Доброго Вам времени, уважаемые коллеги! Прошу Вашей помощи.
У пользователя на ПК с админскими правами, во время работы в Сбис, вдруг перестали открываться некоторые документы. Пользователь сочтя за глюк, перезагрузил ПК. Установленный на этом ПК ESET NOD32 Antivirus4 (v.4.0.417.0), после перезагрузки, вдруг обнаруживает и помещает в карантин файл csrss.exe, идентифицируя его, как Injector.CQSA. Запущенный вручную сканер НОДы ни чего предосудительного не находит. Однако (!) аудит ресурсов выявил, как зашифрованные целиком директории, так и выборочные файлы.
Картинка:
Скрыть
От вируса пострадали, по всей видимости, файлы 1С, MSO, а так же JPG. Но не всё, не все и не везде. Анализ системных логов и соотношение даты создания файлов, даёт основание полагать, что действия вири были остановлены в течении минут, по всей видимости, благодаря НОДе. После этого, все программы работают вполне штатно, однако, зашифрованные файлы остаются зашифрованными.
Далее система была подвергнута изучением "Зайцевым". AVZ, в свою очередь, в каждом зашифрованном файле обнаружил признаки Exploit.MSPPoint.Agent.j (ну и еще, так, по мелочи, в логах увидите, зловредное уже по-прибито).
Обращаюсь к Вам впервые письменно, потому как ранее находил все ответы здесь поиском. Сейчас же решения задачи, увы, не нашел. К посту прикладываю, требуемые Вами логи и ссыль для образцов зашифрованных файлов MSO. Буду благодарен за компетентный совет - стоит ли думать о спасении зашифрованных файлов или "понять и простить"?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Grey Wolf, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('globalroot\systemroot\system32\mschr.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctfmon.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\svchost.exe','');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\svchost.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\autoload','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ntuser','command');
DeleteFile('C:\WINDOWS\system32\drivers\ctfmon.exe','32');
DeleteFile('globalroot\systemroot\system32\mschr.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
thyrex, доброе!
Т.е. нет ни какого смысла оформлять Подписку на «Помощь в расшифровке файлов, пострадавщих от шифровальщиков»?
Просто я всё это время полагал, что до этого мы с Вами собираем лишь данные; неукоснительно соблюдал правила и верно ждал! Может быть есть какая-то возможность помочь?