Since two day we've been infected by a malware - Mal/Encpk-ANR - more than 60 Machin
i installed and cleaned all my machine by Sophos Removal Tool but it seems the same problem again and again .
When i see the details all the pcs are infected from a shareds devices , these device are clean but i have same problems .
Can any one here give me a hand !
Hello OlivierFernandes,
first of all, I'd not straightly call a machine infected when there's a detection.
Do I understand correctly that the detections aren't for a local file but one on a share? All machines detecting the same file on some remote share, or different files on different shares? Did the SVRT actually find (and clean) these alleged threats? BTW, if you've viewed the analysis for Mal/EncPk-ANR and thought it recommends running the SVRT - this is a (misleading) boilerplate text, SVRT isn't better than the installed SAV/SESC.
The first questions are: What files on what paths, known files, or at least files the seems to be legitimate? As you can see under Your Options Mal/EncPk-ANR is by its nature a generic detection and thus "susceptible" to false positives. If you're unsure please send a sample.
Christian
Dear christian ,
Actually the consol detect and block the threat but cannot cleaned it .
it's not a shared files but from network machines .
in the error details i can see that the desktops get the threat from \\NAME_OF_PC\ADMIN$\FILE.exe
i don't know if it's a false alarm or not , and what should i do in this case ?
Thanks
Dear christian ,
Actually the consol detect and block the threat but cannot cleaned it .
it's not a shared files but from network machines .
in the error details i can see that the desktops get the threat from \\NAME_OF_PC\ADMIN$\FILE.exe
i don't know if it's a false alarm or not , and what should i do in this case ?
Thanks
Hello OlivierFernandes,
the ADMIN$ share points to %windir%. Is NAME_OF_PC the the name of the computer sending the alert, i.e. PC001 reports that the file has been found on \\PC001\ADMIN$, or is it the same remote name, i.e. both PC001 and PC002 report \\PC_other\ADMIN$?
AFAIL files on remote paths (whether truly remote or just a UNC reference to the local machine) usually can't be cleaned up. Please check the %windir% (normally C:\Windows\) on NAME_OF_PC, if file.exe is there send it as sample. If it's not there, are there repeated detections?
Christian
Hi christian ,
in the details error i can see that ,i.e. the pc08147 receive alert from \\pc06619\admin$\files.exe , its not the same remote name .
the alerts are note in the harddrive but from another network desktop , and that for all the PCs .
when i try to locate the file.exe i cannot find him neither on the machine nor on the sharing and the detections are repeated
Thanks .
Hello OlivierFernandes,
could you show parts of the antivirus log (SAV.txt in %ProgramData%\Sophos\Sophos Anti-Virus\logs\) from some of the machines? Just the lines with the detections and subsequent actions? Please don't edit them as far as possible (they'll likely not disclose confidential data).
Christian
Christian ,
thanks for your reply .
below you'll find the log of the detection of the PC06493 and PC07760 :
********
20180305 230310 Utilisation en cours de la version 5.48 des données de détection (moteur de détection 3.70.2). Cette version détecte 16773557 éléments.
20180306 023257 Utilisation en cours de la version 5.48 des données de détection (moteur de détection 3.70.2). Cette version détecte 16773586 éléments.
20180306 100323 Utilisation en cours de la version 5.48 des données de détection (moteur de détection 3.70.2). Cette version détecte 16773610 éléments.
20180306 101449 Le fichier "C:\Windows\16378328.exe" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180306 101454 Le contrôle de "C:\Windows\16378328.exe" a renvoyé une erreur SAV Interface 0xa0040210: Impossible d'accéder au fichier.
20180306 101454 L'élément 'Mal/EncPk-ANR' n'a pas pu être détecté une deuxième fois.
20180306 101542 Virus/spyware 'Mal/EncPk-ANR' a été détecté(e) dans '\\PC03451\ADMIN$\19261912.exe'. Nettoyage indisponible.
20180306 101544 Virus/spyware 'Mal/EncPk-ANR' a été détecté(e) dans '\\PC03451\ADMIN$\33679832.exe'. Nettoyage indisponible.
20180306 101548 Virus/spyware 'Mal/EncPk-ANR' a été détecté(e) dans '\\PC05904\ADMIN$\19261912.exe'. Nettoyage indisponible.
20180306 101548 Virus/spyware 'Mal/EncPk-ANR' a été détecté(e) dans '\\PC05904\ADMIN$\33679832.exe'. Nettoyage indisponible.
20180306 101550 Virus/spyware 'Mal/EncPk-ANR' a été détecté(e) dans '\\PC06619\ADMIN$\19261912.exe'. Nettoyage indisponible.
20180306 101551 Virus/spyware 'Mal/EncPk-ANR' a été détecté(e) dans '\\PC06619\ADMIN$\33679832.exe'. Nettoyage indisponible.
20180306 101604 Virus/spyware 'Mal/EncPk-ANR' a été détecté(e) dans '\\PO08496\ADMIN$\33679832.exe'. Nettoyage indisponible.
20180306 101604 Virus/spyware 'Mal/EncPk-ANR' a été détecté(e) dans '\\PO08496\ADMIN$\19261912.exe'. Nettoyage indisponible.
20180306 101710 Le fichier "C:\Windows\28895704.exe" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180306 101710 Le fichier "C:\Windows\16509400.exe" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180306 101721 Le fichier "C:\Windows\28895704.exe" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180306 101721 Service "13971948" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180306 101727 Le fichier "C:\Windows\16509400.exe" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180306 101727 Service "13972479" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180306 101729 Le processus "C:\Windows\28895704.exe:pid:00001358" a été nettoyé(e).
20180306 101733 Service "13971948" a été nettoyé(e).
20180306 101736 Le fichier "C:\Windows\28895704.exe" a été nettoyé(e).
20180306 101741 Service "13972479" a été nettoyé(e).
20180306 101741 Le fichier "C:\Windows\16509400.exe" a été nettoyé(e).
20180306 101741 Le virus/spyware 'Mal/EncPk-ANR' a été supprimé.
20180306 103608 Contrôle 'Contrôler cet ordinateur' démarré.
20180306 105137 Le fichier "C:\Windows\System32\biomsi.exe" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180306 105137 Service "biomsi" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180306 105947 Le virus/spyware 'Mal/EncPk-ANR' a été détecté.
20180306 105947 Contrôle 'Contrôler cet ordinateur' terminé.
20180306 105947 Résumé des résultats du contrôle 'Contrôler cet ordinateur':
Eléments contrôlés : 123670
Erreurs : 0
Eléments en quarantaine : 1
Eléments traités : 0
********************************************
20180321 085006 L'élément 'Mal/EncPk-ANR' n'a pas pu être détecté une deuxième fois.
20180321 090511 Le fichier "C:\Windows\System32\LsaMbae.exe" appartient au virus/spyware 'HPmal/Emotet-C' : processus interrompu.
20180321 090512 Le fichier "C:\Windows\System32\XhIOlJI46GE8aTT.exe" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180321 090520 Le fichier "C:\Windows\System32\LsaMbae.exe" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180321 090520 Service "LsaMbae" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180321 090520 Le virus/spyware 'Mal/EncPk-ANR' ne peut pas être supprimé.
20180321 090520 L'élément 'HPmal/Emotet-C' n'a pas pu être détecté une deuxième fois.
20180321 090525 Le fichier "C:\Windows\System32\LsaMbae.exe" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180321 090525 Service "LsaMbae" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180321 090529 Service "LsaMbae" a été nettoyé(e).
20180321 090530 Le fichier "C:\Windows\System32\LsaMbae.exe" a été nettoyé(e).
20180321 090530 Le virus/spyware 'Mal/EncPk-ANR' a été supprimé.
20180321 100548 Le fichier "C:\Windows\15464432.exe" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180321 100554 Le contrôle de "C:\Windows\15464432.exe" a renvoyé une erreur SAV Interface 0xa0040210: Impossible d'accéder au fichier.
20180321 100554 L'élément 'Mal/EncPk-ANR' n'a pas pu être détecté une deuxième fois.
20180321 100613 Virus/spyware 'Mal/EncPk-ANR' a été détecté(e) dans '\\PC05904\ADMIN$\31126688.exe'. Nettoyage indisponible.
20180321 100615 Virus/spyware 'Mal/EncPk-ANR' a été détecté(e) dans '\\PC06493\ADMIN$\31126688.exe'. Nettoyage indisponible.
20180321 100617 Virus/spyware 'Mal/EncPk-ANR' a été détecté(e) dans '\\PC06619\ADMIN$\31126688.exe'. Nettoyage indisponible.
20180321 103612 Le fichier "C:\Windows\System32\LsaMbae.exe" appartient au virus/spyware 'HPmal/Emotet-C' : processus interrompu.
20180321 103613 Le fichier "C:\Windows\System32\t6xpff6ms1etSDA.exe" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180321 103621 Le fichier "C:\Windows\System32\LsaMbae.exe" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180321 103621 Service "LsaMbae" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180321 103621 Le virus/spyware 'Mal/EncPk-ANR' ne peut pas être supprimé.
20180321 103621 L'élément 'HPmal/Emotet-C' n'a pas pu être détecté une deuxième fois.
20180321 103625 Le fichier "C:\Windows\System32\LsaMbae.exe" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180321 103625 Service "LsaMbae" appartient au virus/spyware 'Mal/EncPk-ANR'.
20180321 103629 Service "LsaMbae" a été nettoyé(e).
*****************************
Thank you .
Hello OlivierFernandes,
this looks like a real infection.
Apparently one or more rogue processes are running from the \Windows\ and \Windows\system32\ directories, seems that they are trying to spread. Seems that this is going on for two weeks already. Can't say what harm Mal/Emotet-C attempts to do.
I'd suggest that you contact Support (I'd say this is a critical case so you should try to call them as suggested). Please see also this Further Help section (farther down, After cleaning up ...) where it references SMaRT. Try to obtain samples from the machines. The task manager might suffice but I'd recommend Process Explorer to identify the rogue processes and obtain a sample of the image they're running from. Autoruns might help you to find the location they are starting from after boot-up.
Christian
