Перейти к содержанию

Рекомендуемые сообщения

Видел похожую тему, но если правильно понял, то нужно создать свою отдельную, так как настройки индивидуальные. 

На компе появился зловред и большую часть файлов переименовал. 

История событий. Примерно полтора часа назад в "моем компьюторе" стали видимыми системные диска А и В, при этом диски C, D и внешний жеский J оказались в общем доступе. Пользователь сразу отключил комп от сети, потом убрал общий доступ к дискам. После этого сказал мне, что большая часть файлов недоступна. 

Ни в одной папке не оказалось файлика с требованиями, по этому его не могу добавить. Но за то в файле hostes появилась уйма сайтов, его на всякий случай тоже прилагаю. Сам файл вируса не смогли пока обнаружить. 

Addition.txt FRST.txt host.txt Palto_03.jpg.id-744C1619.[openpgp@foxmail.com].zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Вынужден огорчить - это Crusis или Dharma (.cezar Family), расшифровки нет.

В системе также есть следы майнера. Будем чистить.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    () [File not signed] [File is in use] C:\ProgramData\Windows\rutserv.exe
    (Realtek Semiconductor) [File not signed] [File is in use] C:\ProgramData\RealtekHD\taskhostw.exe
    HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [3027968 2020-05-03] (Realtek Semiconductor) [File not signed] [File is in use] <==== ATTENTION
    HKLM\...\Run: [1pgp.exe] => C:\Users\Alexander\AppData\Roaming\1pgp.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize 
    HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer: [DisallowRun] 1
    HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
    HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
    HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
    HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
    HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
    HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
    HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
    HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
    HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
    HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
    HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-30] () [File not signed] [File is in use]
    Task: {2195C531-5EEC-4BA0-BA01-3F6F042485CE} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe [3027968 2020-05-03] (Realtek Semiconductor) [File not signed] [File is in use] <==== ATTENTION
    Task: {3CF57145-45CE-499B-8012-033978675041} - System32\Tasks\Microsoft\Windows\Wininet\Taskhostw => C:\Programdata\RealtekHD\taskhostw.exe [3027968 2020-05-03] (Realtek Semiconductor) [File not signed] [File is in use] <==== ATTENTION
    Task: {82F0DE2A-C5FD-4531-B712-84C3A21FC6C7} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe [3027968 2020-05-03] (Realtek Semiconductor) [File not signed] [File is in use] <==== ATTENTION
    Task: {FA4273C2-6377-4442-8DC9-FE08D57D56C2} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe [390144 2019-04-19] () [File not signed] [File is in use] <==== ATTENTION
    FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-09-19] <==== ATTENTION
    R2 RManService; C:\ProgramData\Windows\rutserv.exe [1789440 2016-01-23] () [File not signed] [File is in use]
    2020-06-30 13:49 - 2020-06-30 13:49 - 000001008 _____ C:\rdpwrap.txt
    2020-06-30 13:46 - 2010-09-20 22:47 - 000451221 _____ (Swan River Computers) C:\Users\john\Desktop\openpgp@foxmail.com.exe
    2020-06-30 13:42 - 2020-06-30 13:42 - 000094720 _____ C:\Windows\system32\1pgp.exe
    2020-06-03 13:27 - 2020-06-03 13:27 - 000000000 __SHD C:\rdp
    2020-06-03 13:27 - 2020-06-03 13:27 - 000000000 ___HD C:\Program Files\RDP Wrapper
    2020-06-02 18:37 - 2020-06-03 13:27 - 000000000 __SHD C:\ProgramData\WindowsTask
    2020-06-02 18:37 - 2020-06-03 13:27 - 000000000 __SHD C:\ProgramData\Windows
    2020-06-02 18:37 - 2020-06-03 13:27 - 000000000 __SHD C:\ProgramData\RealtekHD
    2020-06-02 18:37 - 2020-06-03 13:27 - 000000000 __SHD C:\ProgramData\install
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\RunDLL
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\Norton
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\McAfee
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\grizzly
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\ESET
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\AVAST Software
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\360safe
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\SpyHunter
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\Malwarebytes
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\Kaspersky Lab
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\ESET
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\Enigma Software Group
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\COMODO
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\Common Files\McAfee
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\Cezurity
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\ByteFence
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\AVG
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\AVAST Software
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\Panda Security
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\Cezurity
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\AVG
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\360
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\KVRT_Data
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\AdwCleaner
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 ____D C:\Windows\speechstracing
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 ____D C:\ProgramData\System32
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 ____D C:\ProgramData\MB3Install
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 ____D C:\ProgramData\Malwarebytes
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 ____D C:\ProgramData\Indus
    2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 ____D C:\ProgramData\Avira
    2020-05-08 19:52 - 2017-12-27 22:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
    FirewallRules: [{D89F066B-10FB-4B9B-83F1-DCA62A98C5F7}] => (Allow) C:\Users\Alexander\AppData\Local\Temp\DriverPack-20200602181456\tools\aria2c.exe => No File
    FirewallRules: [{986DACBD-63AD-4621-B486-FC24EB589C9D}] => (Allow) C:\Users\Alexander\AppData\Roaming\DRPSu\Alice\cloud.exe (DriverPack Solution) [File not signed] [File is in use]
    FirewallRules: [{245A7AF2-99CE-454D-8DE8-057085803944}] => (Block) LPort=445
    FirewallRules: [{4A0ED93C-BF66-4461-9DB3-674AA5C1BF21}] => (Block) LPort=445
    FirewallRules: [{38DDD849-1053-4D42-996B-CAB0EF2B5A41}] => (Block) LPort=139
    FirewallRules: [{50FFDEE4-1DFD-435C-AFD7-F49D46928494}] => (Block) LPort=139
    FirewallRules: [{CCD355F1-CE91-47FA-9F54-A7BA79409E91}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe (Microsoft Corporation) [File not signed] [File is in use]
    FirewallRules: [{D8FB1980-7C85-4BE4-AB7C-B5ACF5DD3A3F}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe (Microsoft Corporation) [File not signed] [File is in use]
    FirewallRules: [{6B234E2A-92BE-4FDF-ACA2-2757A556BA19}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
    FirewallRules: [{F99CACC1-9CCF-4202-BB82-C7B7FB551C22}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe (Microsoft Corporation) [File not signed] [File is in use]
    FirewallRules: [{13196038-9577-4A54-A061-D57CD3E9CAB4}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe (Microsoft Corporation) [File not signed] [File is in use]
    FirewallRules: [{058B7ECB-3C46-4558-AB9D-9CFA52215AEA}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
    FirewallRules: [{FB8FEA27-CA59-4F61-BF44-AB763A6F17DA}] => (Allow) LPort=9494
    FirewallRules: [{B5C48538-860F-4448-9388-C0FEA1446DF7}] => (Allow) LPort=9393
    FirewallRules: [{5FA19C28-C807-42BC-BF40-992057726D78}] => (Allow) LPort=9494
    FirewallRules: [{FF4274A9-E5BE-4A57-AB55-D84A2748539D}] => (Allow) LPort=9393
    FirewallRules: [{C5268424-2E60-41C8-B8B5-807742BC70A9}] => (Allow) C:\ProgramData\Windows\rutserv.exe () [File not signed] [File is in use]
    FirewallRules: [{744E9DF7-9301-483C-AB34-91D4E62ECCE4}] => (Block) LPort=445
    FirewallRules: [{FCAA143F-B92C-4212-959D-E9CF0A8635D7}] => (Block) LPort=445
    FirewallRules: [{70B21903-CE47-4C2F-83CD-9B4D4D37817C}] => (Block) LPort=139
    FirewallRules: [{46A16609-50E8-4D5D-A9EB-008289392569}] => (Block) LPort=139
    FirewallRules: [{5892A4A6-6D34-4B6D-95B0-A40A47EB981A}] => (Allow) LPort=3389
    FirewallRules: [{3CB31B43-9182-4954-843F-4962E7AFA56F}] => (Allow) LPort=3389
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Учетная запись john (S-1-5-21-4286488966-3068968956-327827636-1002 - Administrator - Enabled) => C:\Users\john - скорее всего вам неизвестна. Отключите и удалите.

Смените пароль на RDP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Покажете отчёт с символом Cxx.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Sandor доброго времени суток.Хотелось бы узнать стоит ли ожидать дешифратор?или всё же нереально победить этот вирус?встала вся работа,нужно спасти ворд фалы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@Евгений22331,

1. Не нарушайте правила раздела.

2. Ждать дешифратор не стоит. Бывает, что вымогатели сами выкладывают ключи через несколько лет, но случается такое очень редко.

 

@BkmzCv, проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 

Изменено пользователем Sandor

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

SecurityCheck.txt

 

А, ну и в целом я знаю главную причину этих проблем. На одном компе на РДП пароль был "1", а на втором вообще пароля не было. Естественно такого больше не произойдет. 

И очень важный момент - Вы сказали, что есть признаки майнера, а как от этого избавиться?

Изменено пользователем BkmzCv

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45672 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От shurban4ik
      возможно была попытка заражения компьютера шифровальщиком. из следов остался файлик пытаюсь понять вирус или не вирус.
      tempkey.teslarvngkeys
    • От bony_v
      здравствуйте, такая же проблема. зашифровались диски, поздно о,наружили, что завелась пакость. систему перегрузили, винда упала в синий экран смерти. переустановили виндовс на другой носитель, есть незагружающийся диск и файлы типа памятка.pdf[omegawatch@protonmail.com][fer].[B16BB075-0EB6059B] . данные не удаляли еще, но как запустить Farbar recovery FRST64 чтобы получить логи?
      по сути я запускаю на свежей, неповрежденной инфе и там нет упоминаний про вирус шифровальщик.
       
       
      FRST.zip
    • От Desa666
      Здравствуйте!
      Ночью, и видимо через RDP был атакован. Всё подверглось шифровке. Помогите, пожалуйста
      А как вложить файл в сообщение? (
      Через ссылку получилось CollectionLog-2020.07.07-19.04.zip
    • От r2d3
      Добрый день!
      На сервер 1С был пойман шифровальщик, скорее всего через RDP.
      Нет возможности запустить Farbar Recovery Scan Tool из среды восстановления Windows, AutoLogger либо KVRT.


      all your data has been locked us
      You want to return?
      Write email openpgp@foxmail.com

×
×
  • Создать...