• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена без расшифровки Лечение компьютерных вирусов id-608832C7.[decrypthelp@qq.com].arrow

qqhelp

Новый пользователь
Сообщения
28
Симпатии
1
#1
С выходных на вторник (26-29 мая) все на дисках D, E шифронулось, на диске с виндой не наблюдаются такие файлы. немного искал информацию. пишут нет дешифровщика?
Зашифровались все компьютеры, что были включены. Можно ли установить источник заражения?
 

Вложения

Последнее редактирование:

qqhelp

Новый пользователь
Сообщения
28
Симпатии
1
#3
Добрый день
С выходных на вторник (26-29 мая) все на дисках D, E шифронулось, на диске с виндой не наблюдаются такие файлы. немного искал информацию. пишут нет дешифровщика? Много важных файлов, есть ли возможность снять шифр?
Зашифровались все компьютеры, что были включены. Можно ли установить источник заражения?
С уважением, Андрей.
Сообщения объединены:

Так же логи с FRST64
 

Вложения

Последнее редактирование:

qqhelp

Новый пользователь
Сообщения
28
Симпатии
1
#4
Здравствуйте, пересоздал тему в лечении, эту не могу удалить.
 

akok

Команда форума
Администратор
Сообщения
14,805
Симпатии
12,158
#5
Логи правильные, но они должны быть в этой теме
 

Sandor

Ассоциация VN/VIP
Сообщения
4,290
Симпатии
1,516
#6
Можно ли установить источник заражения?
Ищите тот, где по всем папкам разбросан текстовый (или htm) файл с требованием выкупа.

Должен предупредить, расшифровки для этого типа вымогателя нет.
 

qqhelp

Новый пользователь
Сообщения
28
Симпатии
1
#7
Понял спасибо, в офисе приемным инета стоит асус роутер, под не простым паролем, на всех машинах пароли на учетках, на некоторых компьютерах тотал360, вообще не понимаю как так за два дня бацц и нет файлов, напишите пожалуйста, что от такой заразы может предостеречь, и что необходимо выполнить что бы почистить все следы дабы предотвратить повторных случаев, и какова вероятность, что спустя некоторое время появится расшифровка? Нигде нет штм файлов, в сетевых папках только эти arrow, это значит заказ? Еще заметил закономерность, не расшаренные сетевые папки не подверглись заражению, если компьютер "исходник" вируса то на нем должно быть абсолютно все заражено?
 
Последнее редактирование:

Sandor

Ассоциация VN/VIP
Сообщения
4,290
Симпатии
1,516
#8
какова вероятность, что спустя некоторое время появится расшифровка?
Весьма призрачная. Следите на сайте The No More Ransom Project

Редко злодеи "раскаиваются" и выкладывают ключи. Можете и так поступить - Ознакомьтесь со статьей.

что необходимо выполнить что бы почистить все следы
Сначала следует все же определить компьютер-источник. Записки с требованием выкупа могут иметь вид FILES ENCRYPTED.txt или Info.hta
Описание.
 

qqhelp

Новый пользователь
Сообщения
28
Симпатии
1
#9
Найден компьютер, сервер, учетная запись одного из 6 пользователей убита, почти везде даже ярлыки в панели управления arrow. Снял несколько логов netstat. Пароль на архив - 1. В текстовичке просьба написать на decrypthelp@qq.com
 

Вложения

Последнее редактирование:

qqhelp

Новый пользователь
Сообщения
28
Симпатии
1
#11
Не стартует сканирование, выводит сообщение и закрывается, пробовал также пкм от админа
script ver. 2018.05.24
DefaultLanguage = 0419
������������ ����������� �� ������� �����.
���� ����� ��������� � 2018.06.01-12:19:22
D:\AutoLogger\
C:\Windows\TEMP\1\
AutoLogger ������� � ������� ���������� ��������������.
��������� ���������� �������.
[?IsTermSession3?]RDP-Tcp#0

картинка - Screenshot
 

qqhelp

Новый пользователь
Сообщения
28
Симпатии
1
#13
Подскажите как это сделать? Таким образом тоже не запускается. Screenshot
 
Последнее редактирование:

Sandor

Ассоциация VN/VIP
Сообщения
4,290
Симпатии
1,516
#14
Я о том, что лог нужно собирать непосредственно на самом компьютере, а не подключившись к нему через RDP.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,290
Симпатии
1,516
#16
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
 TerminateProcessByName('c:\programdata\microsoft\drm\smss.exe');
 StopService('WindowsDefender');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe', '');
 QuarantineFile('C:\Program Files\MPK\MPK.exe', '');
 QuarantineFile('c:\programdata\microsoft\drm\smss.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-608832C7.[decrypthelp@qq.com].arrow', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\1task.exe', '');
 QuarantineFile('C:\Users\AMDService\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\AMDService\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '');
 QuarantineFile('C:\Users\AMDService\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Оксана\AppData\Roaming\1task.exe', '');
 QuarantineFile('C:\Users\Оксана\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '');
 QuarantineFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('c:\windows\font\taskhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\csrss.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFile('C:\Windows\System32\1task.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe', '');
 DeleteFile('C:\Program Files\MPK\MPK.exe', '64');
 DeleteFile('c:\programdata\microsoft\drm\smss.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-608832C7.[decrypthelp@qq.com].arrow', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\1task.exe', '');
 DeleteFile('C:\Users\AMDService\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\AMDService\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '64');
 DeleteFile('C:\Users\AMDService\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\Оксана\AppData\Roaming\1task.exe', '32');
 DeleteFile('C:\Users\Оксана\AppData\Roaming\1task.exe', '64');
 DeleteFile('C:\Users\Оксана\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Оксана\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '64');
 DeleteFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('c:\windows\font\taskhost.exe');
 DeleteFile('C:\Windows\Fonts\csrss.exe', '');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '64');
 DeleteFile('C:\Windows\System32\1task.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteService('spoolsrvrs');
 DeleteService('werlsfks');
 DeleteService('WindowsDefender');
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1task.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\AMDService\AppData\Roaming\Info.hta');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1765058703-2337265044-871141043-1002\Software\Microsoft\Windows\CurrentVersion\Run', '1task.exe');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1765058703-2337265044-871141043-1002\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Оксана\AppData\Roaming\Info.hta');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.
Пожалуйста, перезагрузите компьютер вручную.




Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

qqhelp

Новый пользователь
Сообщения
28
Симпатии
1
#17
Отправил на меил ссылку, непосредственно на меил архив не отправляется, приходит обратка , что файл опасен, отправил ссылку на гуглдиск, перезагрузился сделал лог и прогнал поиск АВЗ, нашелся КГБшный софт Screenshot
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,290
Симпатии
1,516
#18
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\mpk\mpk.dll', '');
 QuarantineFile('C:\Windows\Fonts\csrss.exe', '');
 DeleteFile('C:\Program Files\mpk\mpk.dll', '32');
 DeleteFile('C:\Windows\Fonts\csrss.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.


Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,290
Симпатии
1,516
#20
нашел что то подозрительное
Подозрительное и вредоносное - не одно и то же. Пожалуйста, самостоятельно не делайте никаких операций.

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.12 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
    delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE
    bl D49322679A3DB8330631C7869435454E 13921
    zoo %SystemDrive%\USERS\ОКСАНА\APPDATA\ROAMING\INFO.HTA
    delall %SystemDrive%\USERS\ОКСАНА\APPDATA\ROAMING\INFO.HTA
    zoo %SystemDrive%\USERS\ОКСАНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
    delall %SystemDrive%\USERS\ОКСАНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
    bl 092FEA0C92F16600198DE0E5D2516D31 708608
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\HP\WEBISIDA.BROWSER.EXE
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\HP\WEBISIDA.BROWSER.EXE
    apply
    
    zoo %SystemDrive%\USERS\ОКСАНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TASK.EXE
    bl 11CEBF8D2BF9D8280A7F39B7082D32AC 94720
    addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Ransom.Win32.Crusis.to [Kaspersky] 7
    
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\HP\AUTCH.EXE
    bl 43A09C049AF7EFFFED4724B17D9421B5 40448
    addsgn 925277DA146AC1CC0B04504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 RiskTool.MSIL.Sidaweb.i [Kaspersky] 7
    
    zoo %SystemDrive%\PROGRAMDATA\IOSTREAM.EXE
    bl 148D13CEB38AF8135431E1C2A90D5264 1975808
    addsgn A4BC2472546A4C72C78C277224E512653D8AD1F60BF60F7D7242C9ACD0EDBD393AD1C05785558D492BE8BCA2ED182141D2AB8A210532BA2C2D7727EFC78F6657 8 Trojan.Win32.Generic [Kaspersky] 7
    
    chklst
    delvir
    
    regt 35
    czoo
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Подготовьте новый лог uVS. AutorunsVTchecker можно уже не запускать.
 
Сверху Снизу