файлы зашифрованы с расширением .better_call_saul, .da_vinci_code - Форум технической поддержки ESET NOD32

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

Сообщений: 13

Баллов: 6

Регистрация: 27.10.2016

Размещено 27.10.2016 17:33:47

Цитата
santy написал: 1. по теневым копиям. как проверить. используйте shadowExplorer http://www.shadowexplorer.com/downloads.html но прежде чем восстанвить что-то из теневых копий (если они сохранились), надо точно знать, что в системе нет уже активного шифратора. поэтому. 2. добавьте лог выполнения скрипта uVS. файл дата_времяlog.txt + добавьте новый образ автозапуска.

Цитата

santy написал:
1. по теневым копиям.
как проверить.
используйте shadowExplorer
http://www.shadowexplorer.com/downloads.html
но прежде чем восстанвить что-то из теневых копий (если они сохранились), надо точно знать, что в системе нет уже активного шифратора.
поэтому.
2. добавьте лог выполнения скрипта uVS.
файл дата_времяlog.txt
+
добавьте новый образ автозапуска.

1. Поэтому теневые копии пока не трогаю. Последняя надежда на них.

2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE

Размер у файлов одинаковый и иконка одна - как у установщиков INNO. Пока что не применял скрипт, который вы выслали ранее, но эти файлы выцепил из системы. Они у меня в архивах. На моём рабочем компьютере антивирус ESET определяет эти оба файла как NSIS/Injector.HV
В безопасном режиме сделал ещё один образ автозагрузки. Теперь от имени заражённого пользователя.

Кстати, у пользователя сменились обои. Теперь и там требование денег. Файл с рандомным значением в имени. 475395B1475395B1.bmp

Прикрепленные файлы

DANILINA_2016-10-27_16-45-03.7z (549.75 КБ)

Изменено: Андрей Пинчук - 27.10.2016 18:05:00

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.10.2016 18:13:39

Цитата
Андрей Пинчук написал: 2. У меня сомнение в чистоте двух файлов. 1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe 2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE

Я так понял, что скрипт по первому образу автозапуска из сообзщения 312 вы до сих пор не выполнили?
правильно?

Изменено: santy - 27.10.2016 18:16:49

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.10.2016 18:15:21

судя по второму образу этот файлик на месте.

Цитата
Полное имя C:\PROGRAMDATA\WINDOWS\CSRSS.EXE Имя файла CSRSS.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям RUN.LIST (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (1)] RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)] SHIFR.LIST (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (0)] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске File_Id 5795639761000 Linker 6.0 Размер 956483 байт Создан 22.03.2016 в 11:24:19 Изменен 26.10.2016 в 11:46:55 TimeStamp 25.07.2016 в 00:55:51 EntryPoint + OS Version 4.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись проверка не производилась Версия файла 1.50.2 Описание PS3 Media Server Продукт PS3 Media Server Copyright Производитель A. Brochard Комментарий Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Не_типичен для этого файла [имя этого файла есть в известных] Доп. информация на момент обновления списка SHA1 61DFEC318DAC5309AD5627DA716A3F1EA2194B60 MD5 2B6BC30E37B7B919D5D1187CE633C339 Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-1352719698-2803580862-2519816203-1429\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem Client Server Runtime Subsystem"C:\ProgramData\Windows\csrss.exe" Prefetcher C:\WINDOWS\Prefetch\Layout.ini

Цитата

Полное имя C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Имя файла CSRSS.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
RUN.LIST (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (1)]
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
SHIFR.LIST (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 5795639761000
Linker 6.0
Размер 956483 байт
Создан 22.03.2016 в 11:24:19
Изменен 26.10.2016 в 11:46:55

TimeStamp 25.07.2016 в 00:55:51
EntryPoint +
OS Version 4.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Версия файла 1.50.2
Описание PS3 Media Server
Продукт PS3 Media Server
Copyright
Производитель A. Brochard
Комментарий

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]

Доп. информация на момент обновления списка
SHA1 61DFEC318DAC5309AD5627DA716A3F1EA2194B60
MD5 2B6BC30E37B7B919D5D1187CE633C339

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1352719698-2803580862-2519816203-1429\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\ProgramData\Windows\csrss.exe"
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

я вижу у вас свое мнение по этому поводу. Ну-ну.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.10.2016 18:22:11

еще раз:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF29671C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A4140472251B 8 da_vinci_code zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE zoo %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMINGRBQ51.EXE ;------------------------autoscript--------------------------- chklst delvir delref 0HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL delref HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP deltmp delnfr ;------------------------------------------------------------- restart czoo

Код


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF29671C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A4140472251B 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
zoo %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMINGRBQ51.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL

delref HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP

deltmp
delnfr
;-------------------------------------------------------------

restart
czoo

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
+
добавьте новый образ автозапуска дял контроля.
+
добавьте все логи выполнения скриптов:
файлы дата_времяlog.txt из папки, откуда запускаете uVS.

