Споймал wallet virus вымогатель

[Permanentik]

Атакованы 5 серверов , базы 1с,адонис, прикрепляю лог и образец файла.

[Info_bot]

Уважаемый(ая) Permanentik, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('c:\program files (x86)\s_horau\adonis\leki64yxmo.exe','');
 QuarantineFile('c:\program files (x86)\s_horau\adonis\Leki64YXmo_x.exe','');
QuarantineFileF('c:\program files (x86)\s_horau\adonis', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 BC_ImportQuarantineList;
BC_Activate;
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Permanentik]

FRSLog

[SQ]

После работы утилиты AVZ сформировался ли карантин?

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32.dll [No File]
  FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  CHR Extension: (No Name) - C:\Users\serv\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-12-09]
  CHR Extension: (No Name) - C:\Users\serv\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-12-09]
  CHR Extension: (No Name) - C:\Users\serv\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-12-09]
  CHR Extension: (No Name) - C:\Users\serv\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-07-14]
  CHR Extension: (No Name) - C:\Users\serv\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-12-09]
  File: C:\Users\serv\AppData\Local\Temp\DMICA80.tmp
  Folder: C:\Users\serv\Windows
  Task: {0950B0E2-DBF0-4166-BBF8-DA28EF995346} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  Task: {8D3FAD66-251C-4A5B-B5CE-29E742D6A7ED} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\TEMP:AE7261F6 [148]
  AlternateDataStreams: C:\ProgramData\TEMP:E2418401 [432]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:AE7261F6 [148]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:E2418401 [432]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.

[Permanentik]

Фикслог

[SQ]

После работы утилиты AVZ сформировался ли карантин?

Раннее так и не ответили.

[Permanentik]

Да, карантин был сформирован AVZ согласи инструкции по размещению темы на форуме

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Permanentik]

к сожалению не могу добавить архив сюда, потому как пишет, что превышен допустимый размер вложений. Видимо из-за того, что это снято с сервера, файл оказался большим. прикладываю ссылку на google диск, где расположен архив
https://drive.google.com/file/d/0B5b...ew?usp=sharing

[SQ]

Знакома ли Вам?

Код:

%SystemDrive%\PROGRA~2\O&KPRI~1\PDFDOC~1.DLL
%SystemDrive%\PROGRA~2\O&KPRI~1\TEECHA~1.OCX
%SystemDrive%\ELECTRO\POKAZ_P1_.EXE

Выполните скрипт в uVS:

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
BREG
delall %SystemDrive%\USERS\ZAMGLBUX\APPDATA\LOCAL\SYSNET\SYSNET.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOJNMEMGACLIIFIHCAGIJAADGPEIOOOA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
zoo %SystemDrive%\ELECTRO\POKAZ_P1_.EXE
delref HTTP:\\GO-SEARCH.RU\?UTM_SOURCE=QUICKLAUNCH
delref HTTP:\\GO-SEARCH.RU\?UTM_SOURCE=DESKTOP

По окончанию перегрузите сервер вручную.

[Permanentik]

первые 2 строчки вероятнее всего относится к утилитам сетевого принтера OKi9650, то что написано в 3-нй строчке не знаеомо. Скрипт выполнила. Файл отправила.

[SQ]

Выполните скрипт в uVS:

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\ELECTRO\POKAZ_P1_.EXE
delall %SystemDrive%\ELECTRO\POKAZ_P1_.EXE

По окончанию перегрузите сервер вручную.

[Permanentik]

Выполнили, архив прикрепили

[SQ]

С расшифровкой не поможем. Если есть лицензия на продукты Лаборатории Касперского, то пробуйте создать запрос к ним.

[Permanentik]

Спасибо большое, что уделили время!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены