Перейти к содержанию
Правила раздела

Вирус с расширением *.pif, *.exe, *.rar, *.src (опознаётся как Trojan.Dropper:win32)

IgoreKMaN

От IgoreKMaN
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

IgoreKMaN Новичок

IgoreKMaN

Опубликовано
Опубликовано

Здравствуйте

 

Есть сеть из 25 компьютеров по сети гуляет вирус, он создает файлы с названиями родительской папки и с расширениями *.pif, *.exe, *.rar, *.src, пример: documents.rar, documents.pif. Опознаётся как Trojan.Dropper:win32. Обезвреживаю с помощью KVRT но они снова появляются. Как найти источник заразы? 

rar.jpg

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Компьютеров много? Система на всех одинаковая? Какая?

На одном из пострадавших выполните Порядок оформления запроса о помощи и прикрепите к следующему сообщению логи. Будем говорить предметно.

 

А так - отключаете компьютер от сети, закрываете простой общий доступ, убираете у пользователя права администратора и лечите.

И так последовательно на каждом.

Ссылка на комментарий
Поделиться на другие сайты
IgoreKMaN Новичок

IgoreKMaN

Опубликовано
  • Автор
Опубликовано
21 hours ago, Sandor said:

Здравствуйте!

 

Компьютеров много? Система на всех одинаковая? Какая?

На одном из пострадавших выполните Порядок оформления запроса о помощи и прикрепите к следующему сообщению логи. Будем говорить предметно.

 

А так - отключаете компьютер от сети, закрываете простой общий доступ, убираете у пользователя права администратора и лечите.

И так последовательно на каждом.

25 компьютеров. системы разные на 7 компьютерах windows 10 на остальных windows 7. Вот логи

CollectionLog-2022.08.04-07.55.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
13 минут назад, IgoreKMaN сказал:

Вот логи

Как вижу, тут была проверка KVRT.

Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

 

21 час назад, Sandor сказал:

закрываете простой общий доступ

Не закрыли, шесть папок открыты, в том числе C:\Temp

Ссылка на комментарий
Поделиться на другие сайты
IgoreKMaN Новичок

IgoreKMaN

Опубликовано
  • Автор
Опубликовано
32 minutes ago, Sandor said:

Как вижу, тут была проверка KVRT.

Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

 

Не закрыли, шесть папок открыты, в том числе C:\Temp

Убрал общий доступ, сделал новые логи + архив C:\KVRT2020_Data\Reports

Reports.rar CollectionLog-2022.08.04-08.52.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Отчёты KVRT слишком короткие. Вы в п.4 этой инструкции отмечали всё?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением. Отметьте дополнительно галочкой пункт Shortcuts.txt

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txtAddition.txt и Shortcuts.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
IgoreKMaN Новичок

IgoreKMaN

Опубликовано
  • Автор
Опубликовано
On 04.08.2022 at 09:02, Sandor said:

Отчёты KVRT слишком короткие. Вы в п.4 этой инструкции отмечали всё?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением. Отметьте дополнительно галочкой пункт Shortcuts.txt

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txtAddition.txt и Shortcuts.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

да в п.4 отмечал все. вот результат сканирования FRST

 

FRST.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Замечание - не нужно полностью цитировать предыдущее сообщение, это ухудшает читаемость темы и нарушает правила форума. Просто отвечайте в поле быстрого ответа внизу.

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Сделайте на этом компьютере очередную проверку KVRT, упакуйте в архив папку

Цитата

C:\KVRT2020_Data\Reports

и прикрепите к следующему сообщению.

 

На этом же компьютере соберите такой отчёт:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Весь хлам из папок D:\Install\ и E:\Install\ планируете хранить дальше?

 

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Включите обязательно.

 

Удалите бесполезный SpyHunter v.4.28.7.4850

 

Поиском найдите все файлы по маске 

*.pif

и переместите в отдельную папку.

 

Проверьте как будет себя вести система после этого и сообщите результат.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Saul
      Шифровальщик. Расширение aiLuw2ie
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • Freeman80S
      Поймал вирус-шифровальщик, переименовал все расширения файлов на *.Sauron
      От Freeman80S
      Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.
      Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)
      FRST.txt шифр файлы и требование.rar
    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • Юрий Ч
      Шифровальщик с расширением .pussylikeashavel-VDwOdhMlTSSzwonBISwPaN-iUT48ohlKrYg8yifZcRQ
      От Юрий Ч
      1
    • armandu
      Вирус-шифровальщик зашифровал файлы и добавил к ним расширение ELONS
      От armandu
      Вирус-шифровальщик зашифровал файлы и добавил к ним расширение ELONS. В приложении логи анализа системы и архив с зашифрованными файлами и требованием. Буду признателен за любую помощь!
      Зашифр. файлы.zip Addition.txt FRST.txt
×
×
  • Создать...