Перейти к содержанию

Шифровальщик combo (124)


Рекомендуемые сообщения

Здравствуйте.


У нас в локальной сети поселился шифровальщик. Шифрует с расширением .combo


Прочистил все компы cureit и KVRT , но они не нашли Dharma или Crysis.


Как и сказали в предыдущей темы буду создавать отдельную тему по каждому ПК.


На этом компе был выявлен 



Trojan.win32 Agent Nescsm

Комп пролечен.


Прошу сказать,пролечен ли он полностью,и этот ли комп является распространителем заразы combo?


Проблема в том,что не обнаружено ни одного компа на котором бы локально были зашифрованы файлы,только по сети зашифрованы.


Спасибо


Прикрепленные файлы

 


Прикрепленные файлы

CollectionLog-2018.10.02-15.53.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\drivers\{82d31bd7-bfa9-4508-a691-a2ea6b39195b}Gw.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys', '');
 QuarantineFile('C:\Users\Admin\AppData\Local\smss.exe', '');
 DeleteFile('C:\Windows\system32\drivers\{82d31bd7-bfa9-4508-a691-a2ea6b39195b}Gw.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys', '32');
 DeleteFile('C:\Users\Admin\AppData\Local\smss.exe', '32');
 DeleteFile('C:\Users\Admin\AppData\Local\smss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus','command', '32');
 DeleteService('{82d31bd7-bfa9-4508-a691-a2ea6b39195b}Gw');
 DeleteService('{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw');
 DeleteService('{a3f28269-ad17-41a8-b032-3e0313ef8979}w');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

+  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. (Эту процедуру лучше провести на всех компьютерах).

 

И Бронток похоже уже пролечен, но всё-таки

+ Смените пароли, в первую очередь от почты.

+ Поставьте обновления системы.

Ссылка на комментарий
Поделиться на другие сайты


Ошибка Too many actual parametrs в позиции 14:16 при попытке выполнить скрипт avz

Снял новый лог автологерром+FRST

+ Выполнить 8 скрипт AVZ

 

MD5 карантина: 3AE6A051F286533E88378F62205B031F
Размер файла: 15583092 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина
Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.

 

 

"И Бронток похоже уже пролечен, но всё-таки"

Здравствуйте.

Скажите brontok это,не шифровальщик? Этот компьютер не причастен к шифрованию?

 

 

 

 

CollectionLog-2018.10.09-09.51.zip

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Ошибка Too many actual parametrs в позиции 14:16 при попытке выполнить скрипт avz

AVZ используете из Автологера, т.е эту?

C:\Users\Admin\Desktop\AutoLogger\AVZ\avz.exe

 

В скрипте ошибок нет. Повторите скрипт в этой версии и соберите новый CollectionLog.

 

brontok это,не шифровальщик?

Нет, это сетевой червь.
Ссылка на комментарий
Поделиться на другие сайты

 

Да,конечно из автологера, для интереса и в простой avz попробовал,ошибка та же самая.

 

post-50909-0-84006800-1539062536_thumb.png

Изменено пользователем Hendehog
Ссылка на комментарий
Поделиться на другие сайты

В простой версии конечно будет ошибка.

Логи в вашем сообщении №4 собраны также устаревшей версией Автологера.

Удалите его вместе с папкой. Скачайте по ссылке из правил, соберите свежий CollectionLog (можно в первом окне нажать Shift, не будет перезагрузки).

Лог можете не выкладывать, сразу выполните скрипт и после перезагрузки соберите еще раз свежий.

Ссылка на комментарий
Поделиться на другие сайты

Я качал по этой ссылке tools.safezone.cc/drongo/AutoLogger/AutoLogger.zip взятой отсюда https://safezone.cc/resources/autologger-regist-drongo.59/updates#resource-update-74,видимо это и было ошибкой.

Скачал из правил.

Прикладываю.

Так же прикладываю карантин т.к при отправке на почту

 

Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный. Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем "infected" (без кавычек). Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

 

Но вложение я делаю..скинул с ссылкой на скачивание - ответа нету.

CollectionLog-2018.10.09-15.24.zip

quarantine.zip

Ссылка на комментарий
Поделиться на другие сайты

Карантин пустой. Это нормально.

 

"Пофиксите" в HijackThis:

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}: [SuggestionsURL_JSON] = http://suggest.search.conduit.com/CSuggestJson.ashx?prefix={searchTerms} - Conduit Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}: [URL] = http://search.conduit.com/Results.aspx?ctid=CT3320196&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SPE4AAEDBF-94DC-46AF-8FD7-435E3D9B998B&q={searchTerms}&SSPV= - Conduit Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [SuggestionsURL] = http://suggests.go.mail.ru/ie8?q={SearchTerms} - Поиск@Mail.Ru
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [URL] = http://go.mail.ru/search?q={SearchTerms}&fr=ntg - Поиск@Mail.Ru
O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - MSConfig\startupreg: Bron-Spizaetus [command] = C:\Windows\ShellNew\sempalong.exe (HKLM) (2014/08/19) (file missing)
O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\Admin\AppData\Local\MailRu\MailRuUpdater.exe (HKCU) (2014/08/19) (file missing)
O4 - MSConfig\startupreg: Tok-Cirrhatus [command] = (HKCU) (2014/08/19) (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Скачать с Mipony: (default) = C:\Program Files\MiPony\Browser\IEContext.htm (file missing)
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    FF user.js: detected! => C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2014-07-29]
    2018-10-09 16:36 - 2015-05-16 09:55 - 000000000 ____D C:\ProgramData\IObit
    2018-10-09 16:36 - 2015-05-16 09:55 - 000000000 ____D C:\Program Files\Common Files\IObit
    2018-10-09 16:36 - 2015-05-16 09:54 - 000000000 ____D C:\Users\Admin\AppData\Roaming\IObit
    2014-04-05 21:10 - 2014-04-05 21:11 - 046917152 _____ (LLC Mail.Ru) C:\Users\Admin\AppData\Local\Temp\83ED.exe
    2014-04-04 21:10 - 2014-04-04 21:11 - 046917152 _____ (LLC Mail.Ru) C:\Users\Admin\AppData\Local\Temp\ECE0.exe
    2014-03-30 16:14 - 2014-07-29 21:57 - 006171168 ____N (Mail.Ru) C:\Users\Admin\AppData\Local\Temp\MailRuUpdater.exe
    2015-06-28 11:33 - 2015-06-28 11:33 - 000181544 _____ () C:\Users\Admin\AppData\Local\Temp\offer-8B0AFF9B-D77F-41BB-AE71-53375185E310.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...