Показано с 1 по 10 из 10.

BREAKING_BAD (заявка № 196664)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    01.02.2016
    Сообщений
    9
    Вес репутации
    30

    BREAKING_BAD

    Доброго Вам времени, уважаемые коллеги! Прошу Вашей помощи.
    У пользователя на ПК с админскими правами, во время работы в Сбис, вдруг перестали открываться некоторые документы. Пользователь сочтя за глюк, перезагрузил ПК. Установленный на этом ПК ESET NOD32 Antivirus4 (v.4.0.417.0), после перезагрузки, вдруг обнаруживает и помещает в карантин файл csrss.exe, идентифицируя его, как Injector.CQSA. Запущенный вручную сканер НОДы ни чего предосудительного не находит. Однако (!) аудит ресурсов выявил, как зашифрованные целиком директории, так и выборочные файлы.

    Картинка:

    Скрыть
    От вируса пострадали, по всей видимости, файлы 1С, MSO, а так же JPG. Но не всё, не все и не везде. Анализ системных логов и соотношение даты создания файлов, даёт основание полагать, что действия вири были остановлены в течении минут, по всей видимости, благодаря НОДе. После этого, все программы работают вполне штатно, однако, зашифрованные файлы остаются зашифрованными.
    Далее система была подвергнута изучением "Зайцевым". AVZ, в свою очередь, в каждом зашифрованном файле обнаружил признаки Exploit.MSPPoint.Agent.j (ну и еще, так, по мелочи, в логах увидите, зловредное уже по-прибито).
    Обращаюсь к Вам впервые письменно, потому как ранее находил все ответы здесь поиском. Сейчас же решения задачи, увы, не нашел. К посту прикладываю, требуемые Вами логи и ссыль для образцов зашифрованных файлов MSO. Буду благодарен за компетентный совет - стоит ли думать о спасении зашифрованных файлов или "понять и простить"?
    Изображения Изображения
    • Тип файла: jpg qq.jpg (55.4 Кб, 3 просмотров)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Grey Wolf, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member (OID) Репутация
    Регистрация
    01.02.2016
    Сообщений
    9
    Вес репутации
    30
    Доброго дня, коллеги!
    К ранее приложенным логам прикладываю отчёты FRST. Надеюсь на помощь!
    Вложения Вложения

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('globalroot\systemroot\system32\mschr.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ctfmon.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\svchost.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\svchost.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\autoload','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ntuser','command');
     DeleteFile('C:\WINDOWS\system32\drivers\ctfmon.exe','32');
     DeleteFile('globalroot\systemroot\system32\mschr.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

    Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. Это понравилось:


  7. #5
    Junior Member (OID) Репутация
    Регистрация
    01.02.2016
    Сообщений
    9
    Вес репутации
    30
    @thyrex, спасибо за отклик!
    Файлики карантина - выложены по "красной ссылке", логи приаттачены.
    Вложения Вложения

  8. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. Это понравилось:


  10. #7
    Junior Member (OID) Репутация
    Регистрация
    01.02.2016
    Сообщений
    9
    Вес репутации
    30
    thyrex, спасибо за участие!
    Логи FRST уже выкладывал, но, видимо, Вы их посчитали не актуальными.
    Выкладываю свежие.

    p.s. Наверное, уже пора переходить к платной части нашего сотрудничества? Или еще не все логи окончательно собраны?
    Вложения Вложения

  11. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Логи в порядке.

    С расшифровкой не поможем никаким образом
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. Это понравилось:


  13. #9
    Junior Member (OID) Репутация
    Регистрация
    01.02.2016
    Сообщений
    9
    Вес репутации
    30
    thyrex, доброе!
    Т.е. нет ни какого смысла оформлять Подписку на «Помощь в расшифровке файлов, пострадавщих от шифровальщиков»?
    Просто я всё это время полагал, что до этого мы с Вами собираем лишь данные; неукоснительно соблюдал правила и верно ждал! Может быть есть какая-то возможность помочь?

  14. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Grey Wolf Посмотреть сообщение
    Может быть есть какая-то возможность помочь?
    Увы, мы тоже не всесильны
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. Это понравилось:


Похожие темы

  1. Зашифрован в файлы "BREAKING_BAD" (.breaking_bad)
    От monolitik в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 25.01.2016, 21:48
  2. Шифратор breaking_bad
    От SiriusNSK в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 22.01.2016, 20:03
  3. Шифровальщик breaking_bad
    От Bagiit в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 29.12.2015, 20:25
  4. breaking_bad
    От Татьяна_22 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 10.12.2015, 23:19

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01161 seconds with 20 queries