fastik_sergo 0 Опубликовано 20 февраля, 2019 Share Опубликовано 20 февраля, 2019 добрый день такая же проблема. зашифровались файлы появилось расшиение .air Новая папка (5).rar Сообщение от модератора kmscom сообщение перенесено из темы Вирус шифровальщик xzet@tutanota.com Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 286 Опубликовано 21 февраля, 2019 Share Опубликовано 21 февраля, 2019 внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи». Цитата Ссылка на сообщение Поделиться на другие сайты
fastik_sergo 0 Опубликовано 21 февраля, 2019 Автор Share Опубликовано 21 февраля, 2019 Завелся вирус шифровальщик. К зашифрованным файлам прикрепляет разрешение .id-8C20A9EC.[bonamente@tutanota.com].air. За час успел убить два сервера на win server 2008 64x и два ПК на Win 7. На системах стоит Kaspersky Endpoint Security 10, базы были в актуале. Что делать подскажите? CollectionLog-2019.02.21-06.34.zip Цитата Ссылка на сообщение Поделиться на другие сайты
fastik_sergo 0 Опубликовано 21 февраля, 2019 Автор Share Опубликовано 21 февраля, 2019 Тему создал, логи прикрепил. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 февраля, 2019 Share Опубликовано 21 февраля, 2019 Сообщение от модератора thyrex Темы объединены Логи нужны с компьютера, ставшего источником шифрования.В этих логах порядок.Ace Stream Media 3.1.28 удалите через Установку программ. Цитата Ссылка на сообщение Поделиться на другие сайты
fastik_sergo 0 Опубликовано 21 февраля, 2019 Автор Share Опубликовано 21 февраля, 2019 На этом ПК тоже все зашифровалось. В общей сложности 2 ПК Win7 и сервер на win ser 2008 все файлы зашифрованны в первом посте прикрепил файлы с пк на win 7/ сейчас сделаю с сервера логи Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 февраля, 2019 Share Опубликовано 21 февраля, 2019 Написано по-русски Логи нужны с компьютера, ставшего источником шифрования. А шифровальщик здесь мог работать по сети Цитата Ссылка на сообщение Поделиться на другие сайты
fastik_sergo 0 Опубликовано 21 февраля, 2019 Автор Share Опубликовано 21 февраля, 2019 программу для сбора логов скинул на источник он ее сразу тоже зашифровал. что делать в этом случае. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 февраля, 2019 Share Опубликовано 21 февраля, 2019 Попробовать собрать логи из безопасного режима Цитата Ссылка на сообщение Поделиться на другие сайты
fastik_sergo 0 Опубликовано 21 февраля, 2019 Автор Share Опубликовано 21 февраля, 2019 Получилось в "Безопасном режиме". CollectionLog-2019.02.21-09.47.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 февраля, 2019 Share Опубликовано 21 февраля, 2019 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\System32\winhost.exe',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe',''); DeleteService('mssecsvc2.0'); DeleteService('mssecsvc2.1'); QuarantineFile('C:\WINDOWS\mssecsvr.exe',''); QuarantineFile('C:\WINDOWS\mssecsvc.exe',''); DeleteFile('C:\WINDOWS\mssecsvc.exe','64'); DeleteFile('C:\WINDOWS\mssecsvr.exe','64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe','64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64'); DeleteFile('C:\Windows\System32\winhost.exe','64'); DeleteFile('C:\Windows\System32\Info.hta','64'); DeleteFile('C:\Users\Лена\AppData\Roaming\Info.hta','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Лена\AppData\Roaming\Info.hta','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winhost.exe','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после вполнения скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы. Пожалуйста, ЕЩЕ РАЗ запустите Autologger (в обычном, а не безопасном, режиме); прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
fastik_sergo 0 Опубликовано 21 февраля, 2019 Автор Share Опубликовано 21 февраля, 2019 Все сделал как Вы и сказали. Теперь и не с безопасного режима делаются логи. CollectionLog-2019.02.21-10.23.zip https://drive.google.com/open?id=1tSiU_SxGGvcPHZjkeAfSf8cE9U1xZS5d Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 февраля, 2019 Share Опубликовано 21 февраля, 2019 Помощь оказывается добровольно в свободное от основных занятий время. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
fastik_sergo 0 Опубликовано 21 февраля, 2019 Автор Share Опубликовано 21 февраля, 2019 ок сейчас сделаю готово FRST.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 февраля, 2019 Share Опубликовано 21 февраля, 2019 C:\Users\Аналитики\AppData\Roaming\Info.hta прикрепите в архиве к следующему сообщению. Зашли по RDP, подобрав пароль к пользователю Лена скорее всего. Меняйте пароль от RDP на более сложный. С расшифровкой помочь не сможем. Только дочистим следы вируса. Устанавливайте обновления для системы, в т.ч. и против нашумевшего в прошлом году WannaCry. 1. Выделите следующий код: Start:: CreateRestorePoint: Startup: C:\Users\Аналитики\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-02-21] () Startup: C:\Users\Аналитики\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2019-02-21] () Startup: C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-02-21] () Startup: C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2019-02-21] () 2019-02-21 02:04 - 2019-02-21 02:10 - 000013926 _____ C:\Users\Аналитики\AppData\Roaming\Info.hta 2019-02-21 02:01 - 2019-02-21 02:03 - 000094720 _____ C:\Users\Аналитики\AppData\Roaming\winhost.exe 2019-02-21 01:49 - 2019-02-05 23:01 - 000094720 _____ C:\Users\Лена\Downloads\winhost.exe 2019-02-21 02:34 - 2018-02-01 03:26 - 002061938 ____S C:\Windows\tasksche.exe 2019-02-21 02:33 - 2018-02-01 03:26 - 002061938 ____S C:\Windows\qeriuwjhrf Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после вполнения скрипта. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.