jdf 0 Опубликовано 24 января, 2017 Share Опубликовано 24 января, 2017 (изменено) Добрый день. В сетке возник инцидент. Пользователи на 2-х ПК несмогли в один прекрасный день открыть свои документы. Они оказались зашифрованы. Также они получили сообщение о выкупе информации от Spora ransomware. Ни обновленный каспер, ни его утилиты червя в упор не видят. хотя судя по описанию из Этого источника вирус создает exe файл и кидает его в %Temp%. Собственно там я его и обнаруживаю, все как описанно в статье. Меня беспокоит следущее, кроме файлов вируса в %Temp% и созданных ярлыков папок (при клике на которые вирус рестартует), я больше ничего на ПК не обнаружил. Перебрал весь автозапуск, просканировал ПК всеми утилитами Касперского, какие есть на сайте, но ничего не нашел... Причем что странно сканеры не отреагировали даже на лежащий файл exe в %Temp%. Проверил почту юзеров, но они ее чистили и отследить путь попадания вируса я не смог... прям очень жаль. Очень прошу дать описание как выкурить этого червя наверняка из системы. В атач прилагаю файлы червя (под паролем virus). и результат работы AutoLogger. Заранее спасибо. Р.S. помошь в расшифровке не требуется. CollectionLog-2017.01.24-09.27.zip Изменено 24 января, 2017 пользователем Sandor Убрал подозрительный файл Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 235 Опубликовано 24 января, 2017 Share Опубликовано 24 января, 2017 Здравствуйте! прилагаю файлы червяОтправьте его по этой форме. Дополнительно: Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
jdf 0 Опубликовано 24 января, 2017 Автор Share Опубликовано 24 января, 2017 сделал AdwCleanerC0.txt AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 235 Опубликовано 25 января, 2017 Share Опубликовано 25 января, 2017 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
jdf 0 Опубликовано 25 января, 2017 Автор Share Опубликовано 25 января, 2017 сделал Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 235 Опубликовано 26 января, 2017 Share Опубликовано 26 января, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-01-24] CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2017-01-24] CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-01-24] CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-01-24] CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-01-24] CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-01-24] CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-01-24] 2017-01-19 15:41 - 2017-01-19 15:41 - 01942176 ____R C:\Users\mto01\AppData\Roaming\RU5BA-8EOGG-ETAXH-XTZTF-GTXEG-ATRGG-GYYYY.LST 2017-01-19 15:41 - 2017-01-19 15:41 - 00009118 ____R C:\Users\mto01\AppData\Roaming\RU5BA-8EOGG-ETAXH-XTZTF-GTXEG-ATRGG-GYYYY.HTML 2017-01-19 15:26 - 2017-01-19 15:26 - 00001088 ____R C:\Users\mto01\AppData\Roaming\RU5BA-8EOGG-ETAXH-XTZTF-GTXEG-ATRGG-GYYYY.KEY 2017-01-19 15:25 - 2017-01-19 16:53 - 02708088 _____ C:\Users\mto01\AppData\Roaming\1211664037 Task: {7B5D5061-8B0C-45A2-9528-1C9CEE461E51} - System32\Tasks\{9DE03C94-9E8A-4F0F-8901-1CCBEEDB252C} => pcalua.exe -a C:\Users\mto01\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor Task: C:\Windows\Tasks\1qbUbePS.job => C:\Users\mto01\AppData\Roaming\1qbUbePS.exe <==== ATTENTION Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
jdf 0 Опубликовано 26 января, 2017 Автор Share Опубликовано 26 января, 2017 (изменено) Готово. Наверное это не сюда вопрос. Но можно, где-нибудь почитать доки, как правильно анализировать логи данных утилит, что-бы научиться самостоятельно лечиться =). Был бы весьма вам признателен за эту науку. Fixlog.txt Изменено 26 января, 2017 пользователем jdf Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 235 Опубликовано 26 января, 2017 Share Опубликовано 26 января, 2017 При фиксе произошел сбой? Повторите для контроля еще раз логи (сообщение №4). научиться самостоятельно лечитьсяЕсть две школы: https://safezone.cc/training/и http://virusinfo.info/forumdisplay.php?f=187 Цитата Ссылка на сообщение Поделиться на другие сайты
jdf 0 Опубликовано 26 января, 2017 Автор Share Опубликовано 26 января, 2017 Спасибо большое за ссылки. Фикс смогу повторить только завтра утром. Пользователь уже убежал домой. Кабинет опечатан. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 235 Опубликовано 26 января, 2017 Share Опубликовано 26 января, 2017 Фикс смогу повторитьТолько не повторить фикс, а собрать повторно логи. Цитата Ссылка на сообщение Поделиться на другие сайты
jdf 0 Опубликовано 26 января, 2017 Автор Share Опубликовано 26 января, 2017 Тогда непонял, что значит собрать. Файл я скачал после перезагрузки. Мог поторопиться? Или надо Fabar как то перезапустить? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 235 Опубликовано 26 января, 2017 Share Опубликовано 26 января, 2017 Просто повторить инструкцию из сообщения №4 (качать заново утилиту не нужно). Цитата Ссылка на сообщение Поделиться на другие сайты
jdf 0 Опубликовано 27 января, 2017 Автор Share Опубликовано 27 января, 2017 готово Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 235 Опубликовано 27 января, 2017 Share Опубликовано 27 января, 2017 Переделайте от имени администратора: Ran by mto01 (ATTENTION: The user is not administrator) Цитата Ссылка на сообщение Поделиться на другие сайты
jdf 0 Опубликовано 27 января, 2017 Автор Share Опубликовано 27 января, 2017 Прошу прощения. Переделал. Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.