vl_gen 0 Опубликовано 18 июля, 2018 Share Опубликовано 18 июля, 2018 (изменено) Предположение что к ПК подключились по RDP и запустили шифровальщик. Вирус мы удалили утилитами Касперского, также дополнительно просканировали DrWeb CureIt. Прошу помочь почистить "хвосты". CollectionLog-2018.07.18-16.36.zip Изменено 18 июля, 2018 пользователем vl_gen Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 18 июля, 2018 Share Опубликовано 18 июля, 2018 (изменено) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E07776B1.[decrypthelp@qq.com].arrow O4 - HKLM\..\Run: [1task.exe] = C:\Windows\System32\1task.exe (file missing) O4 - Startup other users: C:\Users\Alexandrova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E07776B1.[decrypthelp@qq.com].arrow O4 - Startup other users: C:\Users\yakovlev_vg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E07776B1.[decrypthelp@qq.com].arrow O4 - User Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E07776B1.[decrypthelp@qq.com].arrow Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Изменено 18 июля, 2018 пользователем akoK Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 18 июля, 2018 Share Опубликовано 18 июля, 2018 (изменено) + =========================== O23 - Service S2: SQL Server (MSSQLSERVER) - (MSSQLSERVER) - C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Binn\sqlservr.exe (file missing) -sMSSQLSERVER O23 - Service S2: Агент SQL Server (MSSQLSERVER) - (SQLSERVERAGENT) - C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Binn\SQLAGENT.EXE (file missing) -i MSSQLSERVER O23 - Service S2: Агент сервера 1С:Предприятия 8.2 (x86-64) - (1C:Enterprise 8.2 Server Agent (x86-64)) - C:\Program Files\1cv82\8.2.19.130\bin\ragent.exe (file missing) -srvc -agent -debug -regport 1541 -port 1540 -range 1560:1591 -d "C:\Program Files\1cv82\srvinfo" O23 - Service S3: Microsoft Office Diagnostics Service - (odserv) - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE (file missing) O23 - Service S3: Office Source Engine - (ose) - C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE (file missing) файлы этих служб видно тоже пошифровало, для нормальной работы вручную скопируйте их с аналогичной системы. Изменено 18 июля, 2018 пользователем regist 1 Цитата Ссылка на сообщение Поделиться на другие сайты
vl_gen 0 Опубликовано 18 июля, 2018 Автор Share Опубликовано 18 июля, 2018 Отчеты. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 18 июля, 2018 Share Опубликовано 18 июля, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: Task: {9ECDE69F-0482-4A72-9E68-1EF5A788C862} - \e6f15c29-785f-41e3-a9b8-e9c15abf6c210 -> No File <==== ATTENTION End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перезагрузите компьютер самостоятельно. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
vl_gen 0 Опубликовано 19 июля, 2018 Автор Share Опубликовано 19 июля, 2018 Сделано. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 июля, 2018 Share Опубликовано 19 июля, 2018 В принципе все почистили. Соберите зашифрованные файлы в отдельном месте, чтоб не засоряли папки (например так) Подготовьте лог лог SecurityCheck by glax24 Цитата Ссылка на сообщение Поделиться на другие сайты
vl_gen 0 Опубликовано 19 июля, 2018 Автор Share Опубликовано 19 июля, 2018 Понятно. Благодарствую! Лог, наверно, пока не имеет смысла делать, в Programm Files тоже много чего зашифровал. Придется сначала восстановить. Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 июля, 2018 Share Опубликовано 19 июля, 2018 Хорошо, после сможете сами обработать лог и обновить устаревшее ПО. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.