• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Зашифровали данные в .PPTX и .DATAWAIT

Статус
В этой теме нельзя размещать новые ответы.

RedColor

Новый пользователь
Сообщения
8
Реакции
1
Оставил на ночь включенный ноут..
Сначала откуда не возьмись начали появляться файлы и ухудшать работу системы путём её нагрузки, дальше для меня ничего не понятно, с удалённого доступа закачали трояны, шифровальщики и тд.
После, у файлов поменялось разрешение на .PPTX и .DATAWAIT
Прошу помощи от вас, Вы - последняя надежда
 

Вложения

  • CollectionLog-2018.11.15-17.43.zip
    100.5 KB · Просмотры: 2
  • Архив ZIP - WinRAR.zip
    2.2 MB · Просмотры: 1
Файлы (скорее всего) зашифрованы GlobeImposter 2.0, с расшифровкой помочь не сможем, только удаление следов.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('MGNlN', 4);
 SetServiceStart('MWMxY2', 4);
 SetServiceStart('ODdiYzEwYmM0Y', 4);
 SetServiceStart('Y2Y2N2JkNTZmODZmZ', 4);
 SetServiceStart('ZjM4ZDhmYjMwNGM5Mjk2', 4);
 QuarantineFile('C:\Program Files (x86)\elewyVEGnvUaTSWviYR\nCpUEvQ.dll', '');
 QuarantineFile('C:\Program Files (x86)\PlroZLGXU\uoUofK.dll', '');
 QuarantineFile('C:\Program Files (x86)\tZcfAxFTAYLU2\KuzoYUTobfwKn.dll', '');
 QuarantineFile('C:\Program Files (x86)\UWDVMgzldSYvC\zoQaYKz.dll', '');
 QuarantineFile('C:\Program Files\Y2Y2N2JkNTZmODZmZ\NjY4MTgyNGN.exe', '');
 QuarantineFile('C:\ProgramData\TVquuUYzfaKsETVB\dvVuAFE.wsf', '');
 QuarantineFile('C:\Users\VladB\AppData\Local\11da1cc1-076e-4f8a-a316-8b0ae20a9d10\3696.tmp.exe', '');
 QuarantineFile('C:\Users\VladB\AppData\Local\Temp\mdi064.dll', '');
 QuarantineFile('C:\WINDOWS\nzyaxsnoyrnrelxewdv.nzya BRNLrzkE', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\MGNlN', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\MWMxY2', '');
 DeleteFile('C:\Program Files (x86)\elewyVEGnvUaTSWviYR\nCpUEvQ.dll', '64');
 DeleteFile('C:\Program Files (x86)\PlroZLGXU\uoUofK.dll', '64');
 DeleteFile('C:\Program Files (x86)\tZcfAxFTAYLU2\KuzoYUTobfwKn.dll', '64');
 DeleteFile('C:\Program Files (x86)\UWDVMgzldSYvC\zoQaYKz.dll', '64');
 DeleteFile('C:\Program Files\Y2Y2N2JkNTZmODZmZ\NjY4MTgyNGN.exe', '64');
 DeleteFile('C:\ProgramData\TVquuUYzfaKsETVB\dvVuAFE.wsf', '64');
 DeleteFile('C:\Users\VladB\AppData\Local\11da1cc1-076e-4f8a-a316-8b0ae20a9d10\3696.tmp.exe', '64');
 DeleteFile('C:\WINDOWS\nzyaxsnoyrnrelxewdv.nzya BRNLrzkE', '64');
 DeleteFile('C:\WINDOWS\system32\drivers\MGNlN', '64');
 DeleteFile('C:\WINDOWS\system32\drivers\MWMxY2', '64');
 DeleteFile('C:\WINDOWS\system32\drivers\ODdiYzEwYmM0Y', '64');
 DeleteFile('C:\Users\VladB\AppData\Local\Temp\mdi064.dll', '32');
 DeleteFile('C:\Users\VladB\AppData\Local\Temp\mdi064.dll', '64');
 DeleteFile('C:\Program Files\driverspacksolution\intel.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tsiVideo', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tsiVideo', '64');
 DeleteService('MGNlN');
 DeleteService('ODdiYzEwYmM0Y');
 DeleteService('Y2Y2N2JkNTZmODZmZ');
 DeleteService('ZjM4ZDhmYjMwNGM5Mjk2');
 DeleteSchedulerTask('{01381C9C-34B9-1F23-A203-DA845DD40955}');
 DeleteSchedulerTask('FB7D8AF0-DA26-5E35-9012-F3DE277829DB');
 DeleteSchedulerTask('kmZSvQaSvlFfeD');
 DeleteSchedulerTask('pBOWosXuyiVIpqjiWOp2');
 DeleteSchedulerTask('PUKmAxXTHESAyfAQQ2');
 DeleteSchedulerTask('qYnNzBKYARTXr2');
 DeleteSchedulerTask('Time Trigger Task');
 DeleteSchedulerTask('uRQJqubdaywJOJH2');
 DelBHO('{586E89A6-A5B5-4B36-9440-4C12FF9C74E4}');
BC_ImportALL;
 ExecuteRepair(3);
 ExecuteRepair(4);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\StartupApproved\Run: [Movies] = C:\Users\VladB\AppData\Roaming\Movies\python\pythonw.exe "load.pyc" ml2 (file missing) (2018/10/29)
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Quoteex\RonRedcof.dll (file missing)
O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Quoteex\Stringlam.dll (file missing)
