Пролез на один из компьютеров шифровальщик:
1. создает в папках файл how_to_decrypt.hta
2. шифрует файлы, к некоторым добавляет [[email protected]].[006723FF-D18BF237]
Как убить?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) TAE, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Спасибо! Можно еще с других компьютеров логи скину? А то не знаю где он сидит. (((
- - - - -Добавлено - - - - -
Еще один компьютер проверил.
Сообщение "исполняемый файл в потоке..." можно игнорировать, так и должно быть - это мои проги.
- - - - -Добавлено - - - - -
А это лог с самого подозрительного компа
1. Кто-то нехороший (пусть он сейчас поперхнется) подключался к нему по RDP
2. Создана "левая" учетная запись
3. Все файлы, доки, ярлыки перешифрованы
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\temp\svcgnb.exe','');
DeleteFile('C:\temp\svcgnb.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','006723FF-D18BF237','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','006723FF-D18BF237hta','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','006723FF-D18BF237','x64');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','006723FF-D18BF237hta','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.
Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Выполнил первый скрипт (авз был запущен от имени Администратора).
После перезагрузки - второй скрипт. Карантин приложил (по красной ссылке не отправляется - дает ошибку "файл уже был отправлен").
"Журнал событий" прикрепить не могу - "места нет" говорят на сайте. Как мне его отправить? На файлообменник?
Затем запустил Автологгер. Новые логи приложил.
На компьютере появился новый пользователь Lynn, которого я не создавал, с правами Администратора.
Мой пользователь VISS с правами "пользователя" у которого появилось членство в группе "Пользователи удаленного рабочего стола".
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Обратите внимание: будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Лог сделал. Хотел спросить - если нужно будет запускать "ваши" программы для создания логов от имени Администратора, вы сообщите об этом? Так как я являюсь обычным "Пользователь".
- - - - -Добавлено - - - - -
Ещё хотел спросить - у нас есть NAS (сетевое хранилище) D-Link DNS 315, где хранились бэкапы документов. Он тоже "поврежден". Можно ли его как-то почистить? Доступ к нему через проводник windows. Могу его подключить как сетевой диск.
У меня два пользователя - VISS (всегда был "Пользователь") и Администратор (встроенная учетная запись "Администратор").
Я запускал от "Пользователь", т.к. не было указаний запускать от имени Администратора.