• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки email-nightmare666@cock.li.ver-CL 1.5.1.0

alex7sasha

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Здравствуйте! Вот и мы поймали неприятный шифровальчик, помогите пожалуйста, прикрепляю файл лога, зараженные файлы и сам вирус:
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
Во вложении утилита для блокировки рабочего стола. Смените пароли на RDP
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - HKLM\..\BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - (no file)
O2-32 - HKLM\..\BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - (no file)
Сами настраивали?
O15 - HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334\..\ProtocolDefaults: - [@ivt] protocol is in Unknown Zone, should be Intranet Zone (User: 'Classic .NET AppPool')
O15 - HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334\..\ProtocolDefaults: - [file] protocol is in Unknown Zone, should be Internet Zone (User: 'Classic .NET AppPool')
O15 - HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334\..\ProtocolDefaults: - [ftp] protocol is in Unknown Zone, should be Internet Zone (User: 'Classic .NET AppPool')
O15 - HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334\..\ProtocolDefaults: - [http] protocol is in Unknown Zone, should be Internet Zone (User: 'Classic .NET AppPool')
O15 - HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334\..\ProtocolDefaults: - [https] protocol is in Unknown Zone, should be Internet Zone (User: 'Classic .NET AppPool')
O15 - HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334\..\ProtocolDefaults: - [shell] protocol is in Unknown Zone, should be My Computer Zone (User: 'Classic .NET AppPool')

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

alex7sasha

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Благодарю за ваше содействие!
Значит по пунктам:
1. По поводу двух строк пофиксил в HijackThis.
2. По поводу строк ProtocolDefaults - я к сожалению понятия не имею, т.к. занимаюсь удаленно этим ПК и может быть что-то настраивали.
3. Прошел сканирование, прикрепляю файлы
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
FirewallRules: [{FC56A92D-7F16-4370-9148-87EBC9EB52BE}] => (Allow) LPort=443
FirewallRules: [{DC891F0D-EA1C-4C91-96BD-E227CEE78F6D}] => (Allow) LPort=443
FirewallRules: [{132AB72A-B7BA-4840-890C-F4C157457CF8}] => (Allow) LPort=443

Уточните, открывали ли порты специально

https://download.bleepingcomputer.com/demonslay335/RansomNoteCleaner.zip - очистите при помощи утилиты записки от вымогателя и ждите ответа @thyrex по поводу расшифровки (хотя шансов мало, на днях злоумышленники обновили шифратор)
 

alex7sasha

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
По поводу правила: да, специально открыты порты.
Сейчас попробую прогнать утилитой
 

alex7sasha

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Прогнал утилитой, 0 Ransom Notes на рабочем столе (для примера), сейчас сканирую весь диск С
 

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
Если не найдет ничего, то напишу разработчикам. Ручной скрипт чистки ниже.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Public\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Public\Downloads\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\Downloads\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\Documents\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\Desktop\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\AppData\Roaming\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\AppData\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\AppData\LocalLow\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\AppData\Local\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\Downloads\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\Documents\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\Desktop\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\AppData\Roaming\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\AppData\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\AppData\LocalLow\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\AppData\Local\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\Downloads\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\Documents\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\Desktop\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\AppData\Roaming\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\AppData\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\AppData\LocalLow\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\AppData\Local\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\Downloads\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\Documents\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\Desktop\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\AppData\Roaming\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\AppData\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\AppData\LocalLow\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\AppData\Local\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\Downloads\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\Documents\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\Desktop\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\AppData\Roaming\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\AppData\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\AppData\LocalLow\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\delo\AppData\Local\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\Downloads\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\Documents\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\Desktop\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\AppData\Roaming\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\AppData\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\AppData\LocalLow\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\AppData\Local\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\Downloads\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\Documents\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\Desktop\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\AppData\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\Documents\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\AppData\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\Downloads\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\Documents\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\Desktop\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\AppData\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\AppData\Local\README.txt
    2019-06-09 19:08 - 2019-06-09 19:10 - 000001279 _____ C:\Users\Все пользователи\README.txt
    2019-06-09 19:08 - 2019-06-09 19:10 - 000001279 _____ C:\ProgramData\README.txt
    2019-06-09 19:08 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Public\Documents\README.txt
    2019-06-09 19:08 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Public\Desktop\README.txt
    2019-06-09 19:08 - 2019-06-09 19:08 - 000000082 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:08 - 2019-06-09 19:08 - 000000082 _____ C:\Program Files (x86)\README.txt
    2019-06-09 19:04 - 2019-06-09 19:04 - 000000082 _____ C:\Program Files\README.txt
    2019-06-09 19:03 - 2019-06-09 19:03 - 000000082 _____ C:\Program Files\Common Files\README.txt
    2019-06-09 19:08 - 2019-06-09 19:10 - 000001279 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 19:08 - 2019-06-09 19:10 - 000001279 _____ C:\Users\Public\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 19:08 - 2019-06-09 19:09 - 000001279 _____ C:\Users\Все пользователи\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 19:08 - 2019-06-09 19:09 - 000001279 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:49 - 2019-06-09 19:10 - 000001279 _____ C:\Users\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 19:04 - 2019-06-09 19:04 - 000000082 _____ () C:\Program Files\README.txt
    2019-06-09 19:08 - 2019-06-09 19:08 - 000000082 _____ () C:\Program Files (x86)\README.txt
    2019-06-09 19:03 - 2019-06-09 19:03 - 000000082 _____ () C:\Program Files\Common Files\README.txt
    2019-06-09 19:05 - 2019-06-09 19:05 - 000000082 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ () C:\Users\delo\AppData\Roaming\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ () C:\Users\delo\AppData\Roaming\Microsoft\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ () C:\Users\delo\AppData\Local\README.txt
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

alex7sasha

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Прошел FRST-ом, получил Fixlog.txt прикрепил лог.
Касательно Ransom Notes у меня не хватило терпения сканировать весь диск, дело в том что довольно много файлов сканировать ему придется и если не ошибаюсь то около 100к файлов. Когда я его закрывал было 0 найденных при больше 100 ransomwares.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
Теперь нужно подождать ответа @thyrex
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,539
Баллы
593
Увы, с расшифровкойне сможем помочь.
 

alex7sasha

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Есть новости по поводу Ransom Notes, там чисто гаджеты (Windows Gadgets).
Сейчас закончится сканирование SecurityCheck скину лог
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
Не страшно, лог в норме. Исправьте по возможности.
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499164 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Endpoint Security для Windows v.11.0.1.90 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 16.04 (x64) v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 9 (64-bit) v.7.0.90 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u211-windows-x64.exe).
------------------------------- [ Browser ] -------------------------------
Google Chrome v.74.0.3729.169 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
 

alex7sasha

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
А смысл проводить обновления ПО, если все зашифровано? 7zip, chrome , java зашифрованы, что даже запустить не могу.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,469
Реакции
1,847
Баллы
563
Ярлыки запуска программ нужно пересоздать вручную.
 

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
Это не связанные процессы. Шифратор самоудалился, мы закрываем вектор атаки. Новая ос не будет мешать расшифровке.
 
Сверху Снизу