Hendehog Опубликовано 8 октября, 2018 Опубликовано 8 октября, 2018 Здравствуйте. У нас в локальной сети поселился шифровальщик. Шифрует с расширением .combo Прочистил все компы cureit и KVRT , но они не нашли Dharma или Crysis. Как и сказали в предыдущей темы буду создавать отдельную тему по каждому ПК. На этом компе был выявлен Trojan.win32 Agent Nescsm Комп пролечен. Прошу сказать,пролечен ли он полностью,и этот ли комп является распространителем заразы combo? Проблема в том,что не обнаружено ни одного компа на котором бы локально были зашифрованы файлы,только по сети зашифрованы. Спасибо Прикрепленные файлы Прикрепленные файлы CollectionLog-2018.10.02-15.53.zip
Sandor Опубликовано 8 октября, 2018 Опубликовано 8 октября, 2018 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\drivers\{82d31bd7-bfa9-4508-a691-a2ea6b39195b}Gw.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys', ''); QuarantineFile('C:\Users\Admin\AppData\Local\smss.exe', ''); DeleteFile('C:\Windows\system32\drivers\{82d31bd7-bfa9-4508-a691-a2ea6b39195b}Gw.sys', '32'); DeleteFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys', '32'); DeleteFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys', '32'); DeleteFile('C:\Users\Admin\AppData\Local\smss.exe', '32'); DeleteFile('C:\Users\Admin\AppData\Local\smss.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus','command', '32'); DeleteService('{82d31bd7-bfa9-4508-a691-a2ea6b39195b}Gw'); DeleteService('{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw'); DeleteService('{a3f28269-ad17-41a8-b032-3e0313ef8979}w'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Прикрепите к следующему сообщению свежий CollectionLog.
regist Опубликовано 8 октября, 2018 Опубликовано 8 октября, 2018 + - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. (Эту процедуру лучше провести на всех компьютерах). И Бронток похоже уже пролечен, но всё-таки + Смените пароли, в первую очередь от почты. + Поставьте обновления системы.
Hendehog Опубликовано 9 октября, 2018 Автор Опубликовано 9 октября, 2018 Ошибка Too many actual parametrs в позиции 14:16 при попытке выполнить скрипт avz Снял новый лог автологерром+FRST + Выполнить 8 скрипт AVZ MD5 карантина: 3AE6A051F286533E88378F62205B031FРазмер файла: 15583092 байтСсылка на результаты анализа:Результаты анализа карантинаТема для обсуждения результатов анализа: Результаты анализа карантинаРезультаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение. "И Бронток похоже уже пролечен, но всё-таки" Здравствуйте. Скажите brontok это,не шифровальщик? Этот компьютер не причастен к шифрованию? CollectionLog-2018.10.09-09.51.zip Addition.txt FRST.txt
Sandor Опубликовано 9 октября, 2018 Опубликовано 9 октября, 2018 Ошибка Too many actual parametrs в позиции 14:16 при попытке выполнить скрипт avzAVZ используете из Автологера, т.е эту? C:\Users\Admin\Desktop\AutoLogger\AVZ\avz.exe В скрипте ошибок нет. Повторите скрипт в этой версии и соберите новый CollectionLog. brontok это,не шифровальщик?Нет, это сетевой червь.
Hendehog Опубликовано 9 октября, 2018 Автор Опубликовано 9 октября, 2018 (изменено) Да,конечно из автологера, для интереса и в простой avz попробовал,ошибка та же самая. Изменено 9 октября, 2018 пользователем Hendehog
Sandor Опубликовано 9 октября, 2018 Опубликовано 9 октября, 2018 В простой версии конечно будет ошибка. Логи в вашем сообщении №4 собраны также устаревшей версией Автологера. Удалите его вместе с папкой. Скачайте по ссылке из правил, соберите свежий CollectionLog (можно в первом окне нажать Shift, не будет перезагрузки). Лог можете не выкладывать, сразу выполните скрипт и после перезагрузки соберите еще раз свежий.
Hendehog Опубликовано 9 октября, 2018 Автор Опубликовано 9 октября, 2018 Я качал по этой ссылке tools.safezone.cc/drongo/AutoLogger/AutoLogger.zip взятой отсюда https://safezone.cc/resources/autologger-regist-drongo.59/updates#resource-update-74,видимо это и было ошибкой. Скачал из правил. Прикладываю. Так же прикладываю карантин т.к при отправке на почту Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный. Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем "infected" (без кавычек). Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Но вложение я делаю..скинул с ссылкой на скачивание - ответа нету. CollectionLog-2018.10.09-15.24.zip quarantine.zip
Sandor Опубликовано 9 октября, 2018 Опубликовано 9 октября, 2018 Карантин пустой. Это нормально. "Пофиксите" в HijackThis: R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}: [SuggestionsURL_JSON] = http://suggest.search.conduit.com/CSuggestJson.ashx?prefix={searchTerms} - Conduit Search R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}: [URL] = http://search.conduit.com/Results.aspx?ctid=CT3320196&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SPE4AAEDBF-94DC-46AF-8FD7-435E3D9B998B&q={searchTerms}&SSPV= - Conduit Search R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [SuggestionsURL] = http://suggests.go.mail.ru/ie8?q={SearchTerms} - Поиск@Mail.Ru R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [URL] = http://go.mail.ru/search?q={SearchTerms}&fr=ntg - Поиск@Mail.Ru O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O4 - MSConfig\startupreg: Bron-Spizaetus [command] = C:\Windows\ShellNew\sempalong.exe (HKLM) (2014/08/19) (file missing) O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\Admin\AppData\Local\MailRu\MailRuUpdater.exe (HKCU) (2014/08/19) (file missing) O4 - MSConfig\startupreg: Tok-Cirrhatus [command] = (HKCU) (2014/08/19) (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Скачать с Mipony: (default) = C:\Program Files\MiPony\Browser\IEContext.htm (file missing) Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Sandor Опубликовано 9 октября, 2018 Опубликовано 9 октября, 2018 Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве.
Hendehog Опубликовано 9 октября, 2018 Автор Опубликовано 9 октября, 2018 Прикрепляю AdwCleanerC00.txt
Sandor Опубликовано 9 октября, 2018 Опубликовано 9 октября, 2018 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Hendehog Опубликовано 9 октября, 2018 Автор Опубликовано 9 октября, 2018 Прикладываю Addition.txt FRST.txt
Sandor Опубликовано 9 октября, 2018 Опубликовано 9 октября, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: FF user.js: detected! => C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2014-07-29] 2018-10-09 16:36 - 2015-05-16 09:55 - 000000000 ____D C:\ProgramData\IObit 2018-10-09 16:36 - 2015-05-16 09:55 - 000000000 ____D C:\Program Files\Common Files\IObit 2018-10-09 16:36 - 2015-05-16 09:54 - 000000000 ____D C:\Users\Admin\AppData\Roaming\IObit 2014-04-05 21:10 - 2014-04-05 21:11 - 046917152 _____ (LLC Mail.Ru) C:\Users\Admin\AppData\Local\Temp\83ED.exe 2014-04-04 21:10 - 2014-04-04 21:11 - 046917152 _____ (LLC Mail.Ru) C:\Users\Admin\AppData\Local\Temp\ECE0.exe 2014-03-30 16:14 - 2014-07-29 21:57 - 006171168 ____N (Mail.Ru) C:\Users\Admin\AppData\Local\Temp\MailRuUpdater.exe 2015-06-28 11:33 - 2015-06-28 11:33 - 000181544 _____ () C:\Users\Admin\AppData\Local\Temp\offer-8B0AFF9B-D77F-41BB-AE71-53375185E310.exe Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти