Перейти к содержанию

Вирус с расширением *.pif, *.exe, *.rar, *.src (опознаётся как Trojan.Dropper:win32)


IgoreKMaN

Рекомендуемые сообщения

Здравствуйте

 

Есть сеть из 25 компьютеров по сети гуляет вирус, он создает файлы с названиями родительской папки и с расширениями *.pif, *.exe, *.rar, *.src, пример: documents.rar, documents.pif. Опознаётся как Trojan.Dropper:win32. Обезвреживаю с помощью KVRT но они снова появляются. Как найти источник заразы? 

rar.jpg

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Компьютеров много? Система на всех одинаковая? Какая?

На одном из пострадавших выполните Порядок оформления запроса о помощи и прикрепите к следующему сообщению логи. Будем говорить предметно.

 

А так - отключаете компьютер от сети, закрываете простой общий доступ, убираете у пользователя права администратора и лечите.

И так последовательно на каждом.

Ссылка на комментарий
Поделиться на другие сайты

21 hours ago, Sandor said:

Здравствуйте!

 

Компьютеров много? Система на всех одинаковая? Какая?

На одном из пострадавших выполните Порядок оформления запроса о помощи и прикрепите к следующему сообщению логи. Будем говорить предметно.

 

А так - отключаете компьютер от сети, закрываете простой общий доступ, убираете у пользователя права администратора и лечите.

И так последовательно на каждом.

25 компьютеров. системы разные на 7 компьютерах windows 10 на остальных windows 7. Вот логи

CollectionLog-2022.08.04-07.55.zip

Ссылка на комментарий
Поделиться на другие сайты

13 минут назад, IgoreKMaN сказал:

Вот логи

Как вижу, тут была проверка KVRT.

Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

 

21 час назад, Sandor сказал:

закрываете простой общий доступ

Не закрыли, шесть папок открыты, в том числе C:\Temp

Ссылка на комментарий
Поделиться на другие сайты

32 minutes ago, Sandor said:

Как вижу, тут была проверка KVRT.

Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

 

Не закрыли, шесть папок открыты, в том числе C:\Temp

Убрал общий доступ, сделал новые логи + архив C:\KVRT2020_Data\Reports

Reports.rar CollectionLog-2022.08.04-08.52.zip

Ссылка на комментарий
Поделиться на другие сайты

Отчёты KVRT слишком короткие. Вы в п.4 этой инструкции отмечали всё?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением. Отметьте дополнительно галочкой пункт Shortcuts.txt

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txtAddition.txt и Shortcuts.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

On 04.08.2022 at 09:02, Sandor said:

Отчёты KVRT слишком короткие. Вы в п.4 этой инструкции отмечали всё?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением. Отметьте дополнительно галочкой пункт Shortcuts.txt

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txtAddition.txt и Shortcuts.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

да в п.4 отмечал все. вот результат сканирования FRST

 

FRST.rar

Ссылка на комментарий
Поделиться на другие сайты

Замечание - не нужно полностью цитировать предыдущее сообщение, это ухудшает читаемость темы и нарушает правила форума. Просто отвечайте в поле быстрого ответа внизу.

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

Сделайте на этом компьютере очередную проверку KVRT, упакуйте в архив папку

Цитата

C:\KVRT2020_Data\Reports

и прикрепите к следующему сообщению.

 

На этом же компьютере соберите такой отчёт:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

Весь хлам из папок D:\Install\ и E:\Install\ планируете хранить дальше?

 

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Включите обязательно.

 

Удалите бесполезный SpyHunter v.4.28.7.4850

 

Поиском найдите все файлы по маске

*.pif

и переместите в отдельную папку.

 

Проверьте как будет себя вести система после этого и сообщите результат.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • specxpilot
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • Dmitryplss
      От Dmitryplss
      Добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С, в локальной сети так же зашифрованные файлы
      File.rar Addition.txt FRST.txt
    • DenSyaoLin
      От DenSyaoLin
      добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С нет доступа к бэкапам и точкам восстановления. читал темы, и понимаю что дешифратора от этой гадости еще нет, хотелось бы надеяться на чудо и может вдруг что то получится. спасибо заранее
      по тому что уже сделал, выполнил проверку касперским, что то он нашел, удалил, а вот что нашел не подскажу, оставлял проверку на ночь.
      необходимые файлы прикладываю
      Addition.txt Files.rar FRST.txt
    • tom1
      От tom1
      Здравствуйте.
      Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.
      Файл самого шифровальщика обнаружен, готов предоставить.
      Addition.txt FRST.txt файлы.zip
    • Дмитрий Борисович
      От Дмитрий Борисович
      Приветствую!
      8 декабря, примерно в 20 часов была замечена активность шифровальщика.
      Выявлено шифрование файлов на всех активных компьютерах сети.
      Зашифрованные файлы с расширением - .loq
      В корне диска C:\ найден файл с раширением .txt следующего содержания:
       
      All Your Files Are Locked And Important Data Downloaded !

      Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .
      If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!

      Your ID : HFXGT
      If You Want To Restore Them Email Us : Evo.team1992@gmail.com
      If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com
      To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .
      Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.
      We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.
      What is the guarantee !
      Before Payment You Can Send Some Files For Decryption Test.
      If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us 
      It's Just Business To Get Benefits.
      ===============================================================================
      Attention !
      Do Not Rename,Modify Encrypted Files .
      Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because 
      It May Make Decryption Harder Or Destroy Your Files Forever !
      ===============================================================================
      Buy Bitcoin !
      https://www.kraken.com/learn/buy-bitcoin-btc
      https://www.coinbase.com/how-to-buy/bitcoin
       
       
      Архив.zip
×
×
  • Создать...