Перейти к содержанию

Spora ransomware, Антивирус не видит этого червя

jdf
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ProxyServer: [S-1-5-21-4048679067-1154791329-1846544274-1175] => 127.0.0.1:8080
AutoConfigURL: [S-1-5-21-4048679067-1154791329-1846544274-1175] => 127.0.0.1:8080
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-01-24]
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2017-01-24]
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-01-24]
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-01-24]
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-01-24]
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-01-24]
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-01-24]
Task: {7B5D5061-8B0C-45A2-9528-1C9CEE461E51} - System32\Tasks\{9DE03C94-9E8A-4F0F-8901-1CCBEEDB252C} => pcalua.exe -a C:\Users\mto01\AppData\Roaming\istartsurf\UninstallManager.exe -c  -ptid=cor
Task: C:\Windows\Tasks\1qbUbePS.job => C:\Users\mto01\AppData\Roaming\1qbUbePS.exe <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
jdf

jdf

Опубликовано
  • Автор
Опубликовано

Добрый день.

сделал. в логе Fixlog.txt  не отработала одна строчка. Сделал повторный скан. Строчки этой вроде нет.

Addition.txt

FRST.txt

Shortcut.txt

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
jdf

jdf

Опубликовано
  • Автор
Опубликовано

UAC включили. Касперский лицензионный но расшифровка не требуется. Файлы вытащили с теневой копии.

И прошу прощения а разве на этот вирус есть дешифровальшик ... вроде пишут что он в разумных временных рамках расшифровке не поддается.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Да, пока решения нет.

 

Проделайте завершающие шаги:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.55.0.2883.87 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

Mozilla Firefox 50.1.0 (x86 ru) v.50.1.0 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
  • 1 месяц спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • k3eyrun
      [РЕШЕНО] Вирус блокирует доступ к файлам, не виден антивирусам, урезает доступ к системе
      Автор k3eyrun
      словил очередной вирус с гитхаба по гиперссылке, перед запуском проверял файл, но ни один антивирус ничего не нашел. вирустотал говорил о том что в папке нет файлов, но меня это не смутило. при запуске файла через секунду заработал майнер, очень примитивный, при запуске диспечера задач с задержкой в секунд 10 выключался, а потом через время скрипт выключал диспетчер задач, и майнер включался снова. 
      я проверил пк через kaspersky, тот ничего не нашел, проверил через malwarebytes, он уже нашел майнер и после синего экрана его удалил, только вот по всей видимости, не полностью.
      после всего этого я хотел удалить папку, откуда и пошел вирус, но вирус сразу тормозил проводник, отключал мышку, или вообще останавливал всю систему. после этого антивирусы что то находили, но после "удаления" проблема никуда не делась, но антивирусы больше ничего не видели. 
      планировщик задач, настройки, и обновления винды тоже сломались этим трояном, корректно ничего не отображают. 
      CollectionLog-2025.08.18-16.35.zip
    • Warlocktv
      Ransomware Phobos
      Автор Warlocktv
      Добрый день,
      Через RDP словили шифровальщик Phobos (на основании ID Ransomware https://id-ransomware.malwarehunterteam.com/identify.php?case=52c4281ece07330467137e30a150ae4130e52132).
      Отчеты Recorded Future Triangle https://tria.ge/241216-tdxdrsvpek и Joe Sand Cloud https://www.joesandbox.com/analysis/1576226/1/executive.
      Зараженные системы удалены. Остались зараженные файлы которые требуется дешифровать. Необходима помощь. В архиве два зараженных файла и сообщения от шифровальщиков.Encrypted.zip
    • Sapfira
      Вентиляторов 2, а БИОС видит 1
      Автор Sapfira
      Заменила задний корпусный вентилятор и соединила его с верхним одной цепочкой (они оба 4pin, но разных производителей и параметров). Сам вентилятор работает, но БИОС его не видит, нет возможности регулировать скорость вращения, есть только регулировка для верхнего вентилятора. Программы, типа Аида64, тоже показывают скорость только одного вентилятора.
       
      Сначала думала, что это из-за того, что они соединены в одну цепочку и регулировка единая для обоих, но для эксперимента поставила скорость на 0 и остановился только верхний вентилятор, а задний продолжил работать.
       
      Так и должно быть?
    • macklooney1315
      Поймал вирус с флешки, антивирусы его не видят
      Автор macklooney1315
      Здравствуйте! Пару дней назад купил флешку и решил ей воспользоваться. Через какое то время виндовс написала что доступны  новые обновления, они начали скачиваться и после этого комп перезагрузился. После перезапуска на секунду появилась командная строка и пропала, раньше такого не было. В диспетчере задач стало больше процессов чем было, а когда заходит в монитор ресурсов часто были приостановленные процессы SearchApp.exe, Realteck, LockApp.exe. Я нашел процесс realteck в диспетчере задач и после нажатия кнопки открыть расположение файла мне вышло что отказано в доступе. Скачал касперского и dr.web - тоже ничего не видят, пытался полазить по системных папкам, но много где пишет '' отказано в доступе, обратитесь к администратору сети (что то такое, точно не помню). Винда кстати начала на следующий день снова пытаться скачать какое то обновления для Windows Defender, но я отложил скачивание обновлений на месяц. До этого вообще обновления не приходили, несколько лет было все нормально, а тут сразу много. Комп стал медленнее загружаться, и после загрузки рабочего стола курсор начинает крутить значок загрузки, раньше такого тоже не наблюдалось.
      Файлы прикрепил
       
      FRST.txt Addition.txt CollectionLog-2025.04.14-16.22.zip
    • Solnepek7
      [РЕШЕНО] Касперский не видит майнер
      Автор Solnepek7
      Помогите пожалуйста, никак не могу найти майнер на ноутбуке. Почему думаю что майнер, потому что при включении диспетчера задач или process exp, ноут сразу затихает и вентиляторы не крутятся, как только диспетчер закрою, сразу большая активность. Сижу битый час общаюсь с DeepSeek, он там что то рекомендует, но не видит(я скрины ему кидал). Скачал SystemInformer (process hacker тот же), тут уже интереснее, при закрытии диспетчера cmd.exe грузит CPU до 33% и жрет 2.4гб памяти, но в дереве процессов не могу найти этот искомый файл что так грузит и запускается через команду. При открытии диспетчера process hacker сразу показывает что cpu в норме, 99% простаивает и файл закрывается. То есть при открытии диспетчера майнер закрывается, с помощью  process hacker не получается найти, банально не понимаю куда тыкать, да же с помощью нейрухи, deepseek иногда говорит несуществующие вкладки. Пришёл к реальным людям)
      Логи прикрепил, в безопасном режиме включал, всё тихо, шума нет, 99% простой системы. 3 раза сделал полную проверку касперским, не видит
      CollectionLog-2025.06.11-19.09.zip

×
×
  • Создать...