Irina_A 0 Опубликовано 3 февраля, 2019 Share Опубликовано 3 февраля, 2019 (изменено) Добрый день! На сервер по RDP подключились злоумышленники и подбросили шифровальщик, который переименовал все файлы по формату: email-tapok@tuta.io.ver-CL 1.5.1.0.id-4197083558-763892348894120995217197.fname-Инструкция.txt.doubleoffset Прошу помочь с поиском дешифратора. Увидела у Вас тему с похожей версией шифровальщика https://forum.kasperskyclub.ru/index.php?showtopic=61674 Изменено 3 февраля, 2019 пользователем Irina_A Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 707 Опубликовано 3 февраля, 2019 Share Опубликовано 3 февраля, 2019 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Irina_A 0 Опубликовано 3 февраля, 2019 Автор Share Опубликовано 3 февраля, 2019 Прошу прощения, файл не загрузился CollectionLog-2019.02.03-14.57.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 3 февраля, 2019 Share Опубликовано 3 февраля, 2019 архив не полный, попробуйте ещё раз собрать логи. и антивируса там как понимаю нет вообще? Тогда понятно почему эта система судя по логам уже не первый раз подвергается заражению. Цитата Ссылка на сообщение Поделиться на другие сайты
Irina_A 0 Опубликовано 3 февраля, 2019 Автор Share Опубликовано 3 февраля, 2019 Да, антивируса не было. Посмотрите, пожалуйста, эти логи CollectionLog-2019.02.03-15.08.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 4 февраля, 2019 Share Опубликовано 4 февраля, 2019 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\nginx\start.cmd', ''); QuarantineFile('C:\Users\Ирина\AppData\Local\Hostinstaller\4197083558_monster.exe', ''); QuarantineFile('C:\Users\Ирина\AppData\Local\SystemMonitor2016\4197083558.exe', ''); QuarantineFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{1a038c3f-e306-4162-a1e4-c6cec9d10811}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{21abe523-36e2-4dad-9e0e-8fe9f0be1916}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{34a9de73-8119-4710-8938-8d3ebf75d78f}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{84e24724-32a5-4ef8-b981-cc669543b4a4}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{d1c4c3bc-6b77-4033-9c86-e72fcf769bbe}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}w64.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}w64.sys', ''); QuarantineFile('H:\autolot\3_month_stats_backup\get_stats.bat', ''); QuarantineFileF('c:\users\ирина\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\users\ирина\appdata\local\systemmonitor2016', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 , 0); DeleteSchedulerTask('Soft installer'); DeleteSchedulerTask('SystemMonitor2016'); DeleteFile('C:\Users\Ирина\AppData\Local\Hostinstaller\4197083558_monster.exe', '64'); DeleteFile('C:\Users\Ирина\AppData\Local\SystemMonitor2016\4197083558.exe', '64'); DeleteFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{1a038c3f-e306-4162-a1e4-c6cec9d10811}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{21abe523-36e2-4dad-9e0e-8fe9f0be1916}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{34a9de73-8119-4710-8938-8d3ebf75d78f}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{84e24724-32a5-4ef8-b981-cc669543b4a4}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{d1c4c3bc-6b77-4033-9c86-e72fcf769bbe}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}w64.sys', '64'); DeleteFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}w64.sys', '64'); DeleteService('{00aec75d-051f-41a9-9837-e94ac4f56303}w64'); DeleteService('{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64'); DeleteService('{1a038c3f-e306-4162-a1e4-c6cec9d10811}w64'); DeleteService('{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64'); DeleteService('{21abe523-36e2-4dad-9e0e-8fe9f0be1916}w64'); DeleteService('{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}w64'); DeleteService('{336e37ae-3235-4f16-98ec-8cdf679be7d2}w64'); DeleteService('{34a9de73-8119-4710-8938-8d3ebf75d78f}w64'); DeleteService('{3b808196-ff63-49ee-b33b-efdf51723eca}w64'); DeleteService('{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64'); DeleteService('{4096aedf-3f28-4c8e-aebe-00255138fa8a}w64'); DeleteService('{4530e639-76ab-4435-889d-a5e81ae090a4}w64'); DeleteService('{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64'); DeleteService('{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64'); DeleteService('{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}w64'); DeleteService('{733fb217-c049-41ba-9504-3f2045e61977}w64'); DeleteService('{84e24724-32a5-4ef8-b981-cc669543b4a4}w64'); DeleteService('{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}w64'); DeleteService('{949aba83-1d7f-4d0b-b0ba-203450825231}w64'); DeleteService('{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}w64'); DeleteService('{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}w64'); DeleteService('{d1c4c3bc-6b77-4033-9c86-e72fcf769bbe}w64'); DeleteService('{db1293a0-85fd-418d-b0d6-c79faa7c8ace}w64'); DeleteService('{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64'); DeleteService('{fce396ae-d8d1-4789-946e-2106fbe4292b}w64'); DeleteService('{fd600559-a688-4110-b9b9-0f1a9beae8ae}w64'); DeleteFileMask('c:\users\ирина\appdata\local\hostinstaller', '*', true); DeleteFileMask('c:\users\ирина\appdata\local\systemmonitor2016', '*', false); DeleteDirectory('c:\users\ирина\appdata\local\hostinstaller'); DeleteDirectory('c:\users\ирина\appdata\local\systemmonitor2016'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Irina_A 0 Опубликовано 4 февраля, 2019 Автор Share Опубликовано 4 февраля, 2019 Добрый день! KLAN-9551634557 В антивирусных базах информация по присланным вами файлам отсутствует: start.cmdget_stats.batSystem.Data.SQLite.dllФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. CollectionLog-2019.02.04-15.45.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 4 февраля, 2019 Share Опубликовано 4 февраля, 2019 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Irina_A 0 Опубликовано 4 февраля, 2019 Автор Share Опубликовано 4 февраля, 2019 Посмотрите, пожалуйста AdwCleanerS00.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 4 февраля, 2019 Share Опубликовано 4 февраля, 2019 Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Irina_A 0 Опубликовано 4 февраля, 2019 Автор Share Опубликовано 4 февраля, 2019 Получилось два файла AdwCleanerC01.txt AdwCleanerS01.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 4 февраля, 2019 Share Опубликовано 4 февраля, 2019 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Irina_A 0 Опубликовано 4 февраля, 2019 Автор Share Опубликовано 4 февраля, 2019 Посмотрите, пожалуйста файлы Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 4 февраля, 2019 Share Опубликовано 4 февраля, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 2019-02-01 06:53 - 2019-02-01 06:53 - 000088576 _____ () C:\Users\pavel.WIN-V0UC5QOCQPU\AppData\Local\Temp\VWXZACDEFG.exe WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] MSCONFIG\startupreg: 3757891 => 3757891 MSCONFIG\startupreg: 4197083558 => C:\Users\PAVEL~1.WIN\AppData\Local\Temp\2\FFGHIJJKLL.exe MSCONFIG\startupreg: mpck_en_005030281 => MSCONFIG\startupreg: rec_ru_237 => MSCONFIG\startupreg: win_en_77 => End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перезагрузите компьютер вручную. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Irina_A 0 Опубликовано 4 февраля, 2019 Автор Share Опубликовано 4 февраля, 2019 Готово Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.