Шифровальщик combo (123)

[Hendehog]

Здравствуйте.

У нас в локальной сети поселился шифровальщик. Шифрует с расширением .combo

Прочистил все компы cureit и KVRT , но они не нашли Dharma или Crysis.

Как и сказали в предыдущей темы буду создавать отдельную тему по каждому ПК.

На данном компе был выявлены

HEUR:Trojan.WinLINK.StartPage.gena

Комп пролечен.

Прошу сказать,пролечен ли он полностью,и этот ли комп является распространителем заразы combo?

Проблема в том,что не обнаружено ни одного компа на котором бы локально были зашифрованы файлы,только по сети зашифрованы.

Спасибо

Прикрепленные файлы

 

Корзанова.zip

[regist]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Интернет - Ярлык.lnk', '');
 QuarantineFile('C:\Users\Агапитова Наталья\Desktop\Google Chrome.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

3)

WinZip [2010/08/09 12:08:39]-->"C:\Program Files\WinZip\WINZIP32.EXE" /uninstall

деинсталируйте.

4) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

5) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Hendehog]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Интернет - Ярлык.lnk', '');
 QuarantineFile('C:\Users\Агапитова Наталья\Desktop\Google Chrome.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

3)

WinZip [2010/08/09 12:08:39]-->"C:\Program Files\WinZip\WINZIP32.EXE" /uninstall

деинсталируйте.

 

4) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

5) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

 

1.MD5 карантина: D71C03D9EC466FFF2C81814D1CE77798

Размер файла: 68562436

В ходе анализа файла установлено, что он уже загружался ранее.

https://virusinfo.info/virusdetector/report.php?md5=D71C03D9EC466FFF2C81814D1CE77798

 

https://virusinfo.info/showthread.php?t=220461

 

2.Сделано

3.Не совсем понял как,вручную не удалось.

4,5 прикладываю

ClearLNK-2018.10.05_11.40.11.log

FRST.txt

Addition.txt

[regist]

1) Не надо заниматься оверквотингом. Есть поле для быстрого ответа внизу.

2) Тут вообще антивирус стоит? Вижу только старое рассширение  в браузере от Eset, а самого антивируса не вижу.

3) Это что за рассширения, они знакомы?

OPR Extension: (Dolka.ru) - C:\Users\Агапитова Наталья\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-04-28]
OPR Extension: (Dolka.ru) - C:\Users\\u0410\u0433\u0430\u043F\u0438\u0442\u043E\u0432\u0430 \u041D\u0430\u0442\u0430\u043B\u044C\u044F\AppData\Local\Yandex\YandexBrowser\Application\28.0.1500.9323\resources\web_store []
OPR Extension: (Dolka.ru) - C:\Users\\u0410\u0433\u0430\u043F\u0438\u0442\u043E\u0432\u0430 \u041D\u0430\u0442\u0430\u043B\u044C\u044F\AppData\Local\Yandex\YandexBrowser\Application\28.0.1500.9323\resources\ya_translator []
OPR Extension: (Dolka.ru) - C:\Users\\u0410\u0433\u0430\u043F\u0438\u0442\u043E\u0432\u0430 \u041D\u0430\u0442\u0430\u043B\u044C\u044F\AppData\Local\Yandex\YandexBrowser\Application\28.0.1500.9323\resources\bookmark_manager []
OPR Extension: (Dolka.ru) - C:\Users\\u0410\u0433\u0430\u043F\u0438\u0442\u043E\u0432\u0430 \u041D\u0430\u0442\u0430\u043B\u044C\u044F\AppData\Local\Yandex\YandexBrowser\Application\28.0.1500.9323\resources\tablo []
OPR Extension: (Dolka.ru) - C:\Users\\u0410\u0433\u0430\u043F\u0438\u0442\u043E\u0432\u0430 \u041D\u0430\u0442\u0430\u043B\u044C\u044F\AppData\Local\Yandex\YandexBrowser\Application\28.0.1500.9323\resources\settings_app []
OPR Extension: (Dolka.ru) - C:\Users\\u0410\u0433\u0430\u043F\u0438\u0442\u043E\u0432\u0430 \u041D\u0430\u0442\u0430\u043B\u044C\u044F\AppData\Local\Yandex\YandexBrowser\Application\28.0.1500.9323\resources\chrome_app []

если нет, то удалите их.

4) А также что это файл со странным названием?

C:\Users\Агапитова Наталья\Desktop\9hq

дата создания вчерашняя.

5)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.25.5\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.33.5\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.23.9\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.30.3\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.31.5\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.21.153\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.29.5\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.33.3\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.24.15\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{91A41FCC-BC02-42D8-A36E-0D27FF9BFFC8}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.33.7\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.22.3\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.21.165\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.32.7\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.29.1\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.25.11\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.22.5\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3423422621-4133991938-1393151636-1004_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Агапитова Наталья\AppData\Local\Google\Update\1.3.24.7\psuser.dll => No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[Hendehog]

Прикладываю

Fixlog.txt

[regist]

свежие логи FRST ещё раз сделайте.

[Hendehog]

1.Ок

2.Нет,антивируса нету.После чистки планирую поставить.

3.Нет не знакомы,но как их удалить? Браузеры которые эти расширения использовали давно удалены.

4.Неизвестный мне файл,удалил

Свежие логи

 

FRST.txt

Addition.txt

[regist]

 

 

3.Нет не знакомы,но как их удалить? Браузеры которые эти расширения использовали давно удалены. 4.Неизвестный мне файл,удалил

надо было в браузере через управление рассширениями, но раз браузеров уже нет, то скриптом дочищу.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Агапитова Наталья\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2015-12-26] [Legacy]
  FF Extension: (Поиск@Mail.Ru) - C:\Users\Агапитова Наталья\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2015-12-26] [Legacy] [not signed]
  OPR Extension: (Dolka.ru) - C:\Users\Агапитова Наталья\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-04-28]
  OPR Extension: (Dolka.ru) - C:\Users\\u0410\u0433\u0430\u043F\u0438\u0442\u043E\u0432\u0430 \u041D\u0430\u0442\u0430\u043B\u044C\u044F\AppData\Local\Yandex\YandexBrowser\Application\28.0.1500.9323\resources\web_store []
  OPR Extension: (Dolka.ru) - C:\Users\\u0410\u0433\u0430\u043F\u0438\u0442\u043E\u0432\u0430 \u041D\u0430\u0442\u0430\u043B\u044C\u044F\AppData\Local\Yandex\YandexBrowser\Application\28.0.1500.9323\resources\ya_translator []
  OPR Extension: (Dolka.ru) - C:\Users\\u0410\u0433\u0430\u043F\u0438\u0442\u043E\u0432\u0430 \u041D\u0430\u0442\u0430\u043B\u044C\u044F\AppData\Local\Yandex\YandexBrowser\Application\28.0.1500.9323\resources\bookmark_manager []
  OPR Extension: (Dolka.ru) - C:\Users\\u0410\u0433\u0430\u043F\u0438\u0442\u043E\u0432\u0430 \u041D\u0430\u0442\u0430\u043B\u044C\u044F\AppData\Local\Yandex\YandexBrowser\Application\28.0.1500.9323\resources\tablo []
  OPR Extension: (Dolka.ru) - C:\Users\\u0410\u0433\u0430\u043F\u0438\u0442\u043E\u0432\u0430 \u041D\u0430\u0442\u0430\u043B\u044C\u044F\AppData\Local\Yandex\YandexBrowser\Application\28.0.1500.9323\resources\settings_app []
  OPR Extension: (Dolka.ru) - C:\Users\\u0410\u0433\u0430\u043F\u0438\u0442\u043E\u0432\u0430 \u041D\u0430\u0442\u0430\u043B\u044C\u044F\AppData\Local\Yandex\YandexBrowser\Application\28.0.1500.9323\resources\chrome_app []
  Task: {F03777D2-CBBB-4045-AB4E-7E3F1700B5A5} - System32\Tasks\MailRuUpdater => C:\Users\Агапитова Наталья\AppData\Local\Mail.Ru\MailRuUpdater.exe <==== ATTENTION
  MSCONFIG\startupreg: MailRuUpdater => C:\Users\Агапитова Наталья\AppData\Local\Mail.Ru\MailRuUpdater.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[Hendehog]

Прикладываю

Fixlog.txt

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Sandor]

Дополню: этим скриптом можете проверить уязвимые места на всех пролеченных компьютерах.

[Hendehog]

Спасибо.

Скрипт сохраню.

Источник вируса не этот компьютер?

[Sandor]

Нет.

[Hendehog]

Большое спасибо.

Тему можно закрыть.