Изменено: santy - 27.10.2016 18:24:37

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 27.10.2016

Размещено 27.10.2016 20:10:57

Цитата

santy написал:

Цитата
Андрей Пинчук написал: 2. У меня сомнение в чистоте двух файлов. 1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe 2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE

Я так понял, что скрипт по первому образу автозапуска из сообзщения 312 вы до сих пор не выполнили?
правильно?

Ещё пока не сделал.

Цитата

santy написал:
судя по второму образу этот файлик на месте.

Цитата

Полное имя C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Имя файла CSRSS.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
RUN.LIST (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (1)]
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
SHIFR.LIST (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 5795639761000
Linker 6.0
Размер 956483 байт
Создан 22.03.2016 в 11:24:19
Изменен 26.10.2016 в 11:46:55

TimeStamp 25.07.2016 в 00:55:51
EntryPoint +
OS Version 4.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Версия файла 1.50.2
Описание PS3 Media Server
Продукт PS3 Media Server
Copyright
Производитель A. Brochard
Комментарий

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]

Доп. информация на момент обновления списка
SHA1 61DFEC318DAC5309AD5627DA716A3F1EA2194B60
MD5 2B6BC30E37B7B919D5D1187CE633C339

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1352719698-2803580862-2519816203-1429\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\ProgramData\Windows\csrss.exe"
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

я вижу у вас свое мнение по этому поводу. Ну-ну.

Уже нет этого файла. И UAC окон больше не появляется. Я обязательно выполню скрипт, только сделаю копию всего ЖД на всякий случай.
Второй образ автозапуска я делал до того, как убрал csrss.

И те два файла я в архивах RAR на флешке на рабочем компе антивирусом ESET со свежими базами проверил - детект есть.
-----
Не стал умничать...
По времени первый образ до скрипта. Второй - после. Скрипт выполнил самый последний только последние две команды местами поменял. ZOO*.7z файл есть Отправил на оба, указанных вами, почтовых ящика.

Прикрепленные файлы

2016-10-27_19-58-43_log.txt (51.79 КБ)
DANILINA_2016-10-27_20-02-09.7z (509.62 КБ)
DANILINA_2016-10-27_19-49-14.7z (513.12 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.10.2016 04:31:51

Андрей,
1. не надо здесь никого цитировать, просто пишите по сути и не развозите ответ на целую страницу браузера.
2. я уже отчаялся следить за вашими действия,ми в какой последовательности и что вы делаете: до скрипта, после скрипта, из безопасного режима, из нормального режима,
3. полагаю что вы в состоянии самостоятельно справиться с очисткой: файлы шифратора указаны в скриптах.
4. у нас здесь все просто делается: пользователь выкладывает суть проблемы, образ автозапуска (если его об этом просят), желательно несколько зашифрованных файлов в архиве, записку о выкупе от злоумышленников, мы пишем скрипт очистки и рекомендации. и все.
5. если возникают сомнения по очистке: добавляете лог выполнения скрипта, и новый образ автозапуска для контроля.
6. и чтобы тема очистки плавно не перетекала в чатовый диалог.

Изменено: santy - 28.10.2016 04:33:54

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 27.10.2016

Размещено 28.10.2016 09:37:02

santy,
1) привычка из других форумов.
2) со стороны да. Выглядит всё запутанно.
3) Да, но как вижу, скрипт вычищает из автозагрузки системы подгрузку вирусов из сети. Вручную это лучше не делать, как я понял.
4) ОГромное спасибо!
5) Вот по последнему - есть ли какие хвосты?
6) понял..

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.10.2016 09:51:42

судя по последнему образу DANILINA_2016-10-27_20-02-09.7z (509.62 КБ)
файлов шифратора нет.
а вот по этой записи разберитесь: это скорее всего настройки для левого прокси.

Цитата
Полное имя 0HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP Имя файла 0HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям PROXYSERVER (ССЫЛКА ~ \INTERNET\MANUALPROXIES\)(1) [auto (0)] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Ссылки на объект Ссылка HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\ 0https://larevante.com/F6D3bVd/bOl57.eup

Цитата

Полное имя 0HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP
Имя файла 0HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
PROXYSERVER (ССЫЛКА ~ \INTERNET\MANUALPROXIES\)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\
0https://larevante.com/F6D3bVd/bOl57.eup

можно в этом разделе продолжить лечение.
https://forum.esetnod32.ru/forum6/

в разделе шифрования общие темы для всех по типовым шифраторам, поэтому по возможности не надо их перегружать лишними диалогами,
в разделе лечения заражений индивидуальные темы по каждому факту заражений, там как раз более свободная форма общения в теме.

Изменено: santy - 28.10.2016 09:55:20

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 28.10.2016

Размещено 28.10.2016 12:44:28

Цитата
santy написал: выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта;

Цитата

santy написал:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

У меня и UVS c расширением da vinci.

Изменено: Владимир Калошин - 28.10.2016 12:46:34

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.10.2016 13:28:59

Владимир,
скачайте свежий архив с uVS
сделайте образ автозапуска из безопасного режима системы.

Изменено: santy - 28.10.2016 13:29:44

[ Как создать образ автозапуска? ]

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Ответы