Все данные диска в формате D_SQL - likilock@india.com.part01

19 декабря, 2016

все данные на диски зашифровались в D_SQL - likilock@india.com.part01.rar формат, каждый размером в 4,5 гига. Написал на указанную почту, ответа пока нет. Есть какие нибудь идеи ?

Судя по всему вирус доработать не успел, осталась папка temp с файлами: frozen-genpy-27 Crashpad..

19 декабря, 2016

Порядок оформления запроса о помощи

19 декабря, 2016

логи во вложении

CollectionLog-2016.12.20-00.14.zip

20 декабря, 2016

Ищите что запускали на дедике.

20 декабря, 2016

ответили на письмо, запросили 30к, продемонстрировали пару файлов разлоченных после передачи их. дали пароль от архива.

Тема по сути не актуальна, если бы не одно но.

На одном из серверов куда я логинился после обнаружения этой проблемы, начили удалятся файлы, не шифроваться а именно удаляется. методом исключения поняли что косячный файл находится в профиле пользователя, грохнули его, перелогинились и проблема решилась.

самое подозрительное что я смог найти: powershell_ise.exe_StrongName_lw2v2vm3wmtzzpebq33gybmeoxukb04w размером ноль байт, в app data профиля, хотелось бы понимать конец это или нет...

20 декабря, 2016

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

20 декабря, 2016

во вложении логи с двух машин, одна изначально зараженная pr-wms, вторая та, где начали удалятся файлы.

Attachments_2016-12-20_23-27-50.zip

21 декабря, 2016

1 компьютер - 1 тема.

21 декабря, 2016

в таком случае лог с изначально зараженного компьютера

PR-WMS_2016-12-20_23-10-31.7z

22 декабря, 2016

Этот компьютер чист и на нем я не вижу файлы, которые могли бы иметь отношение к шифровальщику.

22 декабря, 2016

Спасибо. Согласно вашему совету сейчас сделаю тему относительно второй беспокоящей меня машины.

2 февраля, 2017

Напишите какой был пароль на ваших архивах

Все данные диска в формате D_SQL - likilock@india.com.part01

Рекомендуемые сообщения

ewil

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

ewil

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

ewil

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

ewil

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

ewil

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

ewil

Ссылка на комментарий

Поделиться на другие сайты

zx_max

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum