Доброго времени суток. Нужна помощь в избавлении от шифровальщика KRAKEN CRYPTOR. Логи прикладываю.
Printable View
Доброго времени суток. Нужна помощь в избавлении от шифровальщика KRAKEN CRYPTOR. Логи прикладываю.
Уважаемый(ая) [B]Skiff7[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
O4 - Startup other users: C:\Documents and Settings\adm-t0\Главное меню\Программы\Автозагрузка\# How to Decrypt Files.html
O4 - Startup other users: C:\Documents and Settings\hast\Главное меню\Программы\Автозагрузка\# How to Decrypt Files.html
O4 - Startup other users: C:\Documents and Settings\ministrator\Главное меню\Программы\Автозагрузка\# How to Decrypt Files.html
O4 - Startup other users: C:\Documents and Settings\ms\Главное меню\Программы\Автозагрузка\# How to Decrypt Files.html
O4 - Startup other users: C:\Documents and Settings\mse\Главное меню\Программы\Автозагрузка\# How to Decrypt Files.html
O4 - Startup other users: C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\# How to Decrypt Files.html
[/CODE]
Знакомы ли следующие сертификаты:
[CODE]O7 - Policy: [Untrusted Certificate] 08E4987249BC450748A4A78133CBF041A3510033 - www.live.fi
O7 - Policy: [Untrusted Certificate] 4822824ECE7ED1450C039AA077DC1F8AE3489BBF - NIC Certifying Authority
O7 - Policy: [Untrusted Certificate] C6796490CDEEAAB31AED798752ECD003E6866CB2 - NIC CA 2011
O7 - Policy: [Untrusted Certificate] D2DBF71823B2B8E78F5958096150BFCB97CC388A - NIC CA 2014
O7 - Policy: [Untrusted Certificate] E1F3591E769865C4E447ACC37EAFC9E2BFE4C576 - MCSHOLDING TEST[/CODE]
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Здравствуйте, высылаю запрошенные файлы.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Указанные сертификаты мне незнакомы, но они уже просрочены и находятся в разделе сертификатов к которым нет доверия. Их стоит удалить?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
HiJackThis прогнал.
[QUOTE=Skiff7;1488339]
Указанные сертификаты мне незнакомы, но они уже просрочены и находятся в разделе сертификатов к которым нет доверия. Их стоит удалить?
[/QUOTE]
Можете удалить их, если Вам они не требуется в дальнейшем.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Закройте все открытые приложения и сохраните.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
HKLM\...\Command Processor: <==== ATTENTION
IFEO\Magnify.exe: [Debugger] cmd.exe
File: %SystemRoot%\system32\NLAapi.dll
File: C:\Documents and Settings\All Users\Application Data\\Windows\Classes\{28065286-ad71-86de-a418-e376c61440db}\msupdpgh.exe
Zip: C:\Documents and Settings\All Users\Application Data\\Windows\Classes\{28065286-ad71-86de-a418-e376c61440db}\msupdpgh.exe
S3 DUMeterDrv; \??\C:\Program Files\DU Meter\DUM_XP32.SYS [X]
2018-09-07 08:25 - 2018-09-07 08:25 - 000004264 ____N C:\Documents and Settings\Администратор.YUG\Мои документы\Decryption Instructions.txt
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор\Мои документы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор\Главное меню\Программы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор\Главное меню\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор.YUG\Мои документы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор.YUG\Главное меню\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор.YUG\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\hast\Рабочий стол\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\hast\Мои документы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\hast\Главное меню\Программы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\hast\Главное меню\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\hast\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\adm-t0\Рабочий стол\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\adm-t0\Мои документы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\adm-t0\Главное меню\Программы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\adm-t0\Главное меню\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\adm-t0\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\# How to Decrypt Files.html
Folder: C:\WINDOWS\system32\NtmsData
2018-01-24 08:58 - 2018-01-24 08:58 - 000001324 ____N () C:\Documents and Settings\Администратор.YUG\Local Settings\Application Data\d3d9caps.tmp
CustomCLSID: HKU\S-1-5-21-499143463-923754463-4197620170-500_Classes\CLSID\{DB450008-9764-11D6-819E-005056C00008}\localserver32 -> C:\Program Files\DU Meter\DUMeterSvc.exe => No File
Folder: C:\Documents and Settings\hast
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что сервер возможно будет [b]перезагружен[/b]. Если нет, то перегрузите его вручную.[/LIST]
На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Замечено много битых служб, они вам знакомы?
[CODE]
S4 adpu320; no ImagePath
S4 afcnt; no ImagePath
S4 AmdIde; no ImagePath
S4 arc; no ImagePath
S4 cpqarry2; no ImagePath
S4 cpqcissm; no ImagePath
S4 cpqfcalm; no ImagePath
S4 dellcerc; no ImagePath
S4 elxstor; no ImagePath
S4 hpcisss; no ImagePath
S4 hpt3xx; no ImagePath
S4 iirsp; no ImagePath
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S4 ipsraidn; no ImagePath
U3 LicenseInfo; no ImagePath
S4 lp6nds35; no ImagePath
S4 nfrd960; no ImagePath
S4 ql2100; no ImagePath
S4 ql2200; no ImagePath
S4 ql2300; no ImagePath
S4 symmpi; no ImagePath
U1 WS2IFSL; no ImagePath
[/CODE]
Высылаю запрошенные файлы. Также забыл сказать что при первоначальной проверке было найдено задание на запуск c:\windows\system32\drivers\etcsvchost.exe. По факту такого файла в указанной папке не было и я его удалил, как подозрительное. Архив пустой. Компьютер перезагрузил.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
По поводу служб не скажу сразу, надо смотреть.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Извините, не увидел, что карантин надо было прислать по отдельной ссылке, но он все равно пустой.
Карантин пустой, в логах нет ничего подозрительного. К сожалениею как было ранее сказано с расшифровкой помочь не сможем.
P.S. Но если у Вас есть лицензии от антивирусных программ, пробуйте обратиться к вендорам за помощью.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=Skiff7;1488366]Высылаю запрошенные файлы. Также забыл сказать что при первоначальной проверке было найдено задание на запуск c:\windows\system32\drivers\etcsvchost.exe. По факту такого файла в указанной папке не было и я его удалил, как подозрительное.
[/QUOTE]
Скорее всего шифровальщик выполнил заложенные злоумышлинниками функции и само уничтожился, чтобы не успели отправить его на анализ в антивирусные лаборатории.
Один вопрос. Подскажите, возможные пути проникновения этого шифровальщика на данный комп? На нем нет почтовых программ и интернет браузеры не используются. Спрашиваю, с целью прикрыть уязвимости.
Есть прямой доступ к интернету (возможно уязвимость smb)? Либо удаленный доступ по средством RDP (возможно подобрали пароль)?