Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 6 7 8 9 10 11 12 13 14 15 16 ... 1649 След.
[ Закрыто] после вируса майнера Todo Mysa, ok
судя по последнему образу  ПОСЛЕ_СКРИПТА_ИПРОВЕРКИ_КИЛЛЕРОМ_____* политика безопасности ipsec  удалена.

да, именно в такой последовательности:
проверить еще раз killer-ом (без сети) и убедиться в том, что mbr более не заражен.
пропатчить систему,
а потом еще раз провериться (киллером и в uVS) уже после подключения к инету.
--------

после этого можно будет решать проблему с незапуском антивируса, если она останется.
[ Закрыто] после вируса майнера Todo Mysa, ok
[CODE]10:21:06.0719 0x0f78 ============================================================
10:21:06.0719 0x0f78  Scan finished
10:21:06.0719 0x0f78  ============================================================­
10:21:06.0730 0x0ec8  Detected object count: 2
10:21:06.0730 0x0ec8  Actual detected object count: 2
10:24:43.0945 0x0ec8  System memory - cured
10:24:43.0945 0x0ec8  System memory ( MEM:Rootkit.Win64.DarkGalaxy.a ) - User select action: Cure
10:24:44.0685 0x0ec8  \Device\Harddisk0\DR0\# - copied to quarantine
10:24:44.0685 0x0ec8  \Device\Harddisk0\DR0 - copied to quarantine
10:24:44.0711 0x0ec8  \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - will be cured on reboot
10:24:44.0713 0x0ec8  \Device\Harddisk0\DR0 - ok
10:24:44.0713 0x0ec8  \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - User select action: Cure
[/CODE]

вы можете пролечить систему в tdsskiller,
перегрузить ее без подключения к сети,

и сделать еще раз проверку в tdsskiller, и новый образ автозапуска добавить (после выполнения скрипта)

так же надо установить патч MS-17-010 для вашей системы,
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
[ Закрыто] после вируса майнера Todo Mysa, ok
по образу автозапуска все чисто, но из нормального режима мы не сможем увидеть заражен ли MBR#0 [149,0GB] или нет.
(сеть в момент перезагрузки системы пока не включайте)

сделайте пока лог проверки в tdsskiller
[QUOTE]сделайте проверку системы этой утилитой,
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
но ничего не удаляйте при обнаружении. (если будет что-то найдено)[/QUOTE]
+

такой скрипт выполните в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 26
regt 27
QUIT
[/code]
без перезагрузки системы, пишем о старых и новых проблемах.
Файлы зашифрованы с расширением .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun, Filecoder.Crysis / Encoder.3953; r/n: info.hta
расшифровки по вышеуказанным расширениям для Crysis в настоящее время нет,
восстанавливаем документы из архивных копий, потому что теневые копии так же удаляются после того как отработал Crysis
(если был запущен с правами администратора).

по очистке системы:


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-9CB21DBF.[UNLOCKDATA@FOXMAIL.COM].STUN
del %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-9CB21DBF.[UNLOCKDATA@FOXMAIL.COM].STUN
del %SystemDrive%\USERS\ADMINISTRATOR.COLUMNA\APPDATA\ROAMING\INFO.HTA
del %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\INFO.HTA
del %Sys32%\INFO.HTA
zoo %Sys32%\1SVHOST.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6­714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEE­A8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SVHOST.EXE
zoo %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\1SVHOST.EXE
zoo %SystemDrive%\USERS\ADMINISTRATOR.COLUMNA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SVHOST.EXE
chklst
delvir

czoo
QUIT
[/code]
без перезагрузки системы, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту safety@chklst.ru, sendvirus2011@gmail.com, support@esetnod32.ru  
------------
+
добавьте новый образ автозапуска для контроля.
[ Закрыто] после вируса майнера Todo Mysa, ok
судя по логу мбам, по характерным признакам:
Trojan.BitCoinMiner, C:\WINDOWS\TEMP\CONHOST.EXE, Проигнорировано пользователем, [609], [589425],1.0.9940

Инструментарий управления Windows (WMI): 3
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:__FilterToConsumerBinding.Consumer="CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\"", Проигнорировано пользователем, [14548], [621747],1.0.9940
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:__EventFilter.Name="fuckyoumm3", Проигнорировано пользователем, [14548], [621747],1.0.9940
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:CommandLineEventConsumer.Name="fuckyoumm4", Проигнорировано пользователем, [14548], [621747],1.0.9940

еще и политика безопасности IPSec обнаружена
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{7dc75e5e-a9d9-443e-8d2d-e8b216c9090c}
--------------
у вас скорее всего заражение BOOT.DarkGalaxy, (с заражением MBR)

удалите все найденное в мбам,
перегрузите систему,
добавьте новый образ автозапуска системы

+
сделайте проверку системы этой утилитой,
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
но ничего не удаляйте при обнаружении. (если будет что-то найдено)
dipladoks.org, Вероятный вирус не обнаруживается антивирусом
@Евгений Галишинский,

добавьте образ автозапуска системы
Файлы зашифрованы с расширением .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun, Filecoder.Crysis / Encoder.3953; r/n: info.hta
@Andrei Balan ,
добавьте образ автозапуска системы,
возможно в системе остались еще файлы шифратора
+
добавьте несколько зашифрованных файлов в архиве
возможно, WannaCash
[QUOTE]Deonis Andersen написал:
У меня подарочная лицензия и как я понял могу писать только на форум[/QUOTE]
на форум можно писать и без лицензии.
в support@esetnod32.ru имеет смысл написать еще и потому что у вас запросят специализированный лог ESET log collector с пострадавшей машины для вирлаба, помимо сэмпла и зашифрованных файлов. Сколько по времени этот процесс продлится, возможно 2-3 недели, если расшифровка станет возможной. Если вы заинтересованы в восстановлении зашифрованных документов, то стоит искать решение по нескольким направлениям.
возможно, WannaCash
@Deonis Andersen,

по расшифровке файлов напишите в support@esetnod32.ru при наличие лицензии на продукт ESET

пока что неясно, есть расшифровка файлов по данному варианту или нет. Как будет больше информации, отвечу в этой теме.
возможно, WannaCash
[QUOTE]Deonis Andersen написал:
Записки о выкупе нет, но есть само тело вируса. Если надо могу предоставить.[/QUOTE]
загрузите этот файл на https://www.hybrid-analysis.com/ для анализа с предоставлением доступа,
и дайте ссылку на тему анализа (когда он завершится) в личные сообщения

результат проверки:
https://www.virustotal.com/gui/file/168b7f0d1953f42adeabd744538c07a3bb24f6acef24458­b31fd1c29410cd631/detection

https://app.any.run/tasks/175b00d9-0858-474e-afaf-854ba032e66e
Пред. 1 ... 6 7 8 9 10 11 12 13 14 15 16 ... 1649 След.