Решена с расшифровкой. помогите email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-про.kmz.doubleoffset

[adastmin]

помогите победить вирус
в README1.txt write you country to lybot@rape.lol

 

[thyrex]

Начните с выполнения правил оформления запроса

 

[adastmin]

Вот файлы логи и нескоглько файлов собранные на серваке

 

[akok]

Смените все пароли, у вас работает Backdoor + trojan-spy с 21.06

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('WindowsCertificateService', 4);
 SetServiceStart('WinMediaService', 4);
 StopService('WindowsCertificateService');
 StopService('WinMediaService');
 QuarantineFile('C:\Users\sysadmin\Pictures\PC_H64as.sys', '');
 QuarantineFile('c:\windows\media\long\certsvc.exe', '');
 QuarantineFile('C:\Windows\msapss\bin\msapp.exe', '');
 DeleteFile('c:\windows\media\long\certsvc.exe', '32');
 DeleteFile('C:\Windows\msapss\bin\msapp.exe', '32');
 DeleteService('WindowsCertificateService');
 DeleteService('WinMediaService');
BC_ImportALL;
 ExecuteRepair(9);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

 

[adastmin]

имя карантина 2019.06.26_quarantine_a15f1f65eb6b0a4df71f74ac743a9057.zip пароль malware

 

[adastmin]

KVRT

 

[akok]

А вот теперь нужны свежие логи FRST. Прикрепите их, пожалуйста.

+++

Найдите пару файлов: зашифрованный и его оригинальную копию. Прикрепите их к в теме (в архиве).

 

[adastmin]

вот оригинальный и шифрованный файл

 

[akok]

Тогда ждем логи FRST

 

[adastmin]

Логи FRST пришлю завтра утром. Офис закрылся. Что скажите по поводу расшифровки или ключа?

 

[Sandor]

После очистки следов вымогателя в системе получите инструкции. Дешифрует успешно.

 

[adastmin]

Вот ребята. лог после очистки. Самое главное расшифровка файлов. это кстати 1 сервак, скажите еще зашифровано штук 20 надо со всех логи потом или как? Мне надо сегодня дешифровать хоть сервак 1с с которого я логи скидывал в теме, зп надо бухгалтерии платить работникам, ибо с 21.06 все шифровано.

 

[akok]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\README.txt
  2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\README.txt
  2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\Downloads\README.txt
  2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\Documents\README.txt
  2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\Desktop\README.txt
  2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\AppData\Roaming\README.txt
  2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\AppData\README.txt
  2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\AppData\LocalLow\README.txt
  2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\README.txt
  2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\README.txt
  2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\Downloads\README.txt
  2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\Documents\README.txt
  2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\Desktop\README.txt
  2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\AppData\Roaming\README.txt
  2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\AppData\README.txt
  2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\AppData\LocalLow\README.txt
  2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\_admin\AppData\Local\README.txt
  2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\_admin\AppData\Local\Apps\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\sysadmin\AppData\Local\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Public\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Public\Downloads\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\Downloads\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\Documents\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\Desktop\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\Roaming\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\LocalLow\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\Local\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\Downloads\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\Documents\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\Desktop\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\Roaming\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\LocalLow\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\Local\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\Downloads\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\Documents\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\Desktop\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\AppData\Roaming\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\AppData\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\AppData\Local\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\Downloads\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\Documents\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\Desktop\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\AppData\Roaming\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\AppData\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\AppData\Local\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\credo\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\credo\Downloads\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\credo\Documents\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\credo\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-22 00:11 - 2019-06-22 00:11 - 000000056 _____ C:\Users\credo\Desktop\README.txt
  2019-06-22 00:11 - 2019-06-22 00:11 - 000000056 _____ C:\Users\credo\AppData\Roaming\README.txt
  2019-06-22 00:11 - 2019-06-22 00:11 - 000000056 _____ C:\Users\credo\AppData\README.txt
  2019-06-22 00:10 - 2019-06-22 00:10 - 000000056 _____ C:\Users\credo\AppData\LocalLow\README.txt
  2019-06-22 00:04 - 2019-06-22 00:04 - 000000056 _____ C:\Users\credo\AppData\Local\README.txt
  2019-06-22 00:02 - 2019-06-22 00:02 - 000000056 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
  2019-06-21 23:59 - 2019-06-22 00:15 - 000001253 _____ C:\Users\Все пользователи\README.txt
  2019-06-21 23:59 - 2019-06-22 00:15 - 000001253 _____ C:\ProgramData\README.txt
  2019-06-21 23:59 - 2019-06-22 00:13 - 000001253 _____ C:\Users\Public\Documents\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-21 23:59 - 2019-06-22 00:13 - 000001253 _____ C:\Users\Public\Desktop\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-21 23:59 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Public\Documents\README.txt
  2019-06-21 23:59 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Public\Desktop\README.txt
  2019-06-21 23:59 - 2019-06-22 00:04 - 000001253 _____ C:\Users\Все пользователи\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-21 23:59 - 2019-06-22 00:04 - 000001253 _____ C:\ProgramData\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-21 23:59 - 2019-06-21 23:59 - 000000056 _____ C:\Program Files (x86)\README.txt
  2019-06-21 23:55 - 2019-06-21 23:55 - 000000056 _____ C:\Program Files\README.txt
  2019-06-21 23:47 - 2019-06-22 00:14 - 000000000 ____D C:\Users\sysadmin\Downloads\opera autoupdate
  2019-06-21 23:47 - 2019-06-21 23:47 - 000000056 _____ C:\Program Files\Common Files\README.txt
  2019-06-21 23:46 - 2019-06-22 00:13 - 000001253 _____ C:\Users\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-21 23:55 - 2019-06-21 23:55 - 000000056 _____ () C:\Program Files\README.txt
  2019-06-21 23:59 - 2019-06-21 23:59 - 000000056 _____ () C:\Program Files (x86)\README.txt
  2019-06-21 23:47 - 2019-06-21 23:47 - 000000056 _____ () C:\Program Files\Common Files\README.txt
  2019-06-21 23:57 - 2019-06-21 23:57 - 000000056 _____ () C:\Program Files (x86)\Common Files\README.txt
  2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ () C:\Users\sysadmin\AppData\Roaming\README.txt
  2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ () C:\Users\sysadmin\AppData\Roaming\Microsoft\README.txt
  2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ () C:\Users\sysadmin\AppData\Local\README.txt
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[akok]

Проверьте ЛС

 

[Sandor]

скажите еще зашифровано штук 20 надо со всех логи потом или как?

Если нужна наша помощь в очистке, то да. По принципу 1 компьютер - 1 тема.

 

[adastmin]

расшифровка не помогла. куда прислать скриншот?

 

[akok]

Большие файлы? Ответьте на сообщение в ЛС

 

[adastmin]

Ответил в лс, прикрепил файлы