Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Остался на сервере исполнительный файл который шифрует помогите с этим бедствием.

Изменено пользователем Sandor
Удалил вредонос
Опубликовано

какие логи нужны скажите поточнее

Пройдите по предложенной ссылке и внимательно прочтите. Что будет непонятно, спрашивайте.
Опубликовано

 

какие логи нужны скажите поточнее

Пройдите по предложенной ссылке и внимательно прочтите. Что будет непонятно, спрашивайте.

 

CollectionLog-2019.08.06-11.45.zip

Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\AdminDC\AppData\Roaming\E5M99S_payload.exe', '');
 QuarantineFile('C:\Users\AdminDC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\Users\office\AppData\Roaming\E5M99S_payload.exe', '');
 QuarantineFile('C:\Users\office\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\office\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\Users\office\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Windows\System32\E5M99S_payload.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\AdminDC\AppData\Roaming\E5M99S_payload.exe', '32');
 DeleteFile('C:\Users\AdminDC\AppData\Roaming\E5M99S_payload.exe', '64');
 DeleteFile('C:\Users\AdminDC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 DeleteFile('C:\Users\office\AppData\Roaming\E5M99S_payload.exe', '32');
 DeleteFile('C:\Users\office\AppData\Roaming\E5M99S_payload.exe', '64');
 DeleteFile('C:\Users\office\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\office\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 DeleteFile('C:\Users\office\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Windows\System32\E5M99S_payload.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\office\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-301913164-3692602781-3845028161-1183\Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-301913164-3692602781-3845028161-1183\Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

  • Спасибо (+1) 1
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\AdminDC\AppData\Roaming\E5M99S_payload.exe', '');
 QuarantineFile('C:\Users\AdminDC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\Users\office\AppData\Roaming\E5M99S_payload.exe', '');
 QuarantineFile('C:\Users\office\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\office\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\Users\office\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Windows\System32\E5M99S_payload.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\AdminDC\AppData\Roaming\E5M99S_payload.exe', '32');
 DeleteFile('C:\Users\AdminDC\AppData\Roaming\E5M99S_payload.exe', '64');
 DeleteFile('C:\Users\AdminDC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 DeleteFile('C:\Users\office\AppData\Roaming\E5M99S_payload.exe', '32');
 DeleteFile('C:\Users\office\AppData\Roaming\E5M99S_payload.exe', '64');
 DeleteFile('C:\Users\office\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\office\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 DeleteFile('C:\Users\office\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Windows\System32\E5M99S_payload.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\office\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-301913164-3692602781-3845028161-1183\Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-301913164-3692602781-3845028161-1183\Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

KLAN-10772302243

CollectionLog-2019.08.06-13.34.zip

Опубликовано

1. Не цитируйте полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

2. Номер KL вы сообщили, а ответ нет.

3. Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Уточню, расшифровки этой версии вымогателя нет. Мы удалили активную угрозу и дочищаем хвосты.

Опубликовано

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код:
E5M99S_payload.exe - Trojan-Ransom.Win32.Crusis.to
E5M99S_payload_0.exe - Trojan-Ransom.Win32.Crusis.to
E5M99S_payload_1.exe - Trojan-Ransom.Win32.Crusis.to
E5M99S_payload_2.exe - Trojan-Ransom.Win32.Crusis.to
E5M99S_payload_3.exe - Trojan-Ransom.Win32.Crusis.to
E5M99S_payload_4.exe - Trojan-Ransom.Win32.Crusis.to

В антивирусных базах информация по присланным вами файлам отсутствует:
Info.hta
Info_0.hta
Info_1.hta
Info_2.hta

В антивирусных базах информация по присланным вами ссылкам отсутствует:
www[.]urupinsk-kran.ru

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
    
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

FRST.txt

Addition.txt

Опубликовано

Файлы

C:\Users\office\Desktop\FILES ENCRYPTED.txt

C:\FILES ENCRYPTED.txt

удалите вручную.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Опубликовано

Весьма призрачная. Впрочем, мы - не техподдержка. За уточнениями обратитесь к ним.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...