Перейти к содержанию

[РЕШЕНО] Шифровальщик Коронавирус

MasterGray
 Поделиться

Рекомендуемые сообщения

MasterGray

MasterGray

Опубликовано
Опубликовано

Доброго времени суток! по RDP поймали аналогичный шифровальщик, комп изолировали, вирус все еще работает, AutoLogger запустил в безопасном режиме, прикладываю архив с зашифрованным и оригинальным файлом и логи.

 

Сообщение от модератора thyrex
Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=64706

pack.zip

CollectionLog-2020.02.17-09.48.zip

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Ксения\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe','');
 QuarantineFile('C:\Windows\System32\winhost.exe','');
 DeleteFile('C:\Users\Ксения\AppData\Roaming\Info.hta','32');
 DeleteFile('C:\Windows\System32\Info.hta','32');
 DeleteFile('C:\Windows\System32\winhost.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winhost.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Ксения\AppData\Roaming\Info.hta');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe','32');
 DeleteFile('C:\Users\Ксения\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','32');
 DeleteFile('C:\Users\Ксения\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger (скачайте актуальную версию по ссылке в правилах) в ОБЫЧНОМ режиме загрузки; прикрепите к следующему сообщению НОВЫЕ логи.

MasterGray

MasterGray

Опубликовано
  • Автор
Опубликовано

Скрипт в AVZ выполнил, Файл карантина загрузил получив такой ответ

 

 

 

Результат загрузки Файл сохранён как 200217_060932_quarantine_5e4a2e1c91747.zip Размер файла 216119 MD5 ff2e5dcc64f515f342406d851db7bda2 Файл закачан, спасибо!

 

лог после скрипта прилагается

CollectionLog-2020.02.17-15.07.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

MasterGray

MasterGray

Опубликовано
  • Автор
Опубликовано

Жаль что расшифровки нет, буду переустанавливать ОС

thyrex

thyrex

Опубликовано
Опубликовано

т.е. в дальнейшей чистке мусора нет необходимости?

  • Спасибо (+1) 1
MasterGray

MasterGray

Опубликовано
  • Автор
Опубликовано

Думаю нет, в итоге большинство даже системных файлов зашифровано, спасибо за помощь)

thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Sandynist
      Коронавирус из Китая 2019-nCoV
      Автор Sandynist
      Добрый день!
       
      Новости из Китая всё мрачнее и мрачнее. Уже 10 китайских городов закрыто на карантин. Вирус стремительно распространяется не только в Китае, но и по всей планете — подтверждённые случаи имеются уже в 12 странах мира.
       
      Прогнозируется максимум распространения инфекции на февраль месяц. 
       
      Сегодня сходил в аптеку и купил маски. Пока ещё есть в продаже. Вчера был в местном супермаркете — все продавцы сидят в масках, правда некоторые халтурят, маски закрывают только рот, что конечно же не оберегает от вдыхания потенциально опасных кубометров воздуха.
       
      А как у вас проходит подготовка к эпидемии?
       
      Вспышка коронавируса в Китае::
       
       
      У нас некоторые туристы пытаются сдать путёвки в Китай, но судя по принятому ранее закону, никаких компенсаций от турфирм выплачено не будет.
       
      Но хуже то, что в Ухане, центре эпидемии, сейчас находится почти сотня студентов из РК, а выезд из города блокирован военными.
    • Nokvark
      [РЕШЕНО] NET:MALWARE.URL
      Автор Nokvark
      Добрый день, обнаружил вирус MALWARE.URL через doctor web.
      Не могу удалить, пробовал делать также, как описано в схожих с моей темами. CollectionLog-2025.05.05-09.21.zip
      Прошу помочь. 


    • User-01001
      [РЕШЕНО] Заражение
      Автор User-01001
      Здравствуйте!
      Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
      Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
      Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
      Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
      К слову был активен RDP местами валялись логи.
       Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
      KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
      Нужна помощь добить бяку и восстановить что она там еще порушить успела
      CollectionLog-2025.05.03-10.34.zip
    • ВасилийВ
      [РЕШЕНО] Вирус
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • wastezxc
      [РЕШЕНО] стиллер
      Автор wastezxc
      после вирус не работают gpedit, regedit и никакие такие файлы
       
      так же интернет стал медленее
       
×
×
  • Создать...