Александр Губанов 0 Опубликовано 19 декабря, 2018 Share Опубликовано 19 декабря, 2018 На каком-то компьютере в офисной сети словили шифровальщика, теперь часть файлов в расшаренных папках на серверах оказалась зашифрованной. Прошу помощи у сообщества. Прикладываю файл протоколов с моей машины. Прикладываю пример зашифрованного и оригинального файла, а также how_to_back_files.html. Добавляю логи программы Farbar Recovery Scan Tool. Насколько я понял, мой компьютер чист, заражен какой-то другой компьютер по сети. Подскажите, как найти зараженный компьютер? CollectionLog-2018.12.19-11.34.zip how_to_back_files.html Пример зашифрованного файла.7z Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 19 декабря, 2018 Share Опубликовано 19 декабря, 2018 Насколько я понял, мой компьютер чист, судя по логам заражён "Пофиксите" в HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://webalta.ru/search R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = http://webalta.ru/search R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://webalta.ru/search R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://webalta.ru/search O3-32 - HKLM\..\Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - C:\Windows\system32\mscoree.dll O22 - Task (.job): (Not scheduled) At10.job - C:\Windows\system32\rundll32.exe btivly.q,utlva O22 - Task (.job): (Not scheduled) At11.job - C:\Windows\system32\rundll32.exe btivly.q,sntxq O22 - Task (.job): (Not scheduled) At12.job - C:\Windows\system32\rundll32.exe btivly.q,gkzdwz O22 - Task (.job): (Not scheduled) At13.job - C:\Windows\system32\rundll32.exe btivly.q,fzzqhwj O22 - Task (.job): (Not scheduled) At14.job - C:\Windows\system32\rundll32.exe btivly.q,cxteitbi O22 - Task (.job): (Not scheduled) At15.job - C:\Windows\system32\rundll32.exe btivly.q,mrwakrnn O22 - Task (.job): (Not scheduled) At3.job - C:\Windows\system32\rundll32.exe btivly.q,wmgxmqo O22 - Task (.job): (Not scheduled) At4.job - C:\Windows\system32\rundll32.exe btivly.q,smttjen O22 - Task (.job): (Not scheduled) At5.job - C:\Windows\system32\rundll32.exe btivly.q,uqqogz O22 - Task (.job): (Not scheduled) At6.job - C:\Windows\system32\rundll32.exe btivly.q,vidorb O22 - Task (.job): (Not scheduled) At7.job - C:\Windows\system32\rundll32.exe btivly.q,ahhan O22 - Task (.job): (Not scheduled) At8.job - C:\Windows\system32\rundll32.exe btivly.q,yjtaxg O22 - Task (.job): (Not scheduled) At9.job - C:\Windows\system32\rundll32.exe btivly.q,wnyaxgw O22 - Task (.job): (Running) At1.job - C:\Windows\system32\rundll32.exe btivly.q,cwglryu O22 - Task (.job): (Running) At2.job - C:\Windows\system32\rundll32.exe btivly.q,yncvqzun O22 - Task: At1 - C:\Windows\system32\rundll32.exe btivly.q,cwglryu O22 - Task: At10 - C:\Windows\system32\rundll32.exe btivly.q,utlva O22 - Task: At11 - C:\Windows\system32\rundll32.exe btivly.q,sntxq O22 - Task: At12 - C:\Windows\system32\rundll32.exe btivly.q,gkzdwz O22 - Task: At13 - C:\Windows\system32\rundll32.exe btivly.q,fzzqhwj O22 - Task: At14 - C:\Windows\system32\rundll32.exe btivly.q,cxteitbi O22 - Task: At15 - C:\Windows\system32\rundll32.exe btivly.q,mrwakrnn O22 - Task: At2 - C:\Windows\system32\rundll32.exe btivly.q,yncvqzun O22 - Task: At3 - C:\Windows\system32\rundll32.exe btivly.q,wmgxmqo O22 - Task: At4 - C:\Windows\system32\rundll32.exe btivly.q,smttjen O22 - Task: At5 - C:\Windows\system32\rundll32.exe btivly.q,uqqogz O22 - Task: At6 - C:\Windows\system32\rundll32.exe btivly.q,vidorb O22 - Task: At7 - C:\Windows\system32\rundll32.exe btivly.q,ahhan O22 - Task: At8 - C:\Windows\system32\rundll32.exe btivly.q,yjtaxg O22 - Task: At9 - C:\Windows\system32\rundll32.exe btivly.q,wnyaxgw Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip Закачайте полученный архив, как описано на этой странице. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении. Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению. c:\programdata\jetproject\jetgui.exe c:\program files\enigma\picardzm service x64\picardz_service.exe эти программы вам знакомы? Насчёт рассшифровки, увы, обрадовать нечем. Это GlobeImposter 2.0, так что шансов нет. Ссылка на сообщение Поделиться на другие сайты
Александр Губанов 0 Опубликовано 19 декабря, 2018 Автор Share Опубликовано 19 декабря, 2018 (изменено) Спасибо за оперативный ответ! 1. Пофиксил "Пофиксите" в HijackThis: 2. Пополнил, файл получился 197 Мб Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: 3. Просканировал, лог прикладываю Скачайте AdwCleaner и сохраните его на Рабочем столе. 4. Да, эти программы я знаю, они нужны и они нормальные. Первая кейлоггер (использую для бэкапа набора текста, только локально, все ок), вторая банковское ПО. c:\programdata\jetproject\jetgui.exec:\program files\enigma\picardzm service x64\picardz_service.exeэти программы вам знакомы? Насчёт рассшифровки, увы, обрадовать нечем. Это GlobeImposter 2.0, так что шансов нет. Имеет ли смысл платить деньги авторам вируса? Вымогатели требуют 1 ID = 0.80 Bitcoin (BTC) To decrypt you need to pay 0.80 BTC AdwCleanerS00.txt Изменено 19 декабря, 2018 пользователем Александр Губанов Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 19 декабря, 2018 Share Опубликовано 19 декабря, 2018 Подскажите, как найти зараженный компьютер? много компов в сети? Просто остальные тоже могут быть заражены, желательно бы проверить и остальные. Имеет ли смысл платить деньги авторам вируса? это решать вам. Разумеется гарантий, что они вас не кинут никаких. И заплатив им вы их спонсируете на дальнейшее распрастранение шифратора.Вместо этого советуем написать заявление в полицию. C:\Users\Губанов\AppData\Local\Nichrome C:\Users\Губанов\AppData\Local\Xpom C:\ProgramData\FileCure C:\Users\Губанов\AppData\Local\Mail.Ru эти папки удалите вручную. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Ссылка на сообщение Поделиться на другие сайты
Александр Губанов 0 Опубликовано 22 декабря, 2018 Автор Share Опубликовано 22 декабря, 2018 Всем спасибо за помощь! Рекомендации выполнил, надеюсь, мой компьютер стал более защищен. Ссылка на сообщение Поделиться на другие сайты
Александр Губанов 0 Опубликовано 26 декабря, 2018 Автор Share Опубликовано 26 декабря, 2018 Всем спасибо за помощь! Рекомендации выполнил, надеюсь, мой компьютер стал более защищен. Вроде все полечили, но установил 12 версию Dr Web, запустил полное сканирование компьютера - нашел еще 18 вирусов в архивах. Что же мы лечили до этого Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 26 декабря, 2018 Share Опубликовано 26 декабря, 2018 Что же мы лечили до этого активное заражение. апустил полное сканирование компьютера - нашел еще 18 вирусов в архивах. так толку от того, что лежит у вас там в архивах в папке Downloads - пока вы его не запустите никакой угрозы он не представляет и в логах не светится. А для того, чтобы защитить вас от запуска левых файлов как раз и нужен антивирус, а также самому быть внимательным. Смотреть откуда качаете и что. Ссылка на сообщение Поделиться на другие сайты
mishatimtim 0 Опубликовано 18 июля, 2019 Share Опубликовано 18 июля, 2019 Интересно, как решилась данная проблема... Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 18 июля, 2019 Share Опубликовано 18 июля, 2019 @mishatimtim, здравствуйте! Не пишите в чужой теме, это нарушение правил текущего раздела. Создайте свою и выполните Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти