Перейти к содержанию

Заражение вирусом Harmahelp73@gmx.de.harma

Petroviser
 Поделиться

Рекомендуемые сообщения

Petroviser

Petroviser

Опубликовано
Опубликовано

Приветствую.

Произошло заражение на 2-х серверах. На всех стоял Kaspersky Endpoint Security для бизнеса–Стандартный. На момент заражения был удалён. Прилагаю зашифрованный файл, TXT с требованием и файлы протоколов с данных серверов. 

Если можно, опишите алгоритм действия данного виря. А то компов у нас ещё много, и убрать RDP на них нельзя.

Заранее благодарен.

CollectionLog-2019.09.02-14.39_smb.zip

FILES ENCRYPTED.txt

web.config.id-705911CB.Harmahelp73@gmx.de.rar

thyrex

thyrex

Опубликовано
Опубликовано

Вход по RDP после брута пароля и запуск шифратора вручную. Шифрует все, куда дотянется по сети. Расшифровки у антивирусных компаний нет.

 

Мешать в одной теме логи с разных машин не нужно. Оставьте с одной машины, почистим на ней мусор. По второй машине создавайте отдельную тему.

Petroviser

Petroviser

Опубликовано
  • Автор
Опубликовано

Понял. Спасибо.

Извините за ламерство, а как удалить файл лога из темы. Файл CollectionLog-2019.09.01-12.49_gpn.zip не нужен. 

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Администратор\AppData\Roaming\Info.hta','x64');
ExecuteSysClean;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • User-01001
      [РЕШЕНО] Заражение
      Автор User-01001
      Здравствуйте!
      Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
      Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
      Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
      Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
      К слову был активен RDP местами валялись логи.
       Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
      KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
      Нужна помощь добить бяку и восстановить что она там еще порушить успела
      CollectionLog-2025.05.03-10.34.zip
    • couitatg
      Очень странное и необычное заражение вирусом удалённого доступа
      Автор couitatg
      В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.
      После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.
      Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.
      Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.
      Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.
      Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.
      Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

      CollectionLog-2024.12.15-13.23.zip
    • vlanzzy
      Вредоносное заражение с task.vbs
      Автор vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • Dwight
      Возможное заражение компьютера
      Автор Dwight
      Думаю заразил Пк вирусами, так-как при банальном открытии браузера вентиляторы начинают активно набирать обороты, а работать в программах для монтажа стало просто невозможно, но все проблемы меня покидают после открытия диспетчера задач
       
      CollectionLog-2024.10.24-13.20.zip
    • РусланKотов
      Последствия заражения майнером
      Автор РусланKотов
      Добрый день, словил майнер около месяца назад, из за того что активировал систему windows с помощью KMS Auto, ошибку свою осознал уже когда было поздно. Стала грузиться видеокарта, не мог открыть ни один сайт антивируса и установить его соответственно, не открывались сайты,  на которых могли оказать помощь. Удалил майнер с помощью утилиты и на мою вторую ошибку - я забыл её название. Она обнаружила майнер и удалила его, после удаления я смог пользоваться браузером, диспетчер задач перестал закрываться, а игры тормозить. После этого я переустановил систему, использовав уже купленный официально ключ. А так же обновил биос материнской платы ибо боялся что вирус мог остаться в ней. Но сейчас наблюдаю то, что интернет на компьютере переодически сам отключается и пропадает доступ, помогает только перезагрузка роутера(Пользуюсь Wi-Fi), а так же иногда при открытии диспетчера задач сбрасывается частота процессора. Видеокарта в простое греется вплоть до 50 градусов, хотя она не нагружается мной ничем, как и сам компьютер. Как можно убедиться, что вируса больше нет и переживать не о чем? Так же купил лицензию Касперский премиум на год и проверил неоднократно полной проверкой новую установленную систему. Ничего помимо моей воли не закрывается и вроде бы работает как надо, антивирус не находит ничего подозрительного. Но после того как сходил с ума и не знал как удалить этот вирус - остался осадок можно сказать и до сих пор переживаю, а что если этот майнер мог влезть в память материнской платы и от туда каждый раз при установке новой ОС влезать... 
×
×
  • Создать...