Proszę o sprawdzenie logów FRST, komputer zainfekowany wirusem, który szyfruje pliki

FRST.txt (80,4 KB)
Addition.txt (24,5 KB)
Shortcut.txt (707 bajtów)

Witam.

Zacznę od tego, że jest to komputer wykorzystywany w biurze do sporadycznej pracy zdalnej oraz udostępniany gościom odwiedzającym biuro. Od paru tygodniu nikt go nie doglądał, aż do dzisiaj zaskoczył mnie taką niespodzianką

clean

Bardzo proszę o pomoc w przywróceniu go do stanu używalności, z góry dziękuję za zainteresowanie się tematem.

Pozdrawiam Kacper.

1 polubienie

Witaj @Anomaly404 na Forum DobreProgramy

Ktoś zrobił niezły „kawał” infekując komputer w firmie.
Ransomware może być trudny do usunięcia.
Owszem, można usunąć pliki uruchamiające infekcję i wtedy zabrać się za oczyszczanie komputera, ale weź pod uwagę, że zainfekowanych plików może nie dać się odzyskać.

Z logów wynika, że infekcja pojawiła się 2021-08-05 12:21, gdyż wtedy zaszyfrowały się pliki

Próbuję odszukać jaki to rodzaj ransomware.

Jak wygląda sytuacja aktualnie z pobieraniem i zapisywaniem plików?
Możesz to zrobić, czy od razu coś blokuje zapis lub uruchamianie?
Masz aktualnie bezpośredni dostęp do tego komputera?
Czy inne komputery w firmie są bezpieczne?
Czy rozważałeś reinstalację systemu po sformatowaniu?

FRST został uruchomiony z katalogu Przeglądarki, więc aby wykonać oczyszczanie zastosuję inny sposób zapisu fixlist

Pozdrawiam serdecznie
Juliusz
stopa

Tu sa informacje co to takiego i jak to usuwać ale czy to wyleczy, nie wiem.

Witam @iJuliusz

  • Pobierałem pliki, ale rzeczywiście od razu uruchamiałem je przez przeglądarke. Jutro spróbuję zapisać plik na dysku i zobaczę czy uda mi się go otworzyć,
  • Bezpośredni dostęp będę mieć dopiero jutro rano (około 8:00),
  • Inne komputery są bezpieczne,
  • Tak rozważałem, ale chciałem wpierw spróbować go odinfekować. W sumie nic wielkiego się nie dzieje, bo bazę danych mamy na szczeście na serwerze,

Dziękuję za zainteresowanie.

Pozdrawiam, Kacper.

Więc czekam na decyzję, gdyż ja mam czas popołudniami i wieczorem.

W międzyczasie użyj ten program, aby usunąć programy z autostartu
Pobierz, uruchom i przeskanuj
Wstaw plik wynikowy do wglądu

Pamiętaj, aby nie używać żadnych programów bankowych, pocztowych, itp. na zainfekowanym komputerze

Pozdrawiam serdecznie
Juliusz

Witam.

Miałem dzisiaj ciężki dzień i mało czasu na zajęcie się komputerami w firmie. Wczoraj podałem błędną informacje, iż pozostałe komputery są bezpieczne. Jednak okazało się, że udostępnione lokalnie foldery z dysku C: „users” oraz „downloads” na komputerze (serwer WS2012R2F), również zostały zaatakowane przez wirus. Myślę, że stało się to dlatego ponieważ (komputer nr.3 - ten o którym wczoraj pisałem, który uważam że został zainfekowany) miał połączenie z serwerem, przez program księgowy poprzez bazę MySQL. Udostępnione lokalnie foldery przez komputer nr 1 oraz 2, zostały nie tknięte przez wirus. Podejrzewam że komputer nr. 3, nie miał w tamtym czasie zapisanych poświadczeń z komputerem nr. 1 i 2.

Dodam, że komputer nr.3 był kupiony jakoś 2 miesiące temu jako poleasingowy z wgranym systemem, ze sklepu komputerowego. Nie przeinstalowywałem systemu po zakupie. Nie miał wgranego anty wirusa. Pracował na otwartym porcie, aby można było pracować z niego zdalnie. Być może przyjechał już zainfekowany lub został zaatakowany przez ów otwarty port. Dodatkowo wycofałem wszystkie udostępnione foldery, aby się zabezpieczyć. Poniżej dodam logi ze wszystkich stacji roboczych oraz dodam co wykazały skany programów antywirusowych.

Komputer nr. 1

FRST.txt (180,0 KB)
Shortcut.txt (49,5 KB)
Addition.txt (49,2 KB)

Wykryte dwa zagrożenia przez program Eset Endpoint Security.

