Шифровальщик combo (119)

[Hendehog]

Здравствуйте.

У нас в локальной сети поселился шифровальщик. Шифрует с расширением .combo

Прочистил все компы cureit и KVRT , но они не нашли Dharma или Crysis.

Как и сказали в предыдущей темы буду создавать отдельную тему по каждому ПК.

На этом компе были выявлены разные вирусы.

 

Комп пролечен.

Прошу сказать,пролечен ли он полностью,и этот ли комп является распространителем заразы combo?

Проблема в том,что не обнаружено ни одного компа на котором бы локально были зашифрованы файлы,только по сети зашифрованы.

Спасибо

CollectionLog-2018.10.10-10.05.zip

[SQ]

Здравствуйте,

Сообщите, пожалуйста знаком ли Вам следующий файл?

c:\windows\stkhpmon.exe

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Hendehog]

c:\windows\stkhpmon.exe - неизвестный мне файл.

 

AdwCleanerS00.txt

[SQ]

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('c:\windows\stkhpmon.exe', '');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Hendehog]

Файл сохранён как 181010_055545_quarantine_5bbd946156610.zip Размер файла 596 MD5

061e2c909e2da524fd5367a263c0461a

 

 

 

AdwCleanerC01.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Hendehog]

Прикрепил

Addition.txt

FRST.txt

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   

  CreateRestorePoint:
  CloseProcesses:
  File: C:\Windows\stkhpmon.exe
  Zip: C:\Windows\stkhpmon.exe;C:\Users\Admin\AppData\Local\Temp\KB15B41A654D511BFE.exe
  File: C:\Windows\system32\AmbRunE.dll
  Toolbar: HKU\S-1-5-21-1459129975-4059760831-3796336173-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Toolbar: HKU\S-1-5-21-1459129975-4059760831-3796336173-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx
  File: C:\Users\Admin\AppData\Local\Temp\utt82B.tmp.exe
  C:\Users\Admin\AppData\Local\Temp\utt82B.tmp.exe
  File: C:\Users\Admin\AppData\Local\Temp\KB15B41A654D511BFE.exe
  C:\Users\Admin\AppData\Local\Temp\KB15B41A654D511BFE.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

[Hendehog]

 

Результат загрузки

 

Файл сохранён как

 

181011_043653_11.10.2018_11.22.40_5bbed365071c6.zip

 

Размер файла

 

1815221

 

MD5

 

7098b6bc03f9b2f61e6a5f545228cfa8

 

Файл закачан, спасибо!

Fixlog.txt

[SQ]

Отправил карантин в Вир. лаб ожидайте результат.

[Hendehog]

Спасибо,буду ждать

[SQ]

Получил ответ:
 

В присланных Вами файлах не найдено ничего вредоносного.

 

Сообщите, что с проблемой?

[Hendehog]

С компьютером все в порядке.

[SQ]

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
     
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
     
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
     
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
     
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
     
• Прикрепите этот файл к своему следующему сообщению.

[Hendehog]

Приложил

SecurityCheck.txt