Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

[РЕШЕНО] Шифровальщик Коронавирус

MasterGray
 Поделиться

Рекомендуемые сообщения

MasterGray Новичок

MasterGray

Опубликовано
Опубликовано

Доброго времени суток! по RDP поймали аналогичный шифровальщик, комп изолировали, вирус все еще работает, AutoLogger запустил в безопасном режиме, прикладываю архив с зашифрованным и оригинальным файлом и логи.

 

Сообщение от модератора thyrex
Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=64706

pack.zip

CollectionLog-2020.02.17-09.48.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Ксения\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe','');
 QuarantineFile('C:\Windows\System32\winhost.exe','');
 DeleteFile('C:\Users\Ксения\AppData\Roaming\Info.hta','32');
 DeleteFile('C:\Windows\System32\Info.hta','32');
 DeleteFile('C:\Windows\System32\winhost.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winhost.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Ксения\AppData\Roaming\Info.hta');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe','32');
 DeleteFile('C:\Users\Ксения\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','32');
 DeleteFile('C:\Users\Ксения\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger (скачайте актуальную версию по ссылке в правилах) в ОБЫЧНОМ режиме загрузки; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
MasterGray Новичок

MasterGray

Опубликовано
  • Автор
Опубликовано

Скрипт в AVZ выполнил, Файл карантина загрузил получив такой ответ

 

 

 

Результат загрузки Файл сохранён как 200217_060932_quarantine_5e4a2e1c91747.zip Размер файла 216119 MD5 ff2e5dcc64f515f342406d851db7bda2 Файл закачан, спасибо!

 

лог после скрипта прилагается

CollectionLog-2020.02.17-15.07.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ВасилийВ
      [РЕШЕНО] Вирус
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • wastezxc
      [РЕШЕНО] Словил майнер
      Автор wastezxc
      Видимо словил майнер, некоторые приложения при запуске сразу закрываются
       
      CollectionLog-2025.04.04-17.45.zip
    • dlitsov
      [РЕШЕНО] Майнер на компьютере
      Автор dlitsov
      Скачал набор офисных приложений word на следующий день начался полный кошмар, в игре просидал FPS , начал искать проблему 
      диспетчер задач сам закрывался , хотел установить антивирус не получилось , на официальные сайты не дает зайти пишу с телефона , смог установить AVbr сейчас прикреплю логи  . Сейчас уеду на работу , завтра готов к уничтожению его
      14d904d13b62d5466385f8e797bef654.txt
    • RobertoN1
      [РЕШЕНО] Майнер на компьютере
      Автор RobertoN1
      Заметил что, когда открываю папку ProgramData, то через пару секунд она закрывается, но в самой папке находится Avast, который я никогда в жизни не скачивал у меня нету вообще антивирусов на компьютере, использовал AVbr в безопасном режиме и AutoLogger как было сказано в гайдах, прошу помочь!
      CollectionLog-2025.04.02-06.21.zip AV_block_remove_2025.04.02-06.08.log
    • Виктория12333
      [РЕШЕНО] HOSTS:MALWARE.URL и NET.MALWARE.URL
      Автор Виктория12333
      Здравствуйте. Доктор Веб cureit нашел данные вирусы и не смог удалить их. Образ автозапуска, фарбар и доктор веб прикреплю. Также у меня возникал вопрос по поводу того, может ли кто нибудь подключаться к моему пк удаленно и на одном сайте было написано, что в "управлении компьютером" в  Terminal-Services-RemoteConnectionManager есть какие-то посторонние процессы, то подозрительно. А у меня там вообще ничего нет это норм? А вот в Terminal-Services-LocalSessionManager есть какие-то процессы в то время, когдаотчёты.rar я пк не польDESKTOP-KSVMTSD_2025-03-28_23-49-44_v4.99.10v x64.7zзовалась. 
×
×
  • Создать...