crysis Шифровальщик combo (138)

[Hendehog]

Здравствуйте.

У нас в локальной сети поселился шифровальщик. Шифрует с расширением .combo

Прочистил все компы cureit и KVRT , но они не нашли Dharma или Crysis.

Как и сказали в предыдущей темы буду создавать отдельную тему по каждому ПК.

На этом компе были выявлены разные вирксы

Комп пролечен.

Прошу сказать,пролечен ли он полностью,и этот ли комп является распространителем заразы combo?

Проблема в том,что не обнаружено ни одного компа на котором бы локально были зашифрованы файлы,только по сети зашифрованы.

Спасибо

 

 

 

CollectionLog-2018.10.09-11.28.zip

[regist]

Здравствуйте!

 

целый зоопарк разной дряни .Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\08BB~1\AppData\Local\Temp\rserv35.tmp\newinstall.exe');
 StopService('ginoquci');
 StopService('povopilu');
 QuarantineFile('C:\Program Files (x86)\03000200-1449200555-0500-0006-000700080009\hnsjF5B6.tmp', '');
 QuarantineFile('C:\Program Files (x86)\03000200-1449200555-0500-0006-000700080009\jnsoDB03.tmp', '');
 QuarantineFile('C:\Program Files (x86)\03000200-1449200555-0500-0006-000700080009\knsp7E5E.tmp', '');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010168\gmsd_ru_005010168.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\ProgramData\Tmp0x0x\P', '');
 QuarantineFile('C:\Users\08BB~1\AppData\Local\Temp\nsa407D.tmp', '');
 QuarantineFile('C:\Users\08BB~1\AppData\Local\Temp\rserv35.tmp\newinstall.exe', '');
 QuarantineFile('C:\Users\Митрофаныч\AppData\Local\03000200-1449225800-0500-0006-000700080009\snsz6451.tmp', '');
 QuarantineFile('C:\Users\Митрофаныч\AppData\Local\gmsd_ru_005010168\upgmsd_ru_005010168.exe', '');
 QuarantineFile('C:\Users\Митрофаныч\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
 QuarantineFileF('c:\program files (x86)\gmsd_ru_005010168', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\митрофаныч\appdata\local\gmsd_ru_005010168', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\митрофаныч\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\03000200-1449200555-0500-0006-000700080009\hnsjF5B6.tmp', '');
 DeleteFile('C:\Program Files (x86)\03000200-1449200555-0500-0006-000700080009\jnsoDB03.tmp', '');
 DeleteFile('C:\Program Files (x86)\03000200-1449200555-0500-0006-000700080009\knsp7E5E.tmp', '');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010168\gmsd_ru_005010168.exe', '64');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '64');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '64');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '64');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '64');
 DeleteFile('C:\ProgramData\Tmp0x0x\P', '32');
 DeleteFile('C:\Users\08BB~1\AppData\Local\Temp\nsa407D.tmp', '');
 DeleteFile('C:\Users\08BB~1\AppData\Local\Temp\rserv35.tmp\newinstall.exe', '');
 DeleteFile('C:\Users\Митрофаныч\AppData\Local\03000200-1449225800-0500-0006-000700080009\snsz6451.tmp');
 DeleteFile('C:\Users\Митрофаныч\AppData\Local\gmsd_ru_005010168\upgmsd_ru_005010168.exe', '32');
 DeleteFile('C:\Users\Митрофаныч\AppData\Local\SmartWeb\SmartWebHelper.exe', '64');
 DeleteService('cihedyky');
 DeleteService('digisudo');
 DeleteService('fulewedu');
 DeleteService('ginoquci');
 DeleteService('povopilu');
 DeleteFileMask('c:\program files (x86)\gmsd_ru_005010168', '*', true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('c:\users\митрофаныч\appdata\local\gmsd_ru_005010168', '*', true);
 DeleteFileMask('c:\users\митрофаныч\appdata\local\smartweb', '*', true);
 DeleteDirectory('c:\program files (x86)\gmsd_ru_005010168');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteDirectory('c:\program files\spacesoundpro');
 DeleteDirectory('c:\programdata\timetasks');
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('c:\users\митрофаныч\appdata\local\gmsd_ru_005010168');
 DeleteDirectory('c:\users\митрофаныч\appdata\local\smartweb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010168', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce-', 'upgmsd_ru_005010168.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

трассировки маршрутов сами прописывали?

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Hendehog]

MD5 карантина: DFB31E5FE87C220B721D25FEC5C14A77
Размер файла: 5686662 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина
Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.

 

Трассировку я не прописывал...

Среди этого зоопарка есть то,что я ищу или тут всякая хрень типа амиго?

Файл карантин позже отправлю, если он еще будет необходим,забыл его скинуть,к компу пока сейчас доступа нету.

CollectionLog-2018.10.09-16.24.zip

[regist]

1) Пути вида

C:\Users\Митрофаныч\Desktop\Митрофаныч\восстановление\X-Boll\C\Documents and Settings\All Users\Start Menu\Programs\
C:\Users\Митрофаныч\Desktop\Митрофаныч\восстановление\X-Boll\C\WINDOWS\system32\config\systemprofile\Start Menu\Programs\
C:\Users\Митрофаныч\Desktop\Митрофаныч\восстановление\X-Boll\C\Documents and Settings\All Users\Start Menu\Programs\

действительно существуют или это утилита что-то неправильно выводит?

 

2) "Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.yoursites123.com/?type=hp&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLyGJ1BmizEHBo-ZzhtiJp3QFeYQonx5AM_rrDdQ2xJu7whWjwqawlQMKT_qaghBfQKHrZxLV8ZMmmhQjdqoC16J_Nb6V-1Cqzf89zEu_M5YHl4cgZ9_w8mJClwTDEcET2OMEECtJPwz30VoVAHe1_nladZ3Kn_-dSyjL8tQbQ,,&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.yoursites123.com/?type=hp&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yoursites123.com/web?type=ds&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yoursites123.com/web?type=ds&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.yoursites123.com/?type=hp&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.yoursites123.com/?type=hp&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yoursites123.com/web?type=ds&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yoursites123.com/web?type=ds&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.yoursites123.com/?type=hp&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLyGJ1BmizEHBo-ZzhtiJp3QFeYQonx5AM_rrDdQ2xJu7whWjwqawlQMKT_qaghBfQKHrZxLV8ZMmmhQjdqoC16J_Nb6V-1Cqzf89zEu_M5YHl4cgZ9_w8mJClwTDEcET2OMEECtJPwz30VoVAHe1_nladZ3Kn_-dSyjL8tQbQ,,&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\CF18624DC48F38DF8AE80BC1F9B612D3: [URL] = http://yoursites123.com/web?type=ds&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325&q={searchTerms} - yoursites123
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [URL] = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLyGJ1BmizEHBo-ZzhtiJp3QFeYQonx5AM_rrDdQ2xJu7whWjwqawlQMKT_qaghBfQKHrZxLV8ZMmmhQjdqoC16J_Nb6V-1Cqzf89zEu_M5YHl4cgZ9_w8mJClwTDEcET2OMEECtJPwz30VoVAHe1_nladZ3Kn_-dSyjL8tQbQ,,&q={searchTerms} - Search the web
R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: [URL] = http://yoursites123.com/web?type=ds&ts=1452229106&z=dd72fd586df4d00705a79e4gdzaw5oco8oct2e0bcw&from=wpm01073&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2F149132591325&q={searchTerms} - yoursites123
O2-32 - HKLM\..\BHO: (no name) - AutorunsDisabled - (no file)
O4 - (disabled) HKCU\..\Run-: [AppEx Accelerator UI] = C:\Program Files\AMD Quick Stream\AMDQuickStream.exe -h (file missing)
O4 - (disabled) HKU\S-1-5-19\..\Run-: [Sidebar] = C:\Program Files (x86)\Windows Sidebar\Sidebar.exe /autoRun (file missing)
O4 - HKCU\..\Run: [Browser Manager] = C:\Users\Митрофаныч\AppData\Local\Yandex\BrowserManager\MBLauncher.exe  (file missing)
O4 - MSConfig\startupfolder: C:^Users^Митрофаныч^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SmartWeb.lnk [backup] => C:\Users\Митрофаныч\AppData\Local\SmartWeb\SmartWebHelper.exe (2015/12/07) (file missing)
O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\Митрофаныч\AppData\Local\Mail.Ru\MailRuUpdater.exe (HKCU) (2015/12/07) (file missing)
O4 - MSConfig\startupreg: SmartWeb [command] = (HKLM) (2015/12/07) (no file)
O4 - MSConfig\startupreg: SpaceSoundPro [command] = (HKLM) (2015/12/07) (no file)
O4 - MSConfig\startupreg: Timestasks [command] = (HKLM) (2015/12/07) (no file)
O4 - MSConfig\startupreg: ZaxarGameBrowser [command] = (HKLM) (2015/12/07) (no file)
O4 - MSConfig\startupreg: ZaxarLoader [command] = (HKLM) (2015/12/07) (no file)
O4 - MSConfig\startupreg: amigo [command] = C:\Users\Митрофаныч\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (HKCU) (2015/12/07) (file missing)
O4 - MSConfig\startupreg: coupondo [command] = C:\Users\Митрофаныч\AppData\Local\coupondo\cpndostb.exe /run "C:\Users\Митрофаныч\AppData\Local\coupondo\config.json" (HKCU) (2015/12/07) (file missing)
O4 - MSConfig\startupreg: rec_en_77 [command] = C:\Program Files (x86)\rec_en_77\rec_en_77.exe (HKLM) (2015/12/07) (file missing)
O4-32 - (disabled) HKLM\..\Run-: [Raptr] = C:\Program Files (x86)\Raptr\raptrstub.exe --startup (file missing)
O4-32 - (disabled) HKLM\..\Run-: [StartCCC] = C:\Program Files (x86)\AMD\ATI.ACE\Core-Static\amd64\CLIStart.exe MSRun (file missing)
O22 - Task: \Microsoft\Windows Defender\MP Scheduled Scan - c:\program files\windows defender\MpCmdRun.exe Scan -ScheduleJob -WinTask -RestrictPrivilegesScan (file missing)

 

3)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

[Hendehog]

Пути действительно существуют,там находятся файлы системные с другого компа(это нормально).

AdwCleanerS00.txt

[regist]

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Hendehog]

Вот

AdwCleanerC00.txt

[regist]

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.
  

 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.