Михаил Иванов_45790 0 Опубликовано 15 апреля, 2019 Share Опубликовано 15 апреля, 2019 Здравствуйте уважаемые специалисты! Образовалась проблема - компьютер был заражен вирусом и зашифровал файлы. Прикрепил в сообщении логи собранные с помощью AVZ, Farbar Recovery Scan Tool, AutoLogger. CollectionLog-2019.04.15-16.49.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 15 апреля, 2019 Share Опубликовано 15 апреля, 2019 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\programdata\drivers\csrss.exe'); TerminateProcessByName('c:\programdata\resources\svchost.exe'); TerminateProcessByName('c:\programdata\services\csrss.exe'); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', ''); QuarantineFile('c:\programdata\drivers\csrss.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', ''); QuarantineFile('c:\programdata\resources\svchost.exe', ''); QuarantineFile('c:\programdata\services\csrss.exe', ''); QuarantineFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '32'); DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '64'); DeleteFile('c:\programdata\drivers\csrss.exe', ''); DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '64'); DeleteFile('c:\programdata\resources\svchost.exe', ''); DeleteFile('C:\ProgramData\Resources\svchost.exe', '32'); DeleteFile('c:\programdata\services\csrss.exe', ''); DeleteFile('C:\ProgramData\services\csrss.exe', '32'); DeleteFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Autorun.vbs', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^services.exe', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Михаил Иванов_45790 0 Опубликовано 15 апреля, 2019 Автор Share Опубликовано 15 апреля, 2019 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\programdata\drivers\csrss.exe'); TerminateProcessByName('c:\programdata\resources\svchost.exe'); TerminateProcessByName('c:\programdata\services\csrss.exe'); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', ''); QuarantineFile('c:\programdata\drivers\csrss.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', ''); QuarantineFile('c:\programdata\resources\svchost.exe', ''); QuarantineFile('c:\programdata\services\csrss.exe', ''); QuarantineFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '32'); DeleteFile('C:\PROGRA~3\SysWOW64\onkATD.cmd', '64'); DeleteFile('c:\programdata\drivers\csrss.exe', ''); DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '64'); DeleteFile('c:\programdata\resources\svchost.exe', ''); DeleteFile('C:\ProgramData\Resources\svchost.exe', '32'); DeleteFile('c:\programdata\services\csrss.exe', ''); DeleteFile('C:\ProgramData\services\csrss.exe', '32'); DeleteFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Autorun.vbs', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^services.exe', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ответ из письма: [KLAN-9916535213] Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: onkATD.cmd В следующих файлах обнаружен вредоносный код: csrss.exe - Trojan.Win32.Agent.nezeod svchost.exe - Trojan.Win32.Reconyc.izkx csrss_0.exe - HEUR:Trojan.Win32.Generic csrss_1.exe - Trojan-Ransom.Win32.Shade.puw Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. CollectionLog-2019.04.15-17.38.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 15 апреля, 2019 Share Опубликовано 15 апреля, 2019 Не цитируйте все предыдущее сообщение целиком. Используйте форму быстрого ответа внизу. Загрузите систему в безопасном режиме. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE'); TerminateProcessByName('c:\programdata\drivers\csrss.exe'); TerminateProcessByName('c:\programdata\resources\svchost.exe'); TerminateProcessByName('c:\programdata\services\csrss.exe'); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE', ''); QuarantineFile('c:\programdata\drivers\csrss.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', ''); QuarantineFile('c:\programdata\resources\svchost.exe', ''); QuarantineFile('c:\programdata\services\csrss.exe', ''); QuarantineFile('c:\programdata\windows\csrss.exe', ''); QuarantineFile('E:\autorun.inf', ''); DeleteFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE', '32'); DeleteFile('c:\programdata\drivers\csrss.exe', ''); DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Autorun.vbs', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\services.exe', '64'); DeleteFile('c:\programdata\resources\svchost.exe', ''); DeleteFile('C:\ProgramData\Resources\svchost.exe', '32'); DeleteFile('c:\programdata\services\csrss.exe', ''); DeleteFile('C:\ProgramData\services\csrss.exe', '32'); DeleteFile('c:\programdata\windows\csrss.exe', ''); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); DeleteFile('E:\autorun.inf', ''); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Autorun.vbs', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^services.exe', '64'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Повторите уже в нормальном режиме логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Михаил Иванов_45790 0 Опубликовано 15 апреля, 2019 Автор Share Опубликовано 15 апреля, 2019 @Sandor, Можете уточнить, что не так с логами? Сейчас удалил антивирус полностью (думаю он блокировал работу), скрипт выполнил в безопасном режиме, где должны находится файлы, которые нужно Вам отправить? CollectionLog-2019.04.15-18.16.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 15 апреля, 2019 Share Опубликовано 15 апреля, 2019 На этот раз отработал нормально, активного заражения нет. Тип вымогателя Shade и, к сожалению, расшифровки нет. Для очистки следов и возможного мусора дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Михаил Иванов_45790 0 Опубликовано 16 апреля, 2019 Автор Share Опубликовано 16 апреля, 2019 Shade Спасибо за помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.