDP. Проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Ссылка на сообщение Поделиться на другие сайты
NeSlavyan 0 Опубликовано 28 января, 2019 Автор Share Опубликовано 28 января, 2019 А если нет лицензии на Касперского Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 28 января, 2019 Share Опубликовано 28 января, 2019 Советую всё же пройти по ссылке и прочитать, там перечислены варианты. Должен предупредить, что шансов на успех мало. Однако при создании запроса и, если у ТП появится инструмент, вы автоматически получите об этом уведомление. Ссылка на сообщение Поделиться на другие сайты
NeSlavyan 0 Опубликовано 28 января, 2019 Автор Share Опубликовано 28 января, 2019 Вся ясно! Спасибо Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти