Шифровальщик combo (89)

[Hendehog 0]

Здравствуйте.

У нас в локальной сети поселился шифровальщик. Шифрует с расширением .combo

Прочистил все компы cureit и KVRT , но они не нашли Dharma или Crysis.

Как и сказали в предыдущей темы буду создавать отдельную тему по каждому ПК.

На этом компе были выявлены разные вирусы.

 

Комп пролечен.

Прошу сказать,пролечен ли он полностью,и этот ли комп является распространителем заразы combo?

Проблема в том,что не обнаружено ни одного компа на котором бы локально были зашифрованы файлы,только по сети зашифрованы.

Спасибо

 

 

CollectionLog-2018.10.10-09.50.zip

[SQ 785]

Здравствуйте,


- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Hendehog 0]

Прикладываю.

AdwCleanerS00.txt

[SQ 785]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

PUP.Optional.Legacy             HKLM\Software\DeviceVM Inc.

[Hendehog 0]

Прикладываю

AdwCleanerC01.txt

AdwCleanerS01.txt

[SQ 785]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Hendehog 0]

Прикрепил

Addition.txt

FRST.txt

[SQ 785]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  File: C:\Windows\System32\srvany.exe
  File: C:\Windows\KMService.exe
  File: C:\Windows\system32\AmbRunE.dll
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  File: C:\Windows\System32\DRIVERS\AsrAppCharger.sys
  File: C:\Windows\System32\DRIVERS\snp2uvc.sys 
  File: C:\Users\Admin\AppData\Local\Temp\GURA1D3.exe
  File: C:\Users\Admin\AppData\Local\Temp\GURC8.exe
  Zip: C:\Users\Admin\AppData\Local\Temp\GURA1D3.exe;C:\Users\Admin\AppData\Local\Temp\GURC8.exe
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

[Hendehog 0]

 

Результат загрузки

 

Файл сохранён как

 

181011_043546_11.10.2018_11.11.03_5bbed322d4358.zip

 

Размер файла

 

214

 

MD5

 

c906058bf54806dbffe4a6d6bc0b1f92

 

Файл закачан, спасибо!

Fixlog.txt

[SQ 785]

Сообщите, что с проблемой?

[Hendehog 0]

Сообщите, что с проблемой?

Проблем никаких не наблюдаю.

[SQ 785]

В завершение:
1.

• 
     
• Пожалуйста, запустите adwcleaner.exe
     
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
     
• Подтвердите удаление, нажав кнопку: Да.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• 
    
• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
     
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
     
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
     
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
     
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
     
• Прикрепите этот файл к своему следующему сообщению.
  

[Hendehog 0]

Прикладываю

SecurityCheck.txt

[SQ 785]

------------------------------ [ Windows ] -------------------------------
Internet Explorer 10.0.9200.16736 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2013-11-22 03:16:15
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET NOD32 Antivirus v.4.2.64.12 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.10 (32-разрядная) v.4.10.0 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5 v.3.50.0000 Внимание! Программа удаленного доступа!
Radmin Server 3.5 v.3.50.0000 Внимание! Программа удаленного доступа!
--------------------------- [ AppleProduction ] ---------------------------
QuickTime v.7.69.80.9 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
Bonjour v.2.0.5.0 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
iTunes v.10.3.1.55 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader X (10.1.0) - Russian v.10.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.