вирус шифровальщик trojan.encoder.4322

[Near]

Компьютер поймал вирус шифровальщик по спецификации CureIT trojan.encoder.4322. Поймал через флешку. Файлы зашифрованы и имеют расширение better_call_saul. Логи собраны и приложены к письму

прикладываю дополнительно лог 

 AdwCleaner

CollectionLog-2016.04.24-23.27.zip

AdwCleanerS1.txt

[mike 1]

Этот компьютер находится в организации? У Вас администратор вообще имеется?

Изменено 24 апреля, 2016 пользователем mike 1

[Near]

А эта информация как то  сказывается на лечении ?

Компьютер в организации,но админа нет, поскольку нет денег на его содержание.

[mike 1]

Имеет. Стыдно должно быть на таком решете работать.

 

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

 

поскольку нет денег на его содержание.

 

Скупой в конечном счете платит дважды. 

 

 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP прекращена

 

Установите SP3 (может потребоваться активация) + все новые обновления для Windows 

 

Установите Internet Explorer 8 (даже если им не пользуетесь)

 

 

Потом:

 

• Загрузите GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

• Временно отключите драйверы эмуляторов дисков.
• Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
• Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
• После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

 

• Sections
• IAT/EAT
• Show all

• Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
• Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
• После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробную инструкцию читайте в руководстве

 

 

[Near]

Знаете, у меня большие сомнения в вашей компетенции, поскольку прежде чем стибаться не мешало бы поподробнее посмотреть логи. Я бы пожал руку админу который ставил эту систему, поскольку: 1. Windows XP стоит с 28.03.2008 (см скрин) и использовалась ежедневно на протяжении 8 лет.  2. На станции стоит Acronis, который делает еженедельную копию, поэтому потеряны только данные недельной давности. И это резервирование работает до сих пор 3. на станции стоит основная программа, написанная на deplhi работающая через IDAPI с firebird ( эта программа ещё более старая). Поэтому выше систему не поднять.  4. на системе стоит NOD32 и он обновлялся до 23.04.2014 (похоже потом кончилась лицензия).

 

 

З.Ы. Давайте общаться более профессионально.

 

win.rar

gmer.log

[mike 1]

Знаете, у меня большие сомнения в вашей компетенции, поскольку прежде чем стибаться не мешало бы поподробнее посмотреть логи.

Я их посмотрел и вижу, что благодаря этому старью у Вас активен сетевой червь Kido, который очень любит такие дырявые компьютеры. Я не вижу смысла продолжать лечение с такой дырявой системой. Считайте, что у Вас нет антивируса, а все ваши данные доступны червю.

 

 

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 56pkdyz2.exe случайное имя утилиты (gmer)

56pkdyz2.exe -del service widfg
56pkdyz2.exe -del file "C:\WINDOWS\system32\vpthzeo.dll"
56pkdyz2.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\widfg"
56pkdyz2.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\widfg"
56pkdyz2.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

 

Внимание: Компьютер перезагрузится!

 

Сделайте новый лог gmer.

 

Сделайте лог TDSSKiller.

[Near]

готово

gmer.log

tdsskiller.txt

[mike 1]

Дальше продолжать нет смысла. Человек не способен выполнять то, что ему пишут.

[Near]

Посмотрел остальные записи - суть понятна - бла бла бла. надо купить KAV. бла-бла-бла  Купили - ждите, не купили ничем не поможем. НИ ОДНОГО СПАСИБО за 2 страницы просмотра  

 

От общения свами у меня осталось ощущение больного с геморроем, который перепутал кабинет проктолога со стоматологом.  Спасибо конечно за филигранный скипт по удалению KIBO, но  "Доктор" меня зубы не беспокоят, у меня пятая точка болит!

[mike 1]

А тебе тут никто ничего не должен. Ты у нас пользователь Eset вот и иди к ним обращайся в техподдержку.

Изменено 26 апреля, 2016 пользователем mike 1

[still-alive]

Имею купленный KES + Консоль.

На старых (winxp) станциях версия клиента - 6, на новых (win7/8/10) - 10 версия клиента. Все куплено и управляется через консоль.

 

В обоих случаях целую неделю после передачи вируса в техподдержку шифровальщики(разные) благополучно пропускаются даже при самых параноидальных настройках Касперского.

 

Вот сегодня(30 мая 2016 года) поймал Trojan.Encoder.4322 (далеко не самая свежая вещь!) на одном из пользовательских рабочих мест. Нашел эту ветку по этому поводу.

 

1. Думаю начать платить другой конторе (DrWeb, например или Symantec), так как их антивирусы эту бяку нашли, а касперский молчит.

2. Думаю, что если mike 1 является сотрудником уважаемой мной компании, то ему бы не помешало наступить на хвост за такое общение. Спрошу завтра кто такой.

 

В общем то всё. Помощи не прошу. буду выкручиваться.

[mike 1]

 

В обоих случаях целую неделю после передачи вируса в техподдержку шифровальщики(разные) благополучно пропускаются даже при самых параноидальных настройках Касперского.

А Вы как хотели. Перед рассылкой злоумышленники криптуют свое детище и тем самым сбивают сигнатурный детект популярных антивирусов. Касперскому для обнаружения шифровальщика вовсе необязательно иметь сигнатуру в базах. 

 

 

 

 

1. Думаю начать платить другой конторе (DrWeb, например или Symantec), так как их антивирусы эту бяку нашли, а касперский молчит.

Платите. Только это не панацея. От смены карандашей и фломастеров ничего по сути не поменяется. Сегодня пропустил один антивирус сигнатурно, а завтра другой.

 

 

2. Думаю, что если mike 1 является сотрудником уважаемой мной компании, то ему бы не помешало наступить на хвост за такое общение. Спрошу завтра кто такой.

Я не сотрудник компании и вообще не обязан тратить свое время на тех, кто халатно относится к информационной безопасности. Это касается пользователей, которые открывают не глядя все подряд и админов, которые не делают бэкапов, используют устаревшее антивирусное ПО и никак не ограничивают своих пользователей.