За шифровались файлы с расширением .gladn

[click116]

Добрый день

За шифровались файлы с расширением .gladn, на нескольких ПК.

Под удар попали расшаренные папки.

Лог во вложение

CollectionLog-2017.10.10-13.06.zip

Изменено 10 октября, 2017 пользователем click116

[regist]

1)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.1.*.*;192.168.*.*;10.100.*.*;portal.riat.ru;zayavka.riat.ru;sm1.riat.ru;sweb1;sweb3;zayavka;mycrm365.riat.ru;10.100.1.6;<local>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.riat.ru:4480
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(default) = 1proxy.riat.ru:4480
R1 - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.1.*.*;192.168.*.*;10.100.*;portal.riat.ru;zayavka.riat.ru;sm1.riat.ru;sweb1;sweb3;zayavka;<local>
R1 - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.riat.ru:4480

прокси сами прописывали?

 

2)

7-Zip 4.64 [2013/02/18 19:42:29]-->"C:\Program Files\7-Zip\Uninstall.exe"

где такую древность нашли? Обновите до актуального.

Java 7 Update 9 [20130218]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217009FF}

тоже надо удалить и поставить актуальную версию.

MediaGet [20160614]-->C:\Users\cadikova\AppData\Local\MediaGet2\mediaget-uninstaller.exe

деинсталируйте.

 

3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

4)

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

8. Подробную инструкцию читайте в руководстве.

 

[click116]

Вопрос на перед

По данной теме https://forum.kasperskyclub.ru/index.php?showtopic=57274получилось что нибудь сделать? 

1)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.1.*.*;192.168.*.*;10.100.*.*;portal.riat.ru;zayavka.riat.ru;sm1.riat.ru;sweb1;sweb3;zayavka;mycrm365.riat.ru;10.100.1.6;<local>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.riat.ru:4480
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(default) = 1proxy.riat.ru:4480
R1 - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.1.*.*;192.168.*.*;10.100.*;portal.riat.ru;zayavka.riat.ru;sm1.riat.ru;sweb1;sweb3;zayavka;<local>
R1 - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.riat.ru:4480

прокси сами прописывали?

 

2)

7-Zip 4.64 [2013/02/18 19:42:29]-->"C:\Program Files\7-Zip\Uninstall.exe"

где такую древность нашли? Обновите до актуального.

Java 7 Update 9 [20130218]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217009FF}

тоже надо удалить и поставить актуальную версию.

MediaGet [20160614]-->C:\Users\cadikova\AppData\Local\MediaGet2\mediaget-uninstaller.exe

деинсталируйте.

 

3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

4)

• Загрузите GMER по одной из указанных ссылок:
  Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
• Временно отключите драйверы эмуляторов дисков.
• Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
• Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
• Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
• Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
• После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
  

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробную инструкцию читайте в руководстве.

 

 

[regist]

@click116,

1) Не надо заниматься оверквотингом.

2) Мы лечим вашу систему или вы пришли вообще поговорить? Если помощь не нужна то закроем тему или перенесём, чтобы могли болтать и спрашивать сколько угодно.

 

ps. У вас там помимо шифровальщика ещё руткит похоже живёт.

[click116]

Прокси прописал сам

Удалил mediaget
Процедуру virusinfo провел
Тема для обсуждения результатов анализа [/size]https://virusinfo.info/showthread.php?t=215696
Ссылка на результаты анализа:  [/size]https://virusinfo.info/virusdetector/report.php?md5=A63A6E5CCFBD7A0FB2250846CBE3F595
MD5 карантина: [/size]A63A6E5CCFBD7A0FB2250846CBE3F595
 

 

Сообщение от модератора kmscom

Нарушение пункта
14 Чрезмерное цитирование. Это создает неудобства при чтении и замедляет скорость загрузки страницы.

Правил форума

gmer.log

Изменено 11 октября, 2017 пользователем kmscom
удалил излишнее цитирование

[regist]

1) Проверьте систему утилитой - http://support.kaspersky.ru/1956

2) Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится jtf37ve2.exe случайное имя утилиты (gmer)

jtf37ve2.exe -del service ijbiiqzlp
jtf37ve2.exe -del file "C:\Windows\system32\bwtsple.dll"
jtf37ve2.exe -del reg "HKLM\SYSTEM\ControlSet002\services\ijbiiqzlp"
jtf37ve2.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!

 

2) Поставьте все обновления безопасности.

 

3) Сделайте новый лог gmer.
 

Изменено 11 октября, 2017 пользователем regist

[click116]

Про сканировал. Результата нет.

Выполнил батник. От ругался на jtf37ve2.exe -del reg "HKLM\SYSTEM\ControlSet002\services\ijbiiqzlp" Сказал нет такого пути.

Обновил 

Лог прикладываю

gmer2.log

[regist]

 

 

Выполнил батник. От ругался на

а вы говорите результата нет. Если бы не было, то не ругался.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

[click116]

Выполнил

Addition.txt

FRST.txt

Shortcut.txt

[regist]

@click116, рекомендации не для того даются, чтобы вы их игнорировали.

https://forum.kasperskyclub.ru/index.php?showtopic=57290&do=findComment&comment=844559- указанные программы почему не обновили?

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  2017-10-07 02:20 - 2017-10-07 02:20 - 000006517 _____ C:\Users\tai\Как расшифровать файлы.TXT
  2017-10-07 02:20 - 2017-10-07 02:20 - 000006517 _____ C:\Users\tai\Desktop\Как расшифровать файлы.TXT
  2017-10-07 02:20 - 2017-10-07 02:20 - 000006517 _____ C:\Users\runuser\Как расшифровать файлы.TXT
  2017-10-07 02:19 - 2017-10-07 02:19 - 000006517 _____ C:\Users\runuser\Desktop\Как расшифровать файлы.TXT
  2017-10-07 02:19 - 2017-10-07 02:19 - 000006517 _____ C:\Users\naa\Как расшифровать файлы.TXT
  2017-10-07 02:19 - 2017-10-07 02:19 - 000006517 _____ C:\Users\naa\Desktop\Как расшифровать файлы.TXT
  2017-10-07 02:19 - 2017-10-07 02:19 - 000006517 _____ C:\Users\Default\Как расшифровать файлы.TXT
  2017-10-07 02:15 - 2017-10-07 02:15 - 000006517 _____ C:\Как расшифровать файлы.TXT
  2017-10-07 02:15 - 2017-10-07 02:15 - 000006517 _____ C:\Users\cadikova\Как расшифровать файлы.TXT
  2017-10-07 02:15 - 2017-10-07 02:15 - 000006517 _____ C:\Users\cadikova\Documents\Как расшифровать файлы.TXT
  2017-10-07 02:15 - 2017-10-07 02:15 - 000006517 _____ C:\Users\ayrat\Как расшифровать файлы.TXT
  2017-10-07 02:15 - 2017-10-07 02:15 - 000006517 _____ C:\Users\Artur\Как расшифровать файлы.TXT
  2017-10-07 02:15 - 2017-10-07 02:15 - 000006517 _____ C:\Users\Artur\Desktop\Как расшифровать файлы.TXT
  2017-10-07 02:15 - 2017-10-07 02:15 - 000006517 _____ C:\Users\admin\Desktop\Как расшифровать файлы.TXT
  2017-10-07 02:15 - 2017-10-07 02:15 - 000006517 _____ C:\Users\1\Как расшифровать файлы.TXT
  2017-10-07 02:15 - 2017-10-07 02:15 - 000006517 _____ C:\Users\1\Desktop\Как расшифровать файлы.TXT
  7-Zip 4.64 (HKLM\...\7-Zip) (Version:  - )
  HKU\S-1-5-21-4092469065-2815945314-1774152101-5832\Software\Classes\.exe:  =>  <==== ATTENTION
  HKU\S-1-5-21-4092469065-2815945314-1774152101-5832\Software\Classes\.scr:  =>  <==== ATTENTION
  HKU\S-1-5-21-4092469065-2815945314-1774152101-5832\Software\Classes\.bat:  =>  <==== ATTENTION
  HKU\S-1-5-21-4092469065-2815945314-1774152101-5832\Software\Classes\.com:  =>  <==== ATTENTION
  HKU\S-1-5-21-4092469065-2815945314-1774152101-5832\Software\Classes\.cmd:  =>  <==== ATTENTION
  HKU\S-1-5-21-4092469065-2815945314-1774152101-5832\Software\Classes\.reg:  =>  <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

+ поищите пару зашифрованный и оригинальный файл.
 

[click116]

Обновил

 

Fixlog.txt

файлы.rar

[regist]

Проверьте ЛС.

 

И если эти программы не обновите, то и дальше будете ловить вирусы.

[click116]

ОГРОМНОЕ СПАСИБО ВАМ. И ВАШЕЙ КОМАНДЕ.!!!

Молодцы!!!

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.