Поймал шифровальщик 31.01.2019

[artem zhukov]

Здравствуйте 

поймал шифровальщик 31.01.2019

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

Addition.txt

CollectionLog-2019.01.31-18.13.zip

FRST.txt

[regist]

@artem zhukov, вы из германии?

Reimage Repair [2019/01/31 15:06:08]-->C:\Program Files\Reimage\Reimage Repair\uninst.exe
SpyHunter 5 [2019/01/31 15:06:08]-->C:\ProgramData\EnigmaSoft Limited\sh5_installer.exe -r sh5 -lng EN

деинсталируйте.

c:\start.bat

вам знаком?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Windows MultiPoint Server\WmsShell.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-FE6F321B.[veracrypt@foxmail.com].adobe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\start.bat', '');
 QuarantineFile('C:\Users\o.deynega\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\o.deynega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-FE6F321B.[veracrypt@foxmail.com].adobe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\o.deynega\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\o.deynega\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\o.deynega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2674677864-3320722209-2979748230-1019\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\o.deynega\AppData\Roaming\Info.hta', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2674677864-3320722209-2979748230-1019\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\o.deynega\AppData\Roaming\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

После выполнения скрипта компьютер перезагрузите вручную.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

F2 - HKU\S-1-5-21-2674677864-3320722209-2979748230-1000\..\WinLogon: [Shell] = C:\Program Files\Windows MultiPoint Server\WmsShell.exe

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.