Hendehog 0 Опубликовано 8 октября, 2018 Share Опубликовано 8 октября, 2018 Здравствуйте. У нас в локальной сети поселился шифровальщик. Шифрует с расширением .combo Прочистил все компы cureit и KVRT , но они не нашли Dharma или Crysis. Как и сказали в предыдущей темы буду создавать отдельную тему по каждому ПК. На этом компе был выявлен Trojan.win32 Agent Nescsm Комп пролечен. Прошу сказать,пролечен ли он полностью,и этот ли комп является распространителем заразы combo? Проблема в том,что не обнаружено ни одного компа на котором бы локально были зашифрованы файлы,только по сети зашифрованы. Спасибо Прикрепленные файлы Прикрепленные файлы CollectionLog-2018.10.02-15.53.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 8 октября, 2018 Share Опубликовано 8 октября, 2018 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\drivers\{82d31bd7-bfa9-4508-a691-a2ea6b39195b}Gw.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys', ''); QuarantineFile('C:\Users\Admin\AppData\Local\smss.exe', ''); DeleteFile('C:\Windows\system32\drivers\{82d31bd7-bfa9-4508-a691-a2ea6b39195b}Gw.sys', '32'); DeleteFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys', '32'); DeleteFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys', '32'); DeleteFile('C:\Users\Admin\AppData\Local\smss.exe', '32'); DeleteFile('C:\Users\Admin\AppData\Local\smss.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus','command', '32'); DeleteService('{82d31bd7-bfa9-4508-a691-a2ea6b39195b}Gw'); DeleteService('{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw'); DeleteService('{a3f28269-ad17-41a8-b032-3e0313ef8979}w'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 8 октября, 2018 Share Опубликовано 8 октября, 2018 + - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. (Эту процедуру лучше провести на всех компьютерах). И Бронток похоже уже пролечен, но всё-таки + Смените пароли, в первую очередь от почты. + Поставьте обновления системы. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 Ошибка Too many actual parametrs в позиции 14:16 при попытке выполнить скрипт avz Снял новый лог автологерром+FRST + Выполнить 8 скрипт AVZ MD5 карантина: 3AE6A051F286533E88378F62205B031FРазмер файла: 15583092 байтСсылка на результаты анализа:Результаты анализа карантинаТема для обсуждения результатов анализа: Результаты анализа карантинаРезультаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение. "И Бронток похоже уже пролечен, но всё-таки" Здравствуйте. Скажите brontok это,не шифровальщик? Этот компьютер не причастен к шифрованию? CollectionLog-2018.10.09-09.51.zip Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Ошибка Too many actual parametrs в позиции 14:16 при попытке выполнить скрипт avzAVZ используете из Автологера, т.е эту? C:\Users\Admin\Desktop\AutoLogger\AVZ\avz.exe В скрипте ошибок нет. Повторите скрипт в этой версии и соберите новый CollectionLog. brontok это,не шифровальщик?Нет, это сетевой червь. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 (изменено) Да,конечно из автологера, для интереса и в простой avz попробовал,ошибка та же самая. Изменено 9 октября, 2018 пользователем Hendehog Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 В простой версии конечно будет ошибка. Логи в вашем сообщении №4 собраны также устаревшей версией Автологера. Удалите его вместе с папкой. Скачайте по ссылке из правил, соберите свежий CollectionLog (можно в первом окне нажать Shift, не будет перезагрузки). Лог можете не выкладывать, сразу выполните скрипт и после перезагрузки соберите еще раз свежий. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 Я качал по этой ссылке tools.safezone.cc/drongo/AutoLogger/AutoLogger.zip взятой отсюда https://safezone.cc/resources/autologger-regist-drongo.59/updates#resource-update-74,видимо это и было ошибкой. Скачал из правил. Прикладываю. Так же прикладываю карантин т.к при отправке на почту Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный. Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем "infected" (без кавычек). Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Но вложение я делаю..скинул с ссылкой на скачивание - ответа нету. CollectionLog-2018.10.09-15.24.zip quarantine.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Карантин пустой. Это нормально. "Пофиксите" в HijackThis: R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}: [SuggestionsURL_JSON] = http://suggest.search.conduit.com/CSuggestJson.ashx?prefix={searchTerms} - Conduit Search R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}: [URL] = http://search.conduit.com/Results.aspx?ctid=CT3320196&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SPE4AAEDBF-94DC-46AF-8FD7-435E3D9B998B&q={searchTerms}&SSPV= - Conduit Search R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [SuggestionsURL] = http://suggests.go.mail.ru/ie8?q={SearchTerms} - Поиск@Mail.Ru R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [URL] = http://go.mail.ru/search?q={SearchTerms}&fr=ntg - Поиск@Mail.Ru O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O4 - MSConfig\startupreg: Bron-Spizaetus [command] = C:\Windows\ShellNew\sempalong.exe (HKLM) (2014/08/19) (file missing) O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\Admin\AppData\Local\MailRu\MailRuUpdater.exe (HKCU) (2014/08/19) (file missing) O4 - MSConfig\startupreg: Tok-Cirrhatus [command] = (HKCU) (2014/08/19) (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Скачать с Mipony: (default) = C:\Program Files\MiPony\Browser\IEContext.htm (file missing) Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 Готово AdwCleanerS00.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 Прикрепляю AdwCleanerC00.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 Прикладываю Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: FF user.js: detected! => C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2014-07-29] 2018-10-09 16:36 - 2015-05-16 09:55 - 000000000 ____D C:\ProgramData\IObit 2018-10-09 16:36 - 2015-05-16 09:55 - 000000000 ____D C:\Program Files\Common Files\IObit 2018-10-09 16:36 - 2015-05-16 09:54 - 000000000 ____D C:\Users\Admin\AppData\Roaming\IObit 2014-04-05 21:10 - 2014-04-05 21:11 - 046917152 _____ (LLC Mail.Ru) C:\Users\Admin\AppData\Local\Temp\83ED.exe 2014-04-04 21:10 - 2014-04-04 21:11 - 046917152 _____ (LLC Mail.Ru) C:\Users\Admin\AppData\Local\Temp\ECE0.exe 2014-03-30 16:14 - 2014-07-29 21:57 - 006171168 ____N (Mail.Ru) C:\Users\Admin\AppData\Local\Temp\MailRuUpdater.exe 2015-06-28 11:33 - 2015-06-28 11:33 - 000181544 _____ () C:\Users\Admin\AppData\Local\Temp\offer-8B0AFF9B-D77F-41BB-AE71-53375185E310.exe Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти