Вирус шифровальщик на сетевом диске ([email protected]) Много важных доков. [Trojan.Win32.Scarsi.zru ]

Printable View

12.11.2015, 16:47
DiNeo

Вложений: 3

Вирус шифровальщик на сетевом диске ([email protected]) Много важных доков. [Trojan.Win32.Scarsi.zru ]

Добрый день!
Извиняюсь если повтор, но почему-то не отобразил созданную тему и в профиле нет. Ушел на свой ноут и пишу уже с него.
Словила бухгалтерия письмо от "Сбербанка". Пока меня позвали троян начал обрабатывать сетевой диск. Доработать ему не дали. Система почищена CureIT. Картинки с вымогательством не было. Добавляю все необходимые логи.
Немного странное поведение трояна в том что файлы на системном диске не зашифрованы. а другие 2 диска и часть сетевого пострадали.
По поведению на сетевом диске было видно что работает по алфавиту.
Работал 2 дня. Вчера около 3-4 часов и сегодня 1,5-2 часа, в связи с этим названия отличаются.

[EMAIL="[email protected]"][email protected][/EMAIL]-CL 1.0.0.0.id-AAXNYPOKROFWVYQNFPUMKOTDQIARJNMWIZRV-11.11.2015 [email]11@[email protected][/email]

[EMAIL="[email protected]"][email protected][/EMAIL]-CL 1.0.0.0.id-DPRTBMKINLPNZYRPVZSQBLPNLPHRDNYJPHNR-12.11.2015 [email]7@[email protected][/email]

Данные два файлика могу отправить по почте в коллекцию, это фото и архив с ними весит около 7 метров.

Заранее спасибо! Надеюсь на оперативную помощь. С уважением.
12.11.2015, 16:49
Info_bot

Уважаемый(ая) [B]DiNeo[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
12.11.2015, 20:51
thyrex

[quote="DiNeo;1331437"]Данные два файлика могу отправить по почте в коллекцию, это фото и архив с ними весит около 7 метров[/quote]
На обменник без капчи и ожидания выложите и пришлите ссылку

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.
13.11.2015, 07:36
DiNeo

Вложений: 2

Готово, в течении полу часа скину файлики.
13.11.2015, 17:58
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF NetworkProxy: "backup.ftp", "192.168.1.10"
FF NetworkProxy: "backup.ftp_port", 1328
FF NetworkProxy: "backup.gopher", "192.168.1.10"
FF NetworkProxy: "backup.gopher_port", 1328
FF NetworkProxy: "backup.socks", "192.168.1.10"
FF NetworkProxy: "backup.socks_port", 1328
FF NetworkProxy: "backup.ssl", "192.168.1.10"
FF NetworkProxy: "backup.ssl_port", 1328
FF NetworkProxy: "ftp", "192.168.1.10"
FF NetworkProxy: "ftp_port", 3128
FF NetworkProxy: "gopher", "192.168.1.10"
FF NetworkProxy: "gopher_port", 3128
FF NetworkProxy: "http", "192.168.1.10"
FF NetworkProxy: "http_port", 3128
FF NetworkProxy: "share_proxy_settings", true
FF NetworkProxy: "socks", "192.168.1.10"
FF NetworkProxy: "socks_port", 3128
FF NetworkProxy: "ssl", "192.168.1.10"
FF NetworkProxy: "ssl_port", 3128
FF NetworkProxy: "type", 0
2015-11-12 14:52 - 2015-11-12 14:52 - 00000000 ____D C:\Device
2015-11-12 07:53 - 2015-11-12 07:53 - 0000064 _____ () C:\Program Files\DVVZIXBRMY.UMW
2015-11-12 08:55 - 2015-11-12 08:55 - 0000064 _____ () C:\Program Files\DYJKXPQDKW.TSI
2015-11-11 11:26 - 2015-11-11 11:26 - 0000065 _____ () C:\Program Files\TGIKTJBSIS.STW
2010-11-12 13:10 - 2010-11-19 13:16 - 0008891 _____ () C:\Program Files\Common Files\jqyrg4inedzz13m
CustomCLSID: HKU\S-1-5-21-299502267-630328440-1606980848-1004_Classes\CLSID\{144e696e-5d45-49b9-94bd-507f7462eb84}\InprocServer32 -> C:\Documents and Settings\Соколова\Local Settings\Temp\v8_13A_ed.tmp => No File
CustomCLSID: HKU\S-1-5-21-299502267-630328440-1606980848-1004_Classes\CLSID\{1a87d67b-23d3-4b8f-9f9b-7cd30c1c95bd}\InprocServer32 -> C:\Documents and Settings\Соколова\Local Settings\Temp\v8_13A_ed.tmp => No File
CustomCLSID: HKU\S-1-5-21-299502267-630328440-1606980848-1004_Classes\CLSID\{3139de55-4560-4239-9330-2230f9b89929}\InprocServer32 -> C:\Documents and Settings\Соколова\Local Settings\Temp\v8_13A_ed.tmp => No File
CustomCLSID: HKU\S-1-5-21-299502267-630328440-1606980848-1004_Classes\CLSID\{767f9370-451a-43b0-b590-d32f7b1e5f8c}\InprocServer32 -> C:\Documents and Settings\Соколова\Local Settings\Temp\v8_13A_ed.tmp => No File
CustomCLSID: HKU\S-1-5-21-299502267-630328440-1606980848-1004_Classes\CLSID\{a12ffdf7-199d-4469-8c20-98a3de73ed2c}\InprocServer32 -> C:\Documents and Settings\Соколова\Local Settings\Temp\v8_13A_ed.tmp => No File
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
16.11.2015, 07:34
DiNeo

Вложений: 1

готово
15.12.2015, 13:37
DiNeo

Вложений: 3

Я плачу, опять... благо в этот раз раньше успели... но опять тот же бухгалтерский комп. На сколько понимаю, как-то запустился тот же который был и месяц назад.
Прилагаю файлики из авз и прочее по стандарту.
Зашифрованный файлик вышлю в личку.
Помогите вычистить гадость.
15.12.2015, 21:20
thyrex

[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\Решение суда.doc.exe','');
DeleteFile('C:\Program Files\Решение суда.doc.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
16.12.2015, 08:17
DiNeo

Вложений: 3

Готово.
16.12.2015, 21:03
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.
17.12.2015, 07:37
DiNeo

Вложений: 2

готово
17.12.2015, 18:07
thyrex

Ничего плохого в логах
17.12.2015, 18:17
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\решение суда.doc.exe - [B]Trojan.Win32.Scarsi.zru[/B] ( AVAST4: Win32:Trojan-gen )[/LIST][/LIST]