Перейти к содержанию

Шифровальщик combo (138)


Рекомендуемые сообщения

Здравствуйте.

У нас в локальной сети поселился шифровальщик. Шифрует с расширением .combo

Прочистил все компы cureit и KVRT , но они не нашли Dharma или Crysis.

Как и сказали в предыдущей темы буду создавать отдельную тему по каждому ПК.

На этом компе были выявлены разные вирксы

Комп пролечен.

Прошу сказать,пролечен ли он полностью,и этот ли комп является распространителем заразы combo?

Проблема в том,что не обнаружено ни одного компа на котором бы локально были зашифрованы файлы,только по сети зашифрованы.

Спасибо

 
 

 

CollectionLog-2018.10.09-11.28.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

целый зоопарк разной дряни :).Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\08BB~1\AppData\Local\Temp\rserv35.tmp\newinstall.exe');
 StopService('ginoquci');
 StopService('povopilu');
 QuarantineFile('C:\Program Files (x86)\03000200-1449200555-0500-0006-000700080009\hnsjF5B6.tmp', '');
 QuarantineFile('C:\Program Files (x86)\03000200-1449200555-0500-0006-000700080009\jnsoDB03.tmp', '');
 QuarantineFile('C:\Program Files (x86)\03000200-1449200555-0500-0006-000700080009\knsp7E5E.tmp', '');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010168\gmsd_ru_005010168.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\ProgramData\Tmp0x0x\P', '');
 QuarantineFile('C:\Users\08BB~1\AppData\Local\Temp\nsa407D.tmp', '');
 QuarantineFile('C:\Users\08BB~1\AppData\Local\Temp\rserv35.tmp\newinstall.exe', '');
 QuarantineFile('C:\Users\Митрофаныч\AppData\Local\03000200-1449225800-0500-0006-000700080009\snsz6451.tmp', '');
 QuarantineFile('C:\Users\Митрофаныч\AppData\Local\gmsd_ru_005010168\upgmsd_ru_005010168.exe', '');
 QuarantineFile('C:\Users\Митрофаныч\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
 QuarantineFileF('c:\program files (x86)\gmsd_ru_005010168', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\митрофаныч\appdata\local\gmsd_ru_005010168', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\митрофаныч\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\03000200-1449200555-0500-0006-000700080009\hnsjF5B6.tmp', '');
 DeleteFile('C:\Program Files (x86)\03000200-1449200555-0500-0006-000700080009\jnsoDB03.tmp', '');
 DeleteFile('C:\Program Files (x86)\03000200-1449200555-0500-0006-000700080009\knsp7E5E.tmp', '');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010168\gmsd_ru_005010168.exe', '64');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '64');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '64');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '64');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '64');
 DeleteFile('C:\ProgramData\Tmp0x0x\P', '32');
 DeleteFile('C:\Users\08BB~1\AppData\Local\Temp\nsa407D.tmp', '');
 DeleteFile('C:\Users\08BB~1\AppData\Local\Temp\rserv35.tmp\newinstall.exe', '');
 DeleteFile('C:\Users\Митрофаныч\AppData\Local\03000200-1449225800-0500-0006-000700080009\snsz6451.tmp');
 DeleteFile('C:\Users\Митрофаныч\AppData\Local\gmsd_ru_005010168\upgmsd_ru_005010168.exe', '32');
 DeleteFile('C:\Users\Митрофаныч\AppData\Local\SmartWeb\SmartWebHelper.exe', '64');
 DeleteService('cihedyky');
 DeleteService('digisudo');
 DeleteService('fulewedu');
 DeleteService('ginoquci');
 DeleteService('povopilu');
 DeleteFileMask('c:\program files (x86)\gmsd_ru_005010168', '*', true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('c:\users\митрофаныч\appdata\local\gmsd_ru_005010168', '*', true);
 DeleteFileMask('c:\users\митрофаныч\appdata\local\smartweb', '*', true);
 DeleteDirectory('c:\program files (x86)\gmsd_ru_005010168');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteDirectory('c:\program files\spacesoundpro');
 DeleteDirectory('c:\programdata\timetasks');
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('c:\users\митрофаныч\appdata\local\gmsd_ru_005010168');
 DeleteDirectory('c:\users\митрофаныч\appdata\local\smartweb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010168', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce-', 'upgmsd_ru_005010168.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

трассировки маршрутов сами прописывали?

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

MD5 карантина: DFB31E5FE87C220B721D25FEC5C14A77
Размер файла: 5686662 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина
Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.

 

Трассировку я не прописывал...

Среди этого зоопарка есть то,что я ищу или тут всякая хрень типа амиго?

Файл карантин позже отправлю, если он еще будет необходим,забыл его скинуть,к компу пока сейчас доступа нету.

CollectionLog-2018.10.09-16.24.zip

Ссылка на комментарий
Поделиться на другие сайты

1) Пути вида

C:\Users\Митрофаныч\Desktop\Митрофаныч\восстановление\X-Boll\C\Documents and Settings\All Users\Start Menu\Programs\
C:\Users\Митрофаныч\Desktop\Митрофаныч\восстановление\X-Boll\C\WINDOWS\system32\config\systemprofile\Start Menu\Programs\
C:\Users\Митрофаныч\Desktop\Митрофаныч\восстановление\X-Boll\C\Documents and Settings\All Users\Start Menu\Programs\

действительно существуют или это утилита что-то неправильно выводит?

