Шифровальщик combo (124)

[Hendehog]

Здравствуйте.

У нас в локальной сети поселился шифровальщик. Шифрует с расширением .combo

Прочистил все компы cureit и KVRT , но они не нашли Dharma или Crysis.

Как и сказали в предыдущей темы буду создавать отдельную тему по каждому ПК.

На этом компе был выявлен 

Trojan.win32 Agent Nescsm

Комп пролечен.

Прошу сказать,пролечен ли он полностью,и этот ли комп является распространителем заразы combo?

Проблема в том,что не обнаружено ни одного компа на котором бы локально были зашифрованы файлы,только по сети зашифрованы.

Спасибо

Прикрепленные файлы

 

Прикрепленные файлы

CollectionLog-2018.10.02-15.53.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\drivers\{82d31bd7-bfa9-4508-a691-a2ea6b39195b}Gw.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys', '');
 QuarantineFile('C:\Users\Admin\AppData\Local\smss.exe', '');
 DeleteFile('C:\Windows\system32\drivers\{82d31bd7-bfa9-4508-a691-a2ea6b39195b}Gw.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys', '32');
 DeleteFile('C:\Users\Admin\AppData\Local\smss.exe', '32');
 DeleteFile('C:\Users\Admin\AppData\Local\smss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus','command', '32');
 DeleteService('{82d31bd7-bfa9-4508-a691-a2ea6b39195b}Gw');
 DeleteService('{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw');
 DeleteService('{a3f28269-ad17-41a8-b032-3e0313ef8979}w');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

[regist]

+  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. (Эту процедуру лучше провести на всех компьютерах).

 

И Бронток похоже уже пролечен, но всё-таки

+ Смените пароли, в первую очередь от почты.

+ Поставьте обновления системы.

[Hendehog]

Ошибка Too many actual parametrs в позиции 14:16 при попытке выполнить скрипт avz

Снял новый лог автологерром+FRST

+ Выполнить 8 скрипт AVZ

 

MD5 карантина: 3AE6A051F286533E88378F62205B031F
Размер файла: 15583092 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина
Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.

 

 

"И Бронток похоже уже пролечен, но всё-таки"

Здравствуйте.

Скажите brontok это,не шифровальщик? Этот компьютер не причастен к шифрованию?

 

 

 

 

CollectionLog-2018.10.09-09.51.zip

Addition.txt

FRST.txt

[Sandor]

Ошибка Too many actual parametrs в позиции 14:16 при попытке выполнить скрипт avz

AVZ используете из Автологера, т.е эту?

C:\Users\Admin\Desktop\AutoLogger\AVZ\avz.exe

 

В скрипте ошибок нет. Повторите скрипт в этой версии и соберите новый CollectionLog.

 

brontok это,не шифровальщик?

Нет, это сетевой червь.

[Hendehog]

 

Да,конечно из автологера, для интереса и в простой avz попробовал,ошибка та же самая.

 

Изменено 9 октября, 2018 пользователем Hendehog

[Sandor]

В простой версии конечно будет ошибка.

Логи в вашем сообщении №4 собраны также устаревшей версией Автологера.

Удалите его вместе с папкой. Скачайте по ссылке из правил, соберите свежий CollectionLog (можно в первом окне нажать Shift, не будет перезагрузки).

Лог можете не выкладывать, сразу выполните скрипт и после перезагрузки соберите еще раз свежий.

[Hendehog]

Я качал по этой ссылке tools.safezone.cc/drongo/AutoLogger/AutoLogger.zip взятой отсюда https://safezone.cc/resources/autologger-regist-drongo.59/updates#resource-update-74,видимо это и было ошибкой.

Скачал из правил.

Прикладываю.

Так же прикладываю карантин т.к при отправке на почту

 

Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный. Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем "infected" (без кавычек). Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

 

Но вложение я делаю..скинул с ссылкой на скачивание - ответа нету.

CollectionLog-2018.10.09-15.24.zip

quarantine.zip

[Sandor]

Карантин пустой. Это нормально.

 

"Пофиксите" в HijackThis:

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}: [SuggestionsURL_JSON] = http://suggest.search.conduit.com/CSuggestJson.ashx?prefix={searchTerms} - Conduit Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}: [URL] = http://search.conduit.com/Results.aspx?ctid=CT3320196&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SPE4AAEDBF-94DC-46AF-8FD7-435E3D9B998B&q={searchTerms}&SSPV= - Conduit Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [SuggestionsURL] = http://suggests.go.mail.ru/ie8?q={SearchTerms} - Поиск@Mail.Ru
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [URL] = http://go.mail.ru/search?q={SearchTerms}&fr=ntg - Поиск@Mail.Ru
O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - MSConfig\startupreg: Bron-Spizaetus [command] = C:\Windows\ShellNew\sempalong.exe (HKLM) (2014/08/19) (file missing)
O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\Admin\AppData\Local\MailRu\MailRuUpdater.exe (HKCU) (2014/08/19) (file missing)
O4 - MSConfig\startupreg: Tok-Cirrhatus [command] = (HKCU) (2014/08/19) (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Скачать с Mipony: (default) = C:\Program Files\MiPony\Browser\IEContext.htm (file missing)

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Hendehog]

Готово

AdwCleanerS00.txt

[Sandor]

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Hendehog]

Прикрепляю

AdwCleanerC00.txt

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Hendehog]

Прикладываю

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  FF user.js: detected! => C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2014-07-29]
  2018-10-09 16:36 - 2015-05-16 09:55 - 000000000 ____D C:\ProgramData\IObit
  2018-10-09 16:36 - 2015-05-16 09:55 - 000000000 ____D C:\Program Files\Common Files\IObit
  2018-10-09 16:36 - 2015-05-16 09:54 - 000000000 ____D C:\Users\Admin\AppData\Roaming\IObit
  2014-04-05 21:10 - 2014-04-05 21:11 - 046917152 _____ (LLC Mail.Ru) C:\Users\Admin\AppData\Local\Temp\83ED.exe
  2014-04-04 21:10 - 2014-04-04 21:11 - 046917152 _____ (LLC Mail.Ru) C:\Users\Admin\AppData\Local\Temp\ECE0.exe
  2014-03-30 16:14 - 2014-07-29 21:57 - 006171168 ____N (Mail.Ru) C:\Users\Admin\AppData\Local\Temp\MailRuUpdater.exe
  2015-06-28 11:33 - 2015-06-28 11:33 - 000181544 _____ () C:\Users\Admin\AppData\Local\Temp\offer-8B0AFF9B-D77F-41BB-AE71-53375185E310.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.