Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте.

У нас в локальной сети поселился шифровальщик. Шифрует с расширением .combo

Прочистил все компы cureit и KVRT , но они не нашли Dharma или Crysis.

Нашел один комп ,на котором как я подозреваю вирус появился изначально , полностью переустановил на нем систему с форматированием,но вирус время от времени в разные дни в разное время,как-то рандомно, шифрует наши файлы.

Думаю он мог как-т распространиться.

Обошел все ПК,явных признаков нет ни на каком компьютере.

Компов у нас много,я надеюсь отнесетесь с пониманием если я буду выкладывать логи в одной теме,а не создавать десятки тем.

Прошу вашей помощи,хочу выкладывать частями логи, штук по 10,очень надеюсь,что поможете найти источник заразы.

Заранее благодарен.

Логи собраны программой автологгер.

Название логов это я переименовал,чтобы идентифицировать если,что где какой комп)

Спасибо

 

 

9.zip

40.zip

52.zip

56.zip

96.zip

118.zip

124.zip

126.zip

129.zip

153.zip

160.zip

201.zip

Опубликовано

По сети шифровальщик не самораспространяется, только шифрует. Вам придется по каждому компьютеру создавать отдельную тему, потому как никто не будет сваливать рекомендации по каждому компьютеру в одну тему.

 

На компьютерах 9 и 40 ничего подозрительного.

Опубликовано (изменено)

По сети шифровальщик не самораспространяется, только шифрует. Вам придется по каждому компьютеру создавать отдельную тему, потому как никто не будет сваливать рекомендации по каждому компьютеру в одну тему.

 

На компьютерах 9 и 40 ничего подозрительного.

Хорошо.Создам по каждому отдельно. С тем , что я выложил, вы до ответите,или логи того,на что не ответили , перевыкладывать в отдельные темы?

По сети шифровальщик не самораспространяется, только шифрует. Вам придется по каждому компьютеру создавать отдельную тему, потому как никто не будет сваливать рекомендации по каждому компьютеру в одну тему.

 

На компьютерах 9 и 40 ничего подозрительного.

На компьютере 40,до автологера было лечение двумя утилитами.

Одна из них обнаружила 

Trojan Ransom Msi.Joker

 

Скажите, у вас отражается это в автологере? Типа файлы из карантина или что-то такое?

 

Либо все было вылечено настолько,что теперь и не узнать что это за вирусня там была?

Просто у меня есть список компов где трояны были,хочу понять какой был заразен,но по названиям там Dharma нету нигде...

Кстати гугл тоже про этот Joker особо ничего не выдает...

Изменено пользователем Hendehog
Опубликовано (изменено)

Jokes - класс программ шуток.

Шифровальщик будет Ransom. Trojan Ransom - как раз и есть шифратор.

Изменено пользователем regist
Опубликовано

Jokes - класс программ шуток.

Шифровальщик будет Ransom. Trojan Ransom - как раз и есть шифратор.

Trojan Ransom Msi.Joker - шифровальщик шутник?)

Есть два компа с Ransom

Trojan Ransom.NSIS Xamyh.aeo

Trojan Ransom Msi.Joker

 

Они оба пролечены,один из них как раз 40,про который выше сказали,что чистый.

Мне просто интересно выяснить,если вирус уже повержен,то где он был..

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...