 

2) "Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.yoursites123.com/?type=hp&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLyGJ1BmizEHBo-ZzhtiJp3QFeYQonx5AM_rrDdQ2xJu7whWjwqawlQMKT_qaghBfQKHrZxLV8ZMmmhQjdqoC16J_Nb6V-1Cqzf89zEu_M5YHl4cgZ9_w8mJClwTDEcET2OMEECtJPwz30VoVAHe1_nladZ3Kn_-dSyjL8tQbQ,,&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.yoursites123.com/?type=hp&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yoursites123.com/web?type=ds&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yoursites123.com/web?type=ds&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.yoursites123.com/?type=hp&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.yoursites123.com/?type=hp&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yoursites123.com/web?type=ds&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yoursites123.com/web?type=ds&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.yoursites123.com/?type=hp&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLyGJ1BmizEHBo-ZzhtiJp3QFeYQonx5AM_rrDdQ2xJu7whWjwqawlQMKT_qaghBfQKHrZxLV8ZMmmhQjdqoC16J_Nb6V-1Cqzf89zEu_M5YHl4cgZ9_w8mJClwTDEcET2OMEECtJPwz30VoVAHe1_nladZ3Kn_-dSyjL8tQbQ,,&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\CF18624DC48F38DF8AE80BC1F9B612D3: [URL] = http://yoursites123.com/web?type=ds&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325&q={searchTerms} - yoursites123
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [URL] = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLyGJ1BmizEHBo-ZzhtiJp3QFeYQonx5AM_rrDdQ2xJu7whWjwqawlQMKT_qaghBfQKHrZxLV8ZMmmhQjdqoC16J_Nb6V-1Cqzf89zEu_M5YHl4cgZ9_w8mJClwTDEcET2OMEECtJPwz30VoVAHe1_nladZ3Kn_-dSyjL8tQbQ,,&q={searchTerms} - Search the web
R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: [URL] = http://yoursites123.com/web?type=ds&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325&q={searchTerms} - yoursites123
O2-32 - HKLM\..\BHO: (no name) - AutorunsDisabled - (no file)
O4 - (disabled) HKCU\..\Run-: [AppEx Accelerator UI] = C:\Program Files\AMD Quick Stream\AMDQuickStream.exe -h (file missing)
O4 - (disabled) HKU\S-1-5-19\..\Run-: [Sidebar] = C:\Program Files (x86)\Windows Sidebar\Sidebar.exe /autoRun (file missing)
O4 - HKCU\..\Run: [Browser Manager] = C:\Users\Митрофаныч\AppData\Local\Yandex\BrowserManager\MBLauncher.exe  (file missing)
O4 - MSConfig\startupfolder: C:^Users^Митрофаныч^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SmartWeb.lnk [backup] => C:\Users\Митрофаныч\AppData\Local\SmartWeb\SmartWebHelper.exe (2015/12/07) (file missing)
O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\Митрофаныч\AppData\Local\Mail.Ru\MailRuUpdater.exe (HKCU) (2015/12/07) (file missing)
O4 - MSConfig\startupreg: SmartWeb [command] = (HKLM) (2015/12/07) (no file)
O4 - MSConfig\startupreg: SpaceSoundPro [command] = (HKLM) (2015/12/07) (no file)
O4 - MSConfig\startupreg: Timestasks [command] = (HKLM) (2015/12/07) (no file)
O4 - MSConfig\startupreg: ZaxarGameBrowser [command] = (HKLM) (2015/12/07) (no file)
O4 - MSConfig\startupreg: ZaxarLoader [command] = (HKLM) (2015/12/07) (no file)
O4 - MSConfig\startupreg: amigo [command] = C:\Users\Митрофаныч\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (HKCU) (2015/12/07) (file missing)
O4 - MSConfig\startupreg: coupondo [command] = C:\Users\Митрофаныч\AppData\Local\coupondo\cpndostb.exe /run "C:\Users\Митрофаныч\AppData\Local\coupondo\config.json" (HKCU) (2015/12/07) (file missing)
O4 - MSConfig\startupreg: rec_en_77 [command] = C:\Program Files (x86)\rec_en_77\rec_en_77.exe (HKLM) (2015/12/07) (file missing)
O4-32 - (disabled) HKLM\..\Run-: [Raptr] = C:\Program Files (x86)\Raptr\raptrstub.exe --startup (file missing)
O4-32 - (disabled) HKLM\..\Run-: [StartCCC] = C:\Program Files (x86)\AMD\ATI.ACE\Core-Static\amd64\CLIStart.exe MSRun (file missing)
O22 - Task: \Microsoft\Windows Defender\MP Scheduled Scan - c:\program files\windows defender\MpCmdRun.exe Scan -ScheduleJob -WinTask -RestrictPrivilegesScan (file missing)

 

3)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Ссылка на комментарий
Поделиться на другие сайты

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.


 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...