Шифровальщик Bomber

[masterovoi]

Вчера после получения почты перестал работать почтовый ящик MTS пока выясняли проблему рабочие время закончилось с утра файлы зашифрованы " Bomber"

 

[akoK]

Добрый день. Нужны логи https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[masterovoi]

Прикладываю

Ящик все таки заблокировали была рассылка 700 писем . Из стандартного Отлука

Прогнали KVRT обнаружил 15 вирусов

frst.zip

[akoK]

Сборщик логов не смог запуститься?

[masterovoi]

Файл с логами

Все запустилось

CollectionLog-2018.06.19-18.30.zip

[akoK]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\System32\config\systemprofile\AppData\Roaming\osk.exe','');
 DeleteFile('C:\Windows\System32\config\systemprofile\AppData\Roaming\osk.exe','32');
 DeleteFile('C:\Windows\System32\config\systemprofile\AppData\Roaming\osk.exe','64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','OYTfqa');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','OYTfqa');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

 

Компьютер перезагрузится. 

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKU\.DEFAULT\..\RunOnce: [OYTfqa] = C:\Windows\System32\config\systemprofile\AppData\Roaming\osk.exe  (file missing)
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.hao123.com/?tn=95972258_hao_pg
 

Подготовьте свежий лог FRST, посмотрим, что осталось доудалить.

[masterovoi]

[KLAN-8253253293]

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

Malicious code has been detected in the following files:
osk.exe - Trojan.Win32.Yakes.wpok

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700

[akoK]

https://www.kaspersky.ru/blog/yikes-phishing-campaign/10642/- для ознакомления

 

 

 

Подготовьте свежий лог FRST, посмотрим, что осталось доудалить.

Ждем

[masterovoi]

Свежий

FRST.zip

[akoK]

Пользовательские политики сами настраивали?

Порты сами открывали?

 

 

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
VirusTotal: C:\Users\admin\AppData\Local\Temp\017555~1.EXE;C:\pcn6\IAsuJkh.exe;C:\pcn6\IClient.exe
HKU\S-1-5-21-4118632620-1047723075-1302474939-1000\...\MountPoints2: {3d5be3d9-0ac6-11e7-b9e7-fcaa1407c752} - E:\AutoRun.exe
HKU\S-1-5-21-4118632620-1047723075-1302474939-1000\...\MountPoints2: {3d5be40f-0ac6-11e7-b9e7-fcaa1407c752} - E:\AutoRun.exe
HKU\S-1-5-21-4118632620-1047723075-1302474939-1000\...\MountPoints2: {3d5be41f-0ac6-11e7-b9e7-fcaa1407c752} - E:\AutoRun.exe
HKU\S-1-5-21-4118632620-1047723075-1302474939-1000\...\MountPoints2: {70600312-0add-11e7-9d1d-fcaa1407c752} - E:\AutoRun.exe
HKU\S-1-5-21-4118632620-1047723075-1302474939-1000\...\MountPoints2: {7060033a-0add-11e7-9d1d-fcaa1407c752} - E:\AutoRun.exe
HKU\S-1-5-21-4118632620-1047723075-1302474939-1000\...\MountPoints2: {ba9d0538-8d0b-11e6-a668-fcaa1407c752} - D:\LEDEME.exe
S2 PiowP; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 PiowP; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 SoAtilaf; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 SoAtilaf; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S3 0175551473862306mcinstcleanup; C:\Users\admin\AppData\Local\Temp\017555~1.EXE -cleanup -nolog [X] <==== ATTENTION
2018-06-19 09:20 - 2018-06-19 09:20 - 000002446 _____ C:\Users\admin\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 09:19 - 2018-06-19 09:19 - 000002446 _____ C:\Users\admin\Documents\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 09:16 - 2018-06-19 09:16 - 000002446 _____ C:\Users\admin\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 09:16 - 2018-06-19 09:16 - 000002446 _____ C:\Users\admin\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
Reboot:
End::

 

Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено 19 июня, 2018 пользователем akoK
темпы не чистим

[masterovoi]

Прикрепил

Раньше на компе стояла программа слежения от компании РИТМ и судя по файлу pcn6 это от пультовой программы .

Что делать дальше ? 

Fixlog.txt

[akoK]

 

 

Раньше на компе стояла программа слежения от компании РИТМ и судя по файлу pcn6 это от пультовой программы

Файлы проверялись на wirustotal, я их не удалял. Хотя судя по логу их (файлов) не существует, проверьте, пожалуйста, если их нет, до деинсталируем

 

 

 

 

Скачайте AdwCleaner и сохраните его на Рабочем столе.

Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[masterovoi]

Угроз полно

А очистку производить этой программой ?

AdwCleanerS00.txt

[akoK]

Угроз полно

Это рекламное ПО

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

 

Уберу и мусор

 

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
MSCONFIG\startupreg:  QQPCTray => "C:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\QQPCTray.exe"  /regrun
MSCONFIG\startupreg: apphide => C:\Program Files (x86)\badu\uc.exe
MSCONFIG\startupreg: pcmgr => C:\Program Files (x86)\badu\Uninst.exe
MSCONFIG\startupreg: svchost0 => C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe
Reboot:
End::

 

Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Скачайте Malwarebytes' Anti-Malware. Установите.

На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

 

 

по поводу зашифрованных файлов https://safezone.cc/threads/vosstanovlenie-dannyx-iz-tenevyx-kopij.28533/(смотрите второй пост)

Изменено 19 июня, 2018 пользователем akoK

[masterovoi]

Файл после очистки идем дальше.

скрипт выполнил

Просканировал

Да а по поводу зашифрованных данных кнопка на файлах есть предыдущая версия а когда кликаешь пишет что версий

не обнаруженно

AdwCleanerC01.txt

Fixlog.txt

skan.txt