Komputer nr. 2

FRST.txt (21,7 KB)
Addition.txt (31,5 KB)
Shortcut.txt (49,5 KB)

Nie wykryto żadnych zagrożeń przez program Eset Internet Security.

Komputer nr. 3 (ten o którym pisałem wczoraj)

Dzisiaj przeinstalowałem jego system oraz wgrałem program Kaspersky Security Cloud (trial 1 month)

c.d. poniżej

Serwer WS2012R2F

FRST.txt (27,2 KB)
Addition.txt (21,9 KB)
Shortcut.txt (15,3 KB)

Z jakiegoś powodu Eset File Security for Microsoft Windows Server, nie reaguje na próbę rozpoczęcia skanowania (klikając funkcję skanowanie inteligentne, lub jakiekolwiek inne ,nie powoduje żadnej reakcji). Podejrzewam, że wirus mógł zaatakować jakieś pliki znajdujące się w folderze „users”. Przeprowadziłem natomiast dwa skany programami Eset Online Scanner or Malwarebytes i również nie wykryły żadnych zagrożeń.

Moja tylko uwaga, czy po tym numerze zaktualizowaliście politykę firmy na „dodatkowa kopia z ostatniego tygodnia na dysku w domu u prezesa”, czy nadal ufacie zewnętrzne serwery i antywirusy? Zaszyfrowanych danych raczej nie odzyskacie, chyba, że iJuliusz znajdzie, że akurat dla tego wirusa klucze wyciekły i są deszyfratory, dlatego posiadanie kopi danych offline jest najlepszym zabezpieczeniem. :wink:

Dostałeś link co to i jak można to próbować naprawić. Przeczytałeś? FRST to nie antywirus. To tylko pomoc.

  • Zip 17.01 beta (HKLM…\7-Zip) (Version: 17.01 beta - Igor Pavlov) ← stara wersja, nowa do pobrania: https://www.7-zip.org
  • WinRAR 6.00 (32-bit) (HKLM…\WinRAR archiver) (Version: 6.00.0 - win.rar GmbH) → skoro jest 7zip, to po co WinRAR?
  • Adobe Flash Player 17 ActiveX (HKLM…\Adobe Flash Player ActiveX) (Version: 17.0.0.188 - Adobe Systems Incorporated) ← Adobe Flash Player End of Life
  • Adobe AIR (HKLM…\Adobe AIR) (Version: 27.0.0.124 - Adobe Systems Incorporated) ← The Future of Adobe AIR
  • Java 8 Update 201 (HKLM…{26A24AE4-039D-4CA4-87B4-2F32180201F0}) (Version: 8.0.2010.9 - Oracle Corporation) → stara wersja, nowa do pobrania: https://java.com/pl/download/
  • Picasa 3 (HKLM-x32…\Picasa 3) (Version: 3.1 - Google, Inc.) → http://picasa.google.pl
  • FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 → c:\Program Files (x86)\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] (Microsoft Corporation → Microsoft Corporation)
  • (McAfee, Inc. → McAfee, Inc.) C:\Program Files\TrueKey\McAfee.TrueKey.Service.exe
    (McAfee, Inc. → McAfee, Inc.) C:\Program Files\TrueKey\McAfee.TrueKey.ServiceHelper.exe → https://keepass.info / https://bitwarden.com

Wykonaj polecenie @iJuliusza i przeskanuj RogueKiller Anti Malware | Free Virus Cleaner Download • Adlice Software. Pamiętaj o załączeniu logów do swojego wątku.

Po przejrzeniu plików, wygląda na to, że należałoby się zająć komputerem nr 3
Komputer nr 1 i 2, oprócz błędów systemowych nie wykazuje objawów infekcji.

Jest tam wiele plików, które należałoby zabezpieczyć i tworzyć kopie systematycznie.
Również dwa ostrzeżenia, które wskazałeś, nie są niebezpieczne.

Komputer - serwer, ma pewne ustawienia, które są odpowiednie dla tej wersji Windows, ale nadal należy zadbać o odpowiednie zabezpieczenia

Wracając do zainfekowanego komputera, nie napisałeś, czy użyłeś program, który podałem wcześniej.

Co do Ransomware.
.CLEAN to nowa wersja Dharma
Niektóre z wersji Dharma można odzyskać, ale biorąc pod uwagę, że każda nowa wersja korzysta z nowszych sposobów szyfrowania, to może się okazać mało prawdopodobne, że odzyskasz pliki

Mimo to proponuję wysłać pliki do identyfikacji
ID Ransomware

Sprawdź również narzędzia deszyfrujące, odszukaj wersję Dharma i CrySiS, które są powiązane ze sobą
NoMoreRansom

Nie wiem na jakim etapie jesteś w związku z zabezpieczaniem plików, komputerów w firmie

Daj znać

Pozdrawiam serdecznie
Juliusz