O26 - UWP Debugger: ExtExport.exe (default) = (no file)
O26 - UWP Debugger: MRT.exe (default) = (no file)
O26 - UWP Debugger: MiracastView.exe (default) = (no file)
O26 - UWP Debugger: MsMpEng.exe (default) = (no file)
O26 - UWP Debugger: PresentationHost.exe (default) = (no file)
O26 - UWP Debugger: PrintDialog.exe (default) = (no file)
O26 - UWP Debugger: PrintIsolationHost.exe (default) = (no file)
O26 - UWP Debugger: Quoteex.exe (default) = (no file)
O26 - UWP Debugger: SystemSettings.exe (default) = (no file)
O26 - UWP Debugger: Winword.exe (default) = (no file)
O26 - UWP Debugger: clview.exe (default) = (no file)
O26 - UWP Debugger: cscript.exe (default) = (no file)
O26 - UWP Debugger: dllhost.exe (default) = (no file)
O26 - UWP Debugger: drvinst.exe (default) = (no file)
O26 - UWP Debugger: dw20.exe (default) = (no file)
O26 - UWP Debugger: dwtrig20.exe (default) = (no file)
O26 - UWP Debugger: ehexthost32.exe (default) = (no file)
O26 - UWP Debugger: excelcnv.exe (default) = (no file)
O26 - UWP Debugger: explorer.exe (default) = (no file)
O26 - UWP Debugger: graph.exe (default) = (no file)
O26 - UWP Debugger: ie4uinit.exe (default) = (no file)
O26 - UWP Debugger: ieUnatt.exe (default) = (no file)
O26 - UWP Debugger: ieinstal.exe (default) = (no file)
O26 - UWP Debugger: ielowutil.exe (default) = (no file)
O26 - UWP Debugger: iexplore.exe (default) = (no file)
O26 - UWP Debugger: mmc.exe (default) = (no file)
O26 - UWP Debugger: mscorsvw.exe (default) = (no file)
O26 - UWP Debugger: msfeedssync.exe (default) = (no file)
O26 - UWP Debugger: mshta.exe (default) = (no file)
O26 - UWP Debugger: msohtmed.exe (default) = (no file)
O26 - UWP Debugger: msosync.exe (default) = (no file)
O26 - UWP Debugger: msoxmled.exe (default) = (no file)
O26 - UWP Debugger: msqry32.exe (default) = (no file)
O26 - UWP Debugger: mstordb.exe (default) = (no file)
O26 - UWP Debugger: mstore.exe (default) = (no file)
O26 - UWP Debugger: ngen.exe (default) = (no file)
O26 - UWP Debugger: ngentask.exe (default) = (no file)
O26 - UWP Debugger: ois.exe (default) = (no file)
O26 - UWP Debugger: ose.exe (default) = (no file)
O26 - UWP Debugger: powerpnt.exe (default) = (no file)
O26 - UWP Debugger: rundll32.exe (default) = (no file)
O26 - UWP Debugger: runtimebroker.exe (default) = (no file)
O26 - UWP Debugger: searchprotocolhost.exe (default) = (no file)
O26 - UWP Debugger: selfcert.exe (default) = (no file)
O26 - UWP Debugger: setlang.exe (default) = (no file)
O26 - UWP Debugger: splwow64.exe (default) = (no file)
O26 - UWP Debugger: spoolsv.exe (default) = (no file)
O26 - UWP Debugger: svchost.exe (default) = (no file)
O26 - UWP Debugger: wordconv .exe (default) = (no file)
O26 - UWP Debugger: wscript.exe (default) = (no file)
O26 - UWP Debugger: wxp.exe (default) = (no file)


  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Понял, сейчас ожидаю сканирования в AdwCleaner

Что дальше?
 

Вложения

  • AdwCleaner[S00].txt
    8.1 KB · Просмотры: 1
Последнее редактирование модератором:
Что дальше делать?
пофиксили?

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 
Было 2 лога выполненных в одно время, не знаю какой надо было
 

Вложения

  • AdwCleaner[C01].txt
    7 KB · Просмотры: 2
  • AdwCleaner[S01].txt
    8.1 KB · Просмотры: 1
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


На этом все. Больше мы помочь не в силах, если есть лицензии то обратитесь в вирлаб Каспреского или Дрвеб
 
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


На этом все. Больше мы помочь не в силах, если есть лицензии то обратитесь в вирлаб Каспреского или Дрвеб

обновление баз недоступно
не подсвечено
 
Последнее редактирование модератором:
Этот пункт пропустите.
 
Утилиты которые использовались в лечении можно удалить.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу