Добрый день!
Поймали вирус шифровальщик [email][email protected][/email]_ZA144.
Документы и даже dbf файлы в общих папках на сервере оказались шифрованные, обнаружили это сегодня.
Логи прикладываю (с сервера где общие папки)
Printable View
Добрый день!
Поймали вирус шифровальщик [email][email protected][/email]_ZA144.
Документы и даже dbf файлы в общих папках на сервере оказались шифрованные, обнаружили это сегодня.
Логи прикладываю (с сервера где общие папки)
Уважаемый(ая) [B]Pauls[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Похоже нашелся компьютер, который и был изначально инфицирован и с которого произошло шифрование всех данных на доступных сетевых папках.
Выкладываю логи с него:
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\bondarenko\AppData\Local\Temp\3fc64.exe','');
QuarantineFile('C:\Users\bondarenko\AppData\Local\Temp\3feb2.exe','');
QuarantineFile('C:\Users\bondarenko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\312.exe','');
QuarantineFile('C:\Users\bondarenko\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe','');
QuarantineFile('C:\Users\bondarenko\AppData\Local\Google\Update\gupdate.exe','');
QuarantineFile('C:\Users\bondarenko\AppData\Local\Microsoft\Windows\winupdate.exe','');
QuarantineFile('c:\users\bondarenko\appdata\roaming\noegy\roire.exe','');
TerminateProcessByName('c:\users\bondarenko\appdata\local\nvidia corporation\update\daemonupd.exe');
QuarantineFile('c:\users\bondarenko\appdata\local\nvidia corporation\update\daemonupd.exe','');
TerminateProcessByName('c:\users\bondarenko\appdata\local\temp\3fd6d.exe');
QuarantineFile('c:\users\bondarenko\appdata\local\temp\3fd6d.exe','');
QuarantineFile('c:\users\bondar~1\appdata\local\temp\3f970.exe','');
DeleteFile('c:\users\bondar~1\appdata\local\temp\3f970.exe','32');
DeleteFile('c:\users\bondarenko\appdata\local\temp\3fd6d.exe','32');
DeleteFile('c:\users\bondarenko\appdata\local\nvidia corporation\update\daemonupd.exe','32');
DeleteFile('C:\Users\bondarenko\AppData\Local\Microsoft\Windows\winupdate.exe','32');
DeleteFile('C:\Users\bondarenko\AppData\Local\Google\Update\gupdate.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
DeleteFile('C:\Users\bondarenko\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe','32');
DeleteFile('C:\Users\bondarenko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\312.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvUpdService');
DeleteFile('C:\Users\bondarenko\AppData\Roaming\Noegy\roire.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ahfoafaby');
DeleteFile('C:\Windows\Tasks\aqt0236m.job','64');
DeleteFile('C:\Windows\Tasks\At1.job','64');
DeleteFile('C:\Users\BONDAR~1\AppData\Local\Temp\20846866aq','32');
DeleteFile('C:\Windows\Tasks\At2.job','64');
DeleteFile('C:\Users\BONDAR~1\AppData\Local\Temp\20864681aq','32');
DeleteFile('C:\Windows\Tasks\pedze8.job','64');
DeleteFile('C:\Windows\Tasks\rkq7r8.job','64');
DeleteFile('C:\Users\bondarenko\AppData\Local\Temp\3feb2.exe','32');
DeleteFile('C:\Users\bondarenko\AppData\Local\Temp\3fc64.exe','32');
DeleteFile('C:\Windows\Tasks\swmfbnow.job','64');
DeleteFile('C:\Windows\system32\Tasks\aqt0236m','64');
DeleteFile('C:\Windows\system32\Tasks\At1','64');
DeleteFile('C:\Windows\system32\Tasks\At2','64');
DeleteFile('C:\Windows\system32\Tasks\pedze8','64');
DeleteFile('C:\Windows\system32\Tasks\rkq7r8','64');
DeleteFile('C:\Windows\system32\Tasks\swmfbnow','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Пофиксите в HiJack
[CODE]O1 - Hosts: 5.199.136.148 my.mail.ru
O1 - Hosts: 5.199.136.148 m.my.mail.ru
O1 - Hosts: 5.199.136.148 vk.com
O1 - Hosts: 5.199.136.148 ok.ru
O1 - Hosts: 5.199.136.148 m.vk.com
O1 - Hosts: 5.199.136.148 odnoklassniki.ru
O1 - Hosts: 5.199.136.148 vk.com
O1 - Hosts: 5.199.136.148 www.odnoklassniki.ru
O1 - Hosts: 5.199.136.148 m.odnoklassniki.ru
O1 - Hosts: 5.199.136.148 ok.ru
O1 - Hosts: 5.199.136.148 m.ok.ru
O1 - Hosts: 5.199.136.148 www.odnoklassniki.ru[/CODE]
Сделайте новые логи
Карантин отправил, выкладываю новые логи:
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Ну что какие то новости есть? Какие дальнейшие действия?
Лог HiJack старый
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Вот свежий лог HiJack
щас еще и лог Malwarebytes сделаю и прикреплю
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Вот лог Malwarebytes:
очень ждем ответа...
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все, [b]кроме[/b] [code]C:\Mini-KMS_Activator\Mini-KMS_Activator\mini-KMS_Activator_v1.072_EN\mini-KMS Activator EN\mKMSAct.exe (PUP.Hacktool) -> Действие не было предпринято.
C:\Mini-KMS_Activator\Mini-KMS_Activator\mini-KMS_Activator_v1.072_RU\mini-KMS Activator RU\mKMSAct.exe (PUP.Hacktool) -> Действие не было предпринято.
C:\Remove WAT 2.5\removewat.exe (HackTool.Wpakill) -> Действие не было предпринято.[/code]
почистил машину... последние логи:
Порядок
Дешифратором пока никто не поделился
[QUOTE=thyrex;1054957]Порядок
Дешифратором пока никто не поделился[/QUOTE]
Жаль ... если мой клиент надумает купить его, обязательно скину сюда.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\users\\bondarenko\\appdata\\local\\google\\update\\gupdate.exe - [B]Trojan.Win32.Agentb.adyk[/B] ( BitDefender: Trojan.GenericKDV.1342585, AVAST4: Win32:Trojan-gen )[*] c:\\users\\bondarenko\\appdata\\local\\microsoft\\windows\\winupdate.exe - [B]Trojan.Win32.Agentb.adyk[/B] ( BitDefender: Trojan.GenericKDV.1342585, AVAST4: Win32:Trojan-gen )[*] c:\\users\\bondarenko\\appdata\\local\\nvidia corporation\\update\\daemonupd.exe - [B]Trojan.Win32.Agentb.adyk[/B] ( BitDefender: Trojan.GenericKDV.1342585, AVAST4: Win32:Trojan-gen )[*] c:\\users\\bondarenko\\appdata\\local\\temp\\3fd6d.exe - [B]Backdoor.Win32.Buterat.faxd[/B] ( DrWEB: BackDoor.Butirat.302, BitDefender: Gen:Variant.Zusy.63365, AVAST4: Win32:Malware-gen )[*] c:\\users\\bondarenko\\appdata\\roaming\\noegy\\roire.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Gen:Variant.Kazy.269870, AVAST4: Win32:Malware-gen )[*] c:\\users\\bondar~1\\appdata\\local\\temp\\3f970.exe - [B]Trojan.Win32.Buzus.occs[/B] ( BitDefender: Gen:Variant.Zusy.66630, AVAST4: Win32:Malware-gen )[/LIST][/LIST]