• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Поймали Crypted000007

Статус
В этой теме нельзя размещать новые ответы.

Gigazo1d

Новый пользователь
Сообщения
24
Реакции
1
Баллы
13
Здравствуйте!

"Посчастливилось" поймать сей шифровальщик. Прошу помощи в удалении вируса и, если есть средство, в востановлении информации.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,567
Реакции
13,419
Баллы
2,203
Добавьте еще несколько небольших зашифрованных файлов..
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,944
Баллы
998
Здравствуйте!

с рассшифровкой помочь не сможем, а вот майнер (который у вас скрыто работает) удалить поможем.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\PROGRA~3\SysWOW64\PAkJGses.cmd', '');
 QuarantineFile('C:\ProgramData\SoftwareDistribution\nheqminer.exe', '');
 QuarantineFileF('C:\ProgramData\SoftwareDistribution', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\PROGRA~3\SysWOW64\PAkJGses.cmd', '32');
 DeleteFile('C:\ProgramData\SoftwareDistribution\nheqminer.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support');
SetupAVZ('QrPWD=malware');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
 

Gigazo1d

Новый пользователь
Сообщения
24
Реакции
1
Баллы
13
Здравствуйте!

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Отправил. лог повторного сканирования прикладываю.

Добавьте еще несколько небольших зашифрованных файлов..
Добавил.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,944
Баллы
998
Скачайте актуальную версию Автологера по ссылке из правил и переделайте логи.
 

Gigazo1d

Новый пользователь
Сообщения
24
Реакции
1
Баллы
13
Скачайте актуальную версию Автологера по ссылке из правил и переделайте логи.
Объясните пожалуйста где находятся ваши правила? Автологгер скачивал с раздела "Наши разработки"
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,944
Баллы
998
Объясните пожалуйста где находятся ваши правила? Автологгер скачивал с раздела "Наши разработки"
Перед тем как просить о помощи, прочтите эти правила оформления запроса.
А уже скачанную версию удалите и созданную ей папку тоже.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,944
Баллы
998
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ClearQuarantine;
 SetupAVZ('QrPWD=malware');
 QuarantineFile('C:\Windows\System32\cwlog.dtl','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,944
Баллы
998
Похоже у вас там постоянно запускается задача
Task (install): 19.10.2018 14:09:07,40
Windows 7 Home Basic 7601.23915.amd64fre.win7sp1_ldr.170913-0600
и в итоге каждый раз кончается сбоем. А это лог этой установки.

7-zip советую обновить до актуальной версии.
+
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

Gigazo1d

Новый пользователь
Сообщения
24
Реакции
1
Баллы
13
Похоже у вас там постоянно запускается задача
Task (install): 19.10.2018 14:09:07,40
Windows 7 Home Basic 7601.23915.amd64fre.win7sp1_ldr.170913-0600
и в итоге каждый раз кончается сбоем. А это лог этой установки.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
Компьютер к сети подключать безопасно? Шифровальщика нет в системе? От локальной сети сети организации машину пока отключил.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,944
Баллы
998
Шифровальщик само-удалился. Подключаться безопасно.
 

Gigazo1d

Новый пользователь
Сообщения
24
Реакции
1
Баллы
13
AVZ выдает "Невозможно выполнить скрипт для обнаружения наиболее опасных уязвимостей"
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,357
Реакции
1,815
Баллы
563
Покажите скриншот, пожалуйста.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу