Здравствуйте! Проверьте пожалуйста 3 компьютер, который подвергся заражению шифровальщика.
Здравствуйте! Проверьте пожалуйста 3 компьютер, который подвергся заражению шифровальщика.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) vlad_1976, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
HiJackThis (из каталога autologger)профиксить
Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов:Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 127.0.0.1:8080 (disabled) R3 - HKCU\..\URLSearchHooks: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) O3 - HKCU\..\Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - (no file) O17 - HKLM\System\CCS\Services\Tcpip\..\{D1A16FD7-8D4A-489C-A32F-1E69B1237639}: [NameServer] = 62.109.189.240 O17 - HKLM\System\CCS\Services\Tcpip\..\{D1A16FD7-8D4A-489C-A32F-1E69B1237639}: [NameServer] = 62.109.189.241 O17 - HKLM\System\CCS\Services\Tcpip\..\{FB16F65C-456D-4167-B3D7-5D52966FB866}: [NameServer] = 91.210.204.1
Код:8.8.8.8 8.8.4.4
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('D:\Program Files\ghostery storage server\ghstore.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
карантин закачал
Файл сохранён как 180906_070929_quarantine_5b90d2a96d6d9.zip
Размер файла 404058
MD5 2e5a94d91a1a3e81d4582fb9ff4dfc46
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
отчет AdwCleaner
- - - - -Добавлено - - - - -
наверное не то прикрепил. Вот отчет сразу же после удаления
- Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
FarBar отчеты
Знакома ли Вам?
Код:ProxyServer: [S-1-5-21-1229272821-1580436667-682003330-1003] => 127.0.0.1:8080 AutoConfigURL: [S-1-5-21-1229272821-1580436667-682003330-1003] => 127.0.0.1:8080
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: File: C:\Temp\AA_v3.3.exe File: C:\Program Files\MailTime\MailTime.exe HKLM\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Toolbar: HKU\S-1-5-21-1229272821-1580436667-682003330-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx File: D:\WINDOWS\system32\nhsrvice.exe File: D:\WINDOWS\System32\DRIVERS\NmPar.sys U2 CertPropSvc; no ImagePath File: D:\Documents and Settings\n\Application Data\Updater1C\Updater1C.sys Folder: D:\Documents and Settings\n\Application Data\Updater1C 2016-05-23 16:34 - 2016-05-23 16:34 - 000668160 _____ () D:\Documents and Settings\n\Local Settings\Temp\1-20150313-152755.exe 2016-05-23 16:38 - 2016-05-23 16:38 - 000234456 _____ (Beijing Rising Information Technology Co., Ltd.) D:\Documents and Settings\n\Local Settings\Temp\1288531.exe CustomCLSID: HKU\S-1-5-21-1229272821-1580436667-682003330-1003_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> D:\Documents and Settings\n\Local Settings\Application Data\Google\Update\1.3.21.135\psuser.dll => No File AlternateDataStreams: D:\Documents and Settings\All Users\Application Data\TEMP:1CE11B51 [157] AlternateDataStreams: D:\Documents and Settings\All Users\Application Data\TEMP:B3D74A13 [164] Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
очень похоже на неизвестную учетную запись из вкладки безопасность в текстовом файле вымогателей, да?Знакома ли Вам?
Код:
ProxyServer: [S-1-5-21-1229272821-1580436667-682003330-1003] => 127.0.0.1:8080
AutoConfigURL: [S-1-5-21-1229272821-1580436667-682003330-1003] => 127.0.0.1:8080
- - - - -Добавлено - - - - -
Fixlog.txt
Не могу сказать, а прокси-сервер у Вас в организации используется? Может этот компьютер используется в качестве прокси-сервера?Сообщение от vlad_1976
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
я настраивал подобное в браузерах для программ бухгалтерской отчетности, использующих интернетНе могу сказать, а прокси-сервер у Вас в организации используется? Может этот компьютер используется в качестве прокси-сервера?
А данном случае, вы настраивали прокси на адрес 127.0.0.1?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
в данном случае нет.А данном случае, вы настраивали прокси на адрес 127.0.0.1?
мне, если честно, непонятна эта запись.
И,да, этот компьютер не используется в качестве прокси сервера
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: ProxyServer: [S-1-5-21-1229272821-1580436667-682003330-1003] => 127.0.0.1:8080 AutoConfigURL: [S-1-5-21-1229272821-1580436667-682003330-1003] => 127.0.0.1:8080 Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Обычно это проделки зловреда (adware), но в некоторых случаях сами пользователи прописывают это.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
FixLog
На этом все.
В завершение:
1.
- Пожалуйста, запустите adwcleaner.exe
- В меню Настройки - Удалить AdwCleaner - выберите Удалить.
- Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
понял. Спасибо огромное!!!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- d:\program files\ghostery storage server\ghstore.exe - not-a-virus:AdWare.Win32.AdAgent.bhg
Уважаемый(ая) vlad_1976, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
