Шифровальщик pilotpilot088@gmail.com

[Михаил Иванов_45790]

Здравствуйте уважаемые специалисты! 

 

Образовалась проблема - компьютер был заражен вирусом и зашифровал файлы.

 

Прикрепил в сообщении логи собранные с помощью  AVZ, Farbar Recovery Scan Tool, AutoLogger.

CollectionLog-2019.04.15-16.49.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 TerminateProcessByName('c:\programdata\resources\svchost.exe');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '');
 QuarantineFile('c:\programdata\drivers\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '');
 QuarantineFile('c:\programdata\resources\svchost.exe', '');
 QuarantineFile('c:\programdata\services\csrss.exe', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '32');
 DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '64');
 DeleteFile('c:\programdata\drivers\csrss.exe', '');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '64');
 DeleteFile('c:\programdata\resources\svchost.exe', '');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '32');
 DeleteFile('c:\programdata\services\csrss.exe', '');
 DeleteFile('C:\ProgramData\services\csrss.exe', '32');
 DeleteFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Autorun.vbs', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^services.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Михаил Иванов_45790]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 TerminateProcessByName('c:\programdata\resources\svchost.exe');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '');
 QuarantineFile('c:\programdata\drivers\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '');
 QuarantineFile('c:\programdata\resources\svchost.exe', '');
 QuarantineFile('c:\programdata\services\csrss.exe', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '32');
 DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '64');
 DeleteFile('c:\programdata\drivers\csrss.exe', '');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '64');
 DeleteFile('c:\programdata\resources\svchost.exe', '');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '32');
 DeleteFile('c:\programdata\services\csrss.exe', '');
 DeleteFile('C:\ProgramData\services\csrss.exe', '32');
 DeleteFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Autorun.vbs', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^services.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Ответ из письма: 

 

[KLAN-9916535213]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

onkATD.cmd

 

В следующих файлах обнаружен вредоносный код:

csrss.exe - Trojan.Win32.Agent.nezeod

svchost.exe - Trojan.Win32.Reconyc.izkx

csrss_0.exe - HEUR:Trojan.Win32.Generic

csrss_1.exe - Trojan-Ransom.Win32.Shade.puw

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2019.04.15-17.38.zip

[Sandor]

Не цитируйте все предыдущее сообщение целиком. Используйте форму быстрого ответа внизу.

 

Загрузите систему в безопасном режиме.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 TerminateProcessByName('c:\programdata\resources\svchost.exe');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE', '');
 QuarantineFile('c:\programdata\drivers\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '');
 QuarantineFile('c:\programdata\resources\svchost.exe', '');
 QuarantineFile('c:\programdata\services\csrss.exe', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('E:\autorun.inf', '');
 DeleteFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE', '32');
 DeleteFile('c:\programdata\drivers\csrss.exe', '');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '64');
 DeleteFile('c:\programdata\resources\svchost.exe', '');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '32');
 DeleteFile('c:\programdata\services\csrss.exe', '');
 DeleteFile('C:\ProgramData\services\csrss.exe', '32');
 DeleteFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('E:\autorun.inf', '');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Autorun.vbs', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^services.exe', '64');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Повторите уже в нормальном режиме логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Михаил Иванов_45790]

@Sandor, 

Можете уточнить, что не так с логами? Сейчас удалил антивирус полностью (думаю он блокировал работу), скрипт выполнил в безопасном режиме, где должны находится файлы, которые нужно Вам отправить? 

CollectionLog-2019.04.15-18.16.zip

[Sandor]

На этот раз отработал нормально, активного заражения нет.

Тип вымогателя Shade и, к сожалению, расшифровки нет.

 

Для очистки следов и возможного мусора дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Михаил Иванов_45790]

 

 

Shade

Спасибо за помощь!