Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте уважаемые.

Такая проблема,ловим вирус combo 3 раз.

Понятно,что лечить надо.

Но прикол в том,что не можем найти источник,компов в локалке 50+,ни на одном компе нет требований вируса.

Вирус заражает все сетевые папки расшаренные..точнее шифрует.

Подскажите как в такой сетке , найти комп источник.

Спасибо.

Опубликовано

Друзья,просканил кучу компов утилитой Kaspersky Virus Removal Tool.

Нашел следующие трояны:

 

HEUR:Trojan.WinLINK.StartPage.gena

Fsysna.dsen

HEUR:Trojan.AndroidOS.Boogr.gsh Trojan.VBS.Qhost.fw

Script Generic

JS.Miner Trojan

Trojan Script Generic

Win32 OpenCandy

Trojan.win32 Agent Nescsm

 

Trojan Ransom.NSIS Xamyh.aeo

 

Trojan Ransom Msi.Joker

 

 

Прошу подсказать ,какой из этих троянов является шифровальщиком .combo?

Ищу именно его.

Спасибо.

Извините,что тему оформил не в правильно порядке оформления запросов.

Опубликовано

Trojan Ransom.NSIS Xamyh.aeo

 

Trojan Ransom Msi.Joker

Похоже на эти угрозы, которые могут быть идентифицированы как шифровальщики. Но для обычно у первоисточника на рабочем столе должны присутствовать файлы злоумышлинников.
Опубликовано

 

Trojan Ransom.NSIS Xamyh.aeo

 

Trojan Ransom Msi.Joker

Похоже на эти угрозы, которые могут быть идентифицированы как шифровальщики. Но для обычно у первоисточника на рабочем столе должны присутствовать файлы злоумышлинников.

 

 

Я пролечил эти компы KVRT , сегодня ночью опять все зашифровалось.

Видимых признаков заражения,требований о выкупе я не могу найти ни на одном ПК!

Подскажите ,неужели собирать логи автологгером со всех компов?

Опубликовано

Проверьте, кто владелец этих зашифрованных файлов (если ПК в AD, то в некоторых случаях это может помочь), возможно это поможет найти первоисточник.
Также есть вероятность того, что может присутствовать угроза которая не детектируется антивирусными решениями.
Мы тут может долго гадать какой, необходимо также убедитесь, чтобы какой-то из ПК не был взломан из вне, в случае если в Вашей сети предусмотрено удаленное подключение по средствам RDP и т.п.

Опубликовано

Проверьте, кто владелец этих зашифрованных файлов (если ПК в AD, то в некоторых случаях это может помочь), возможно это поможет найти первоисточник.

Также есть вероятность того, что может присутствовать угроза которая не детектируется антивирусными решениями.

Мы тут может долго гадать какой, необходимо также убедитесь, чтобы какой-то из ПК не был взломан из вне, в случае если в Вашей сети предусмотрено удаленное подключение по средствам RDP и т.п.

 

 

Владелец сетевой компьютер на котором расшарены папки я уже посмотрел.Там вируса не может быть.

Согласен вероятность есть.

Какие ваши рекомендации,как нам вычислить?

Из представленных мною вирусов, собрать логи по по каким компам автологером рекомендуете?

Опубликовано

Из представленных мною вирусов, собрать логи по по каким компам автологером рекомендуете?

 

Начните предоставлять логи, не всех ПК. Одна тема = один компьютер.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...