Михаил Иванов_45790 0 Опубликовано 15 апреля, 2019 Share Опубликовано 15 апреля, 2019 Здравствуйте уважаемые специалисты! Образовалась проблема - компьютер был заражен вирусом и зашифровал файлы. Прикрепил в сообщении логи собранные с помощью AVZ, Farbar Recovery Scan Tool, AutoLogger. CollectionLog-2019.04.15-16.49.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 15 апреля, 2019 Share Опубликовано 15 апреля, 2019 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\programdata\drivers\csrss.exe'); TerminateProcessByName('c:\programdata\resources\svchost.exe'); TerminateProcessByName('c:\programdata\services\csrss.exe'); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', ''); QuarantineFile('c:\programdata\drivers\csrss.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', ''); QuarantineFile('c:\programdata\resources\svchost.exe', ''); QuarantineFile('c:\programdata\services\csrss.exe', ''); QuarantineFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '32'); DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '64'); DeleteFile('c:\programdata\drivers\csrss.exe', ''); DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '64'); DeleteFile('c:\programdata\resources\svchost.exe', ''); DeleteFile('C:\ProgramData\Resources\svchost.exe', '32'); DeleteFile('c:\programdata\services\csrss.exe', ''); DeleteFile('C:\ProgramData\services\csrss.exe', '32'); DeleteFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Autorun.vbs', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^services.exe', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
Михаил Иванов_45790 0 Опубликовано 15 апреля, 2019 Автор Share Опубликовано 15 апреля, 2019 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\programdata\drivers\csrss.exe'); TerminateProcessByName('c:\programdata\resources\svchost.exe'); TerminateProcessByName('c:\programdata\services\csrss.exe'); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', ''); QuarantineFile('c:\programdata\drivers\csrss.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', ''); QuarantineFile('c:\programdata\resources\svchost.exe', ''); QuarantineFile('c:\programdata\services\csrss.exe', ''); QuarantineFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '32'); DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '64'); DeleteFile('c:\programdata\drivers\csrss.exe', ''); DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '64'); DeleteFile('c:\programdata\resources\svchost.exe', ''); DeleteFile('C:\ProgramData\Resources\svchost.exe', '32'); DeleteFile('c:\programdata\services\csrss.exe', ''); DeleteFile('C:\ProgramData\services\csrss.exe', '32'); DeleteFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Autorun.vbs', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^services.exe', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ответ из письма: [KLAN-9916535213] Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: onkATD.cmd В следующих файлах обнаружен вредоносный код: csrss.exe - Trojan.Win32.Agent.nezeod svchost.exe - Trojan.Win32.Reconyc.izkx csrss_0.exe - HEUR:Trojan.Win32.Generic csrss_1.exe - Trojan-Ransom.Win32.Shade.puw Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. CollectionLog-2019.04.15-17.38.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 15 апреля, 2019 Share Опубликовано 15 апреля, 2019 Не цитируйте все предыдущее сообщение целиком. Используйте форму быстрого ответа внизу. Загрузите систему в безопасном режиме. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE'); TerminateProcessByName('c:\programdata\drivers\csrss.exe'); TerminateProcessByName('c:\programdata\resources\svchost.exe'); TerminateProcessByName('c:\programdata\services\csrss.exe'); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE', ''); QuarantineFile('c:\programdata\drivers\csrss.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', ''); QuarantineFile('c:\programdata\resources\svchost.exe', ''); QuarantineFile('c:\programdata\services\csrss.exe', ''); QuarantineFile('c:\programdata\windows\csrss.exe', ''); QuarantineFile('E:\autorun.inf', ''); DeleteFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE', '32'); DeleteFile('c:\programdata\drivers\csrss.exe', ''); DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '64'); DeleteFile('c:\programdata\resources\svchost.exe', ''); DeleteFile('C:\ProgramData\Resources\svchost.exe', '32'); DeleteFile('c:\programdata\services\csrss.exe', ''); DeleteFile('C:\ProgramData\services\csrss.exe', '32'); DeleteFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); DeleteFile('E:\autorun.inf', ''); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Autorun.vbs', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^services.exe', '64'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Повторите уже в нормальном режиме логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
Михаил Иванов_45790 0 Опубликовано 15 апреля, 2019 Автор Share Опубликовано 15 апреля, 2019 @Sandor, Можете уточнить, что не так с логами? Сейчас удалил антивирус полностью (думаю он блокировал работу), скрипт выполнил в безопасном режиме, где должны находится файлы, которые нужно Вам отправить? CollectionLog-2019.04.15-18.16.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 15 апреля, 2019 Share Опубликовано 15 апреля, 2019 На этот раз отработал нормально, активного заражения нет. Тип вымогателя Shade и, к сожалению, расшифровки нет. Для очистки следов и возможного мусора дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Михаил Иванов_45790 0 Опубликовано 16 апреля, 2019 Автор Share Опубликовано 16 апреля, 2019 Shade Спасибо за помощь